swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Comment obtenir une certification au Data Privacy Framework ?

Philipp Fischer et Marine Largant, le 18 juillet 2023
Le Swiss-US Data Privacy Framework, qui est le pendant suisse du EU-US Data Privacy Framework, est effec­tif depuis le 17 juillet 2023. Nous analy­sons briè­ve­ment dans cette contri­bu­tion quelles sont les condi­tions que doivent remplir les socié­tés améri­caines pour être affi­liées au Data Privacy Framework.

Alors que le EU-US Data Privacy Framework a été adopté par la Commission euro­péenne et le US Department of Commerce le 10 juillet 2023 (cf. swiss​pri​vacy​.law/​2​38/), le Swiss-US Data Privacy Framework prend effet le 17 juillet 2023. Il faudra toute­fois attendre avant de pouvoir libre­ment trans­fé­rer des données person­nelles depuis la Suisse vers les entre­prises améri­caines affi­liées, que le Conseil fédé­ral recon­naisse les États-Unis comme un pays garan­tis­sant un niveau de protec­tion adéquat pour les données person­nelles trans­fé­rées à ces dernières. Cette déci­sion permet­tra l’ajout des États-Unis dans la liste de l’Annexe 1 à la nouvelle Ordonnance sur la protec­tion des données qui entrera en vigueur le 1er septembre 2023.

Dans l’in­ter­valle, nous analy­sons ici briè­ve­ment les condi­tions que doivent remplir les socié­tés améri­caines pour être affi­liées au Data Privacy Framework, dans sa version euro­péenne ou suisse.

Le US Department of Commerce a émis les prin­cipes qui régissent le EU-US Data Privacy Framework (les « Principes DPF »), lesquels figurent en Annexe 1 à la déci­sion d’adé­qua­tion de la Commission euro­péenne.

De la même manière que sous l’empire du EU-US Privacy Shield, les entre­prises doivent s’af­fi­lier au EU-US Data Privacy Framework par le biais d’une auto­cer­ti­fi­ca­tion par laquelle elles déclarent au US Department of Commerce adhé­rer aux Principes DPF. L’affiliation se fait donc sur une base volon­taire et à comp­ter de l’af­fi­lia­tion, la société concer­née est tenue de respec­ter les Principes DPF.

Pour adhé­rer au EU-US Data Privacy Framework il convient donc : (i) d’être soumis au pouvoir d’en­quête et d’exé­cu­tion de la Federal Trade Commission ou du US Department of Transportation ; (ii) décla­rer publi­que­ment s’en­ga­ger à suivre les Principes DPF ; (iii) publier sa Politique de Confidentialité conforme avec les Principes DPF et (iv) mettre en œuvre ces derniers.

Chaque année, les socié­tés affi­liées doivent renou­ve­ler leur certi­fi­ca­tion volon­taire. Les socié­tés affi­liées sont respon­sables de conduire annuel­le­ment des auto-évalua­tions ou des analyses de confor­mité pour démon­trer leur confor­mité avec les Principes DPF (exigence de véri­fi­ca­tion). Toute viola­tion aux Principes DPF par les entre­prises affi­liées est punis­sable par le US Department of Commerce.

L’inscription d’une société sur la liste des orga­ni­sa­tions affi­liées tenue par le US Department of Commerce vaut affi­lia­tion et permet donc un libre trans­fert de données person­nelles vers cette société depuis l’Union européenne.

Les entre­prises qui étaient déjà affi­liées à l’an­cien EU-US Privacy Shield seront auto­ma­ti­que­ment affi­liées au EU-US Data Privacy Framework sans devoir soumettre une nouvelle auto­cer­ti­fi­ca­tion. Ces entre­prises devront unique­ment mettre à jour leur poli­tique de confi­den­tia­lité pour faire réfé­rence aux Principes DPF et ce avant le 10 octobre 2023. A contra­rio, si celles-ci ne souhaitent pas être affi­liées au EU-US Data Privacy Framework elles devront soumettre une procé­dure de retrait.

Les mêmes prin­cipes s’ap­pliquent à l’af­fi­lia­tion par les entre­prises améri­caines au Swiss‑U.S. Data Privacy Framework, à la diffé­rence qu’elles ne pour­ront se préva­loir du libre trans­fert de données person­nelles depuis la Suisse qu’à comp­ter de la date d’en­trée en vigueur de la recon­nais­sance d’équi­va­lence du Swiss‑U.S. Data Privacy Framework par le Conseil fédéral.



Proposition de citation : Philipp Fischer / Marine Largant, Comment obtenir une certification au Data Privacy Framework ?, 18 juillet 2023 in www.swissprivacy.law/241


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • DORA, le règlement européen sur la résilience opérationnelle numérique du secteur financier 
  • Dark patterns : wait & see
  • La CJUE serre la vis au traitement des données par les sociétés de fourniture de renseignements commerciaux 
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law