Communication de données personnelles à l’étranger
La transmission de données personnelles à l’étranger par des entreprises privées ou des organes fédéraux est possible uniquement sous certaines conditions. Les conditions dépendent du pays vers lequel les données doivent être transmises. Ainsi, selon le pays, il convient de prendre certaines mesures.
Guide pour vérifier l'admissibilité des transferts directs ou indirects de données vers l'étranger (art. 16 al. 2 lettre b et d du LPD)
Le présent guide vise à faciliter l’examen – par les personnes qui traitent des données – de la licéité du transfert de données à caractère personnel vers l’étranger. Il illustre, au moyen d’un schéma, la procédure de transfert de données vers l’étranger dans les cas où le pays concerné ne dispose pas d’une législation qui assure un niveau de protection adéquat* et où cette carence doit être compensée par des clauses de protection des données dans un contrat spécifique ou des clauses types de protection des données (art.16, al. 2, let. b et d, LPD et art. 9, al. 3, de l’ordonnance relative à la loi fédérale sur la protection des données, OPDo, RS 235.11). Précisons que le présent guide n’aborde pas les conditions énoncées à l’art. 16, al. 2, let. a, c et e, et à l'art. 17 LPD.
* Pour vérifier si le pays vers lequel les données sont transférées offre une protection adéquate des données vous pouvez utiliser la liste des États (cf. annexe 1 OPDo).
Informations complémentaires
- Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers
- Recommandations 01/2020 de l’EDPB sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
- Standard contractual clauses for data transfers between EU and non-EU countries
- Transfert de données personnelles dans un pays ne présentant pas le niveau de protection des données requis, en application de clauses contractuelles types et de contrats types reconnus (PDF, 237 kB, 20.09.2024)
Le 15 septembre 2024, l'ajout de la liste des États de l'annexe 1 du OPDo concernant les États-Unis est entré en vigueur. Le cadre juridique qui y est associé (Swiss-U.S. Data Privacy Framework) offre aux personnes concernées en Suisse diverses possibilités de faire valoir leurs droits. Vous trouverez le formulaire pour les recours contre des organisations ou entreprises américaines certifiées (affaires commerciales) et le formulaire pour les recours contre le traitement de données personnelles par les services de renseignement américains.
Les données personnelles ne peuvent être transmises à l’étranger que si le pays destinataire assure un niveau de protection des données adéquat.
La législation de l’État étranger assure un niveau de protection adéquat
Des données peuvent être communiquées à l’étranger si la législation de l’État destinataire assure un niveau de protection adéquat (art. 16, al. 1, LPD). Les États qui répondent à cette exigence figurent sur une liste établie par le Conseil fédéral et publiée dans l’annexe de l’ordonnance sur la protection des données (Annexe 1 OPDo). Cette dernière précise également les critères d’évaluation appliqués par le Conseil fédéral (art. 8 OPDo). Ainsi, si un niveau de protection adéquat est assuré par l’État destinataire, les données personnelles peuvent être transmises librement de la Suisse vers cet État, aussi bien par des entreprises privées que par des organes fédéraux.
Des garanties appropriées assurent un niveau de protection adéquat
En dépit de l’absence d’une décision d’adéquation rendue par le Conseil fédéral, des données peuvent être communiquées à l’étranger pour autant que la protection des données soit assurée d’une autre manière, notamment par des garanties contractuelles:
- Clauses de protection des données dans un contrat spécifique : la personne responsable du transfert et son cocontractant incluent dans leur contrat des clauses spécifiques de protection des données qui garantissent un niveau de protection adéquat. Avant le transfert à l’étranger, le PFPDT doit être informé de ces clauses. Malgré la notification au PFPDT, la charge de la preuve concernant la mise en œuvre de toutes les mesures nécessaires à la protection des données demeure du ressort du responsable du transfert. Contrairement aux clauses types de protection des données, les clauses de protection des données figurant dans un contrat s’appliquent exclusivement à la communication prévue par ledit contrat.
