Privacy Shield entre la Suisse et les États-Unis

En janvier 2017, le Conseil fédéral a pris bonne note de la mise en place d’un nouveau cadre de transmission des données personnelles de la Suisse vers les États-Unis. Ce cadre, baptisé «Privacy Shield», remplace le «Safe Harbor» conclu entre la Suisse et les États-Unis, jugé insuffisant par le PFPDT et officiellement invalidé par le Conseil fédéral. Nous avons joué un rôle consultatif dans les négociations qui ont mené à cet accord.

Dans notre 23e rapport d’activités 2015/2016 (chiffre 1.8.1), nous avions traité de l’arrêt de la Cour de justice de l’Union européenne sur l’accord Safe Harbor et de ses conséquences pour la Suisse. En janvier 2016, nous avons adapté notre liste des États et constaté que la transmission de données vers les États-Unis ne pouvait s’appuyer sur le seul dispositif Safe Harbor. Des mesures supplémentaires de nature contractuelle étaient nécessaires pour garantir la conformité de cette transmission au droit de la protection des données.

En conséquence, le Conseil fédéral a chargé le Secrétariat d’État à l’économie (SECO) de constituer un groupe de travail interdépartemental ayant pour mission de négocier un nouvel accord pour remplacer le Safe Harbor. Nous avons participé aux séances de ce groupe de travail en qualité d’experts et avons suivi de près les négociations. Le Privacy Shield (bouclier de protection) entre l’Union européenne et les États-Unis est entré en vigueur en août 2016. Depuis lors, quelques centaines d’entreprises ont obtenu une certification sur la base de ce règlement. Concernant le Privacy Shield Suisse – États-Unis, nous avons exigé qu’il offre aux personnes concernées des garanties au moins équivalentes à celles prévues dans l’accord passé avec l’Union européenne. Les négociations avec les États-Unis ont permis d’atteindre cet objectif. Le Privacy Shield garantit une meilleure protection que Safe Harbor, grâce à un renforcement de l’application des principes de protection des données pour les entreprises certifiées et par une amélioration de l’administration et de la surveillance par les autorités américaines. Les mesures suivantes ont notamment été prises:

  • Les autorités américaines mettront à disposition des personnes concernées des formulaires de contact sur le site internet dédié au Privacy Shield Suisse – États-Unis pour toute question relative à la protection des données. En plus de la liste des entreprises certifiées, une liste des entreprises qui ne sont plus certifiées y sera également publiée.
  • La surveillance exercée par les autorités américaines sur les entreprises certifiées est renforcée.
  • Les personnes concernées auront la possibilité, après recours à un mécanisme indépendant de règlement des différends, de s’adresser à un tribunal d’arbitrage régi par le droit américain pour s’opposer à des traitements de données portant atteinte à leur personnalité.
  • Le Privacy Shield Suisse – États-Unis sera soumis chaque année à une procédure de réexamen, à laquelle participeront le SECO, les autorités de surveillance américaines et nous-même. Le SECO établira un rapport à l’attention du Conseil fédéral et nous consignerons de notre côté nos observations, en tirant nos propres conclusions.

La surveillance des autorités américaines de sécurité sera également renforcée. Un dispositif de médiation avec les instances de sécurité sera mis en place. Sur requête des citoyens concernés, le médiateur contrôlera que les données sont traitées correctement. Les personnes déposant une demande d’accès seront informées que leurs données sont traitées de façon conforme à la loi ou que la conformité à la loi a été rétablie.

Nous entendons à présent nous concentrer sur la mise en œuvre du Privacy Shield Suisse–États-Unis dans la pratique.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/24e-rapport-d-activites-2016-2017/privacy-shield-entre-la-suisse-et-les-etats-unis.html