Durant ces 15 dernières années (i.e., depuis l’adoption du premier US-Swiss Safe Harbor Framework en 2008), peu de sujets ont fait couler autant d’encre dans le domaine de la protec­tion des données que les trans­ferts de données person­nelles. Est-ce que l’entrée en force du Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF) le 15 septembre 2024 met un terme à toutes les contro­verses ? L’avenir le dira. Cela étant dit, cette recon­nais­sance devrait, selon nous, appor­ter un éclai­rage nouveau sur la compa­ti­bi­lité du US CLOUD Act avec le droit suisse.

A. Le US CLOUD Act : une source de préoccupations

Dès son adop­tion en 2018, le US CLOUD Act a suscité de vives inquié­tudes au sein de l’Union euro­péenne et en Suisse. En effet, cette loi a modi­fié le Stored Communications Act (pour faci­li­ter la lisi­bi­lité, nous utili­se­rons le terme US CLOUD Act dans cette contri­bu­tion) afin de permettre aux auto­ri­tés améri­caines d’accéder, à certaines condi­tions, à des données person­nelles qui sont « sous le contrôle » de groupes améri­cains, même si ces données sont stockées par des filiales de ces groupes se trou­vant à l’étranger (pour une présen­ta­tion du US CLOUD Act, cf. www​.swiss​pri​vacy​.law/​101).

Certaines auto­ri­tés de protec­tion des données (dans l’Union euro­péenne), de même que des experts, ont pris la posi­tion que les droits d’accès qui figurent dans le US CLOUD Act en faveur des auto­ri­tés améri­caines seraient contraires à l’ordre public euro­péen, respec­ti­ve­ment suisse, créant ainsi une incer­ti­tude juri­dique pour toutes les entre­prises privées et admi­nis­tra­tions publiques qui utilisent des infra­struc­tures repo­sant sur la tech­no­lo­gie cloud (un secteur dominé par des groupes améri­cains, donc soumis au US CLOUD Act), que ce soit direc­te­ment ou indi­rec­te­ment (.p. ex. à travers un pres­ta­taire de services de premier niveau qui lui-même recours à une infra­struc­ture cloud).

B. La posi­tion du Conseil fédé­ral : ce qui a été dit lors de la recon­nais­sance du Swiss‑U.S. DPF

Le Conseil fédé­ral a estimé que le Swiss‑U.S. DPF garan­tit un niveau de protec­tion adéquat pour le trans­fert de données person­nelles vers des entre­prises certi­fiées aux États-Unis, sans qu’il soit néces­saire de mettre en place des garan­ties supplé­men­taires. Les États-Unis (en ce qui concerne les entre­prises améri­caines certi­fiées) ont donc été ajou­tés, à comp­ter du 15 septembre 2024, à la liste des pays garan­tis­sant un niveau adéquat de protec­tion des données (Annexe 1 de l’Ordonnance sur la protec­tion des données). La liste des entre­prises améri­caines certi­fiées précise (i) si l’entreprise améri­caine est effec­ti­ve­ment certi­fiée selon le Swiss‑U.S. DPF, ainsi que (ii) les types de données person­nelles pour lesquelles la certi­fi­ca­tion s’applique (« HR Data » et/​ou « Non-HR Data »).

Concrètement, cette déci­sion de recon­nais­sance permet aux data expor­ters loca­li­sés en Suisse qui mandatent des pres­ta­taires améri­cains certi­fiés de renon­cer à la conclu­sion des EU Standard Contractual Clauses (« EU SCC ») et à la conduite d’un Transfer Impact Assessment (« TIA ») avec un résul­tat satis­fai­sant. Force est toute­fois de consta­ter que la pratique de marché semble être, pour de nombreux data expor­ters, de main­te­nir les EU SCC comme solu­tion de repli (fall­back) si le Swiss‑U.S. DPF devait être enlevé de la liste des pays adéquats suite à une inva­li­da­tion en justice de son équi­valent UE, le UE‑U.S. DPF, comme l’ont été ses deux prédé­ces­seurs (Swiss‑U.S. Safe Habour et Swiss‑U.S. Privacy Shield, suite à l’invalidation de leurs équi­va­lents UE par la CJUE).

C. La posi­tion du Conseil fédé­ral : ce que le prati­cien devrait pouvoir tirer de la recon­nais­sance du Swiss-US DPF

La satis­fac­tion qui a accom­pa­gné l’entrée en vigueur du Swiss-US DPF n’a pas pu masquer le fait que ce méca­nisme ne couvre en réalité pas le prin­ci­pal scéna­rio auquel les entre­prises suisses sont confron­tées, i.e., la situa­tion dans laquelle le service cloud-based est contracté auprès d’une société basée dans l’Union euro­péenne, mais affi­liée à un groupe améri­cain, les infor­ma­tions (y compris les données person­nelles) étant stockées sur un serveur en Suisse (ou dans l’Union euro­péenne), mais acces­sibles par des sous-trai­tants du pres­ta­taire basés dans diffé­rents pays. Cette situa­tion peut être illus­trée par le schéma suivant :

Un tel scéna­rio (scéna­rio 1) peut déclen­cher un risque sous l’angle du US CLOUD Act (i.e., en raison de données person­nelles « sous le contrôle » d’un groupe basé aux États-Unis par le biais de ses filiales dans l’Union euro­péenne ou en Suisse), mais n’est pas expres­sé­ment couvert par le Swiss‑U.S. DPF, faute d’un trans­fert (ou d’une acces­si­bi­lité) effec­tif de données person­nelles vers les États-Unis dans le cadre du business-as-usual.

Cela étant dit, avant de confier une mission à un pres­ta­taire de services (agis­sant ici en qualité de sous-trai­tant dans la pers­pec­tive des règles de protec­tion des données) ayant des liens avec les États-Unis, l’entreprise cliente (agis­sant ici en qualité de respon­sable du trai­te­ment) doit s’assurer que le pres­ta­taire de services (sous-trai­tant) en ques­tion est en mesure de trai­ter les données person­nelles dans le respect des exigences de la LPD, en tenant compte du risque décou­lant du US CLOUD Act.

Bien que le rapport d’évaluation de l’Office fédé­ral de la justice à l’appui de la déci­sion de recon­nais­sance du Swiss‑U.S. DPF soit bref, cette déci­sion pour­rait, selon nous, être vue comme une prise de posi­tion favo­rable des auto­ri­tés fédé­rales suisses sur la compa­ti­bi­lité du US CLOUD Act avec le droit suisse.

Nous sommes ainsi d’avis que, du point de vue de la protec­tion des données, la recon­nais­sance du Swiss‑U.S. DPF apporte une clari­fi­ca­tion impor­tante pour le scéna­rio 1 présenté dans le schéma ci-dessus. En rendant sa déci­sion, le Conseil