Guide pour l’examen de la licéité de la commu­ni­ca­tion trans­fron­tière de données et Transfert de données person­nelles dans un pays ne présen­tant pas le niveau de protec­tion requis.

Transmission de données d’un respon­sable de trai­te­ment ou sous-trai­tant à un autre respon­sable de trai­te­ment ou sous-traitant

L’art. 6 LPD précise qu’au­cune donnée person­nelle ne peut être « commu­ni­quée » à l’étran­ger si la person­na­lité des personnes concer­nées devait s’en trou­ver grave­ment mena­cée. Toutefois, ni la loi ni son ordon­nance d’exé­cu­tion ne précisent ce qu’il convient d’en­tendre par « commu­ni­ca­tion » de données.

Le 18 novembre 2021, le CEPD a publié des lignes direc­trices concer­nant l’ap­pli­ca­tion du chapitre 5 du RGPD consa­cré au trans­fert inter­na­tio­nal de données. Dans ce contexte, le CEPD a précisé que pour qu’il y ait un trans­fert de données, il faut que l’exportateur de données (soit un respon­sable du trai­te­ment ou un sous-trai­tant) divulgue par trans­mis­sion ou par tout autre moyen des données à « un autre respon­sable du trai­te­ment ou à un sous-traitant ».

En d’autres termes, les dispo­si­tions sur le trans­fert de données inter­na­tio­nal ne s’ap­pliquent pas en cas de trans­fert entre un respon­sable de trai­te­ment ou un sous-trai­tant et une personne n’agis­sant pas comme respon­sable de trai­te­ment ou sous-trai­tant. Tel est notam­ment le cas lorsque l’employé se connecte depuis l’étran­ger à sa boîte élec­tro­nique et consulte des données person­nelles dans le cadre de son acti­vité professionnelle.

À notre sens, ces consi­dé­ra­tions s’ap­pliquent muta­tis mutan­dis au trans­fert de données régi par l’art. 6 LPD, respec­ti­ve­ment par l’art. 16 nLPD dès le 1^er septembre 2023.

Marche à suivre en cas de trans­fert de données à l’étranger

Il découle des notices publiées par le PFPDT qu’un trans­fert de données de la Suisse à l’étran­ger doit s’ef­fec­tuer selon les étapes suivantes :

I. Vérification du niveau de protec­tion des données dans le pays de destination

Dans un premier temps, l’ex­por­ta­teur doit déter­mi­ner si l’État dans lequel les données doivent être expor­tées figure sur la liste d’États établie par le PFPDT (ou par le Conseil fédé­ral selon la nLPD). Même si tel est le cas, l’ex­por­ta­teur doit ensuite véri­fier pério­di­que­ment si le niveau de protec­tion est toujours adéquat et s’il n’y a pas d’autres raisons s’op­po­sant à un trai­te­ment sûr des données person­nelles dans le pays de destination.

Le PFPDT précise que l’ex­por­ta­teur qui trans­fère des données vers un pays figu­rant sur la liste est présumé être de bonne foi, mais que cette présomp­tion est réfra­gable. À notre sens, tel pour­rait notam­ment être le cas si un expor­ta­teur commu­nique à l’étran­ger, y compris au sein de l’Union euro­péenne, des données rela­tives à des personnes morales (qui sont encore proté­gées jusqu’à l’en­trée en force de la nLPD). En effet, compte tenu du fait que le RGPD ne protège pas les données de personnes morales, le niveau de protec­tion des données – pour ce type spéci­fique de données – n’est pas adéquat et leur commu­ni­ca­tion néces­si­te­rait des mesures de protec­tion additionnelles.

II. Examens des garan­ties suffi­santes en cas d’ab­sence de niveau de protec­tion des données dans le pays de destination

Si, après véri­fi­ca­tion, il est constaté que le niveau de protec­tion des données dans le pays de desti­na­tion n’est pas adéquat, l’ex­por­ta­teur doit assu­rer la protec­tion des données en four­nis­sant des garan­ties suffi­santes, soit dans l’écra­sante majo­rité des cas les nouvelles clauses contrac­tuelles types adop­tées par la Commission euro­péenne du 4 juin 2021. Il est à noter que ces dernières doivent être adap­tées selon que le trans­fert de données relève unique­ment de la LPD (ou de la nLPD) ou qu’il dépend à la fois de la LPD et du RGPD (cf. www​.swiss​pri​vacy​.law/91).