- Clauses types de protection des données : les clauses types de protection des données (Standard Contractual Clauses, SCC) peuvent être élaborées par des particuliers, des milieux intéressés ou des organes fédéraux. De telles clauses doivent être approuvées préalablement par le PFPDT. À moins que le transfert ne se fonde sur une autre base légale, toute communication de données à l’étranger est interdite tant que le PFPDT n’a pas rendu sa décision. Le PFPDT rend sa décision dans un délai de 90 jours (OPDo). Les clauses types de protection des données peuvent également être établies ou reconnues par le PFPDT lui-même. La liste de ces clauses se trouve notre infothèque. L’utilisation de ces clauses n’est pas soumise à une notification au PFPDT.
Les organes fédéraux peuvent également recourir à ce type de garanties.
- Règles d’entreprise contraignantes : la communication de données à une entreprise étrangère appartenant au même groupe d’entreprises que le responsable du transfert peut s’effectuer sur la base de règles d’entreprise contraignantes (Binding Corporate Rules, BCR) préalablement approuvées par le PFPDT ou par une autorité chargée de la protection des données relevant d’un État qui assure un niveau de protection des données adéquat. Dès qu’une décision du PFPDT a été rendue, la communication des données à l’étranger peut s’effectuer sur la base des règles d’entreprise contraignantes. Si les règles en question ont été approuvées au préalable par une autorité relevant d’un État qui assure un niveau de protection des données adéquat (par ex. un État de l’UE) elles peuvent être appliquées directement et il n’est dès lors plus nécessaire d’obtenir une autorisation séparée du PFPDT.
Les principes suivants s’appliquent à toute utilisation des garanties contractuelles :
- Le responsable du transfert s’assure que le destinataire respecte les clauses convenues et que la législation du pays tiers lui permet de remplir ses obligations ;
- Le responsable du transfert est présumé avoir pris toutes les mesures nécessaires pour garantir un niveau de protection adéquat. Toutefois, cette présomption n’exclut pas l’engagement de sa responsabilité en cas de préjudice résultant d’une violation des clauses, notamment par le destinataire des données ;
- Attendu que les clauses de protection des données ne lient que les parties contractantes, il peut s’avérer nécessaire, dans certains cas, de mettre en œuvre des mesures techniques supplémentaires si le droit applicable au destinataire permet un accès disproportionné des autorités. (cf. Guide pour l’examen de la licéité de la communication transfrontière de données (art. 6, al. 2, let. a, LPD) à gauche de cette page);
Les organes fédéraux disposent en outre de la possibilité de subordonner la coopération avec un État étranger à des garanties spécifiques de protection des données et de transmettre des données personnelles sur la base desdites garanties, à condition d’en informer préalablement le PFPDT. Dès que le responsable du transfert a rempli cette condition, les données personnelles peuvent être communiquées à l’étranger.
Par ailleurs, un niveau de protection des données adéquat peut également être garanti par un traité international, tel que la Convention 108+ (cf. rubrique International);
Exceptions
À défaut d’une décision d’adéquation ou du recours à l’un des instruments susmentionnés, le transfert de données personnelles à l’étranger est toutefois autorisé en application des exceptions prévues par l’art. 17 LPD.
Devoir d’informer
La personne concernée doit être informée de toute communication de ses données à l’étranger (art. 19, al. 4, LPD). Voir aussi Devoir d'information
Sanctions pénales
La communication de données personnelles à l’étranger en violation des conditions prévues par les art. 16 et 17 LPD est passible de sanctions pénales (art. 61, let. a, LPD).
Registre
Selon l’art. 12 LPD, en cas de communication de données personnelles à l’étranger, le nom de l’État destinataire et les garanties prévues doivent être indiqués dans le registre des activités de traitement.
Dernière modification 01.11.2024