Afin d’exa­mi­ner les « garan­ties suffi­santes » que l’ex­por­ta­teur doit offrir, le PFPDT exige au préa­lable une analyse portant sur l’ac­cès des auto­ri­tés du pays tiers aux données, ainsi que les droits des personnes concer­nées. Le PFPDT exige ici une analyse très – à notre sens trop – pous­sée puis­qu’il est précisé que celle-ci doit prendre en compte notam­ment (i) les pres­crip­tions juri­diques en vigueur dans le pays de desti­na­tion, (ii) la pratique des auto­ri­tés admi­nis­tra­tives et des auto­ri­tés judi­ciaires et (iii) la juris­pru­dence. Compte tenu de la complexité de l’ana­lyse qui s’apparente à une étude d’un ordre juri­dique étran­ger, celle-ci devra souvent être conduite au moyen d’un avis de droit indépendant.

Comme indi­qué aupa­ra­vant, cet examen vise à déter­mi­ner le risque que des auto­ri­tés étran­gères puissent avoir accès aux données trans­fé­rées, respec­ti­ve­ment à déter­mi­ner les droits des personnes concer­nées. Selon le PFPDT, cet examen doit permettre de mettre en lumière les lacunes du droit étran­ger en le compa­rant aux garan­ties fonda­men­tales recon­nues en Suisse, soit :

• Légalité : base légale suffi­sam­ment claire et précise concer­nant les buts, la procé­dure d’ac­cès aux données par les auto­ri­tés, les condi­tions juri­diques maté­rielles de cet accès et les préro­ga­tives des auto­ri­tés en question ;
• Proportionnalité : les préro­ga­tives des auto­ri­tés et les mesures qu’elles prennent doivent être appro­priées et néces­saires pour atteindre les buts légaux de l’ac­cès des auto­ri­tés aux données. Elles doivent égale­ment être raison­na­ble­ment exigibles ;
• Voies de droits effec­tives : en Suisse, les personnes concer­nées doivent dispo­ser de voies de droit effec­tives, inscrites dans la loi, pour faire valoir leurs droits en matière de protec­tion de la sphère privée et d’au­to­dé­ter­mi­na­tion infor­ma­tion­nelle ; et
• Garantie de l’ac­cès au juge et à un tribu­nal indé­pen­dant et impar­tial : les atteintes à la vie privée et l’au­to­dé­ter­mi­na­tion infor­ma­tion­nelle doivent être soumises à un système de contrôle effi­cace, indé­pen­dant et impartial.

III. Examen de la néces­sité de mettre en place des mesures de protection

Lorsque l’ana­lyse décrite ci-dessus est termi­née, elle peut démon­trer (i) soit que les garan­ties sont assu­rées (ii) soit que les garan­ties ne sont pas assu­rées. Si l’ana­lyse révèle que les garan­ties sont assu­rées, aucune mesure de protec­tion addi­tion­nelle n’est néces­saire. Dans ce cas, si l’ex­por­ta­teur utilise les nouvelles clauses contrac­tuelles types adop­tées par la Commission euro­péenne, aucune adap­ta­tion contrac­tuelle n’est nécessaire.

Si au contraire, l’ana­lyse révèle que les garan­ties ne sont pas assu­rées, des mesures de protec­tion addi­tion­nelles doivent être prises. À ce sujet, il est impor­tant de rele­ver que des mesures de protec­tions de nature contrac­tuelles ne sont pas suffi­santes. En effet, comme le relève le PFPDT : « les mesures de nature contrac­tuelles ne peuvent pas lier les auto­ri­tés de pays tiers et ne peuvent donc pas empê­cher l’accès des auto­ri­tés aux données ».

Au contraire, ces mesures de protec­tion addi­tion­nelles doivent être de nature tech­nique et orga­ni­sa­tion­nelle. L’idée est en effet de mettre en place des mesures desti­nées à empê­cher que les auto­ri­tés du pays de desti­na­tion ne puissent, dans les faits, accé­der aux données person­nelles trans­fé­rées. Comme mesures de protec­tion addi­tion­nelles, le PFPDT mentionne par exemple le chif­fre­ment qui serait mis en œuvre selon le prin­cipe Bring Your Own Key, doublé du prin­cipe Bring Your Own Encryption, tout en admet­tant que ce type de mesures de protec­tion n’est pas adapté en toutes circonstances.

Si l’exa­men démontre qu’il n’est pas possible de compen­ser les lacunes consta­tées dans le respect des garan­ties, le trans­fert de données vers l’étran­ger doit être immé­dia­te­ment suspendu ou interrompu.

IV. Examen régu­lier de la situation

Après avoir mis en œuvre les mesures de protec­tion supplé­men­taire, le PFPDT exige que l’ex­por­ta­teur de données véri­fie régu­liè­re­ment que les exigences tech­niques et juri­diques soient respec­tées. Si l’ex­por­ta­teur arrive à la conclu­sion que les mesures de protec­tion supplé­men­taires ne permettent pas (ou plus) de compen­ser les lacunes consta­tées, le trans­fert de données vers l’étran­ger doit être immé­dia­te­ment suspendu ou interrompu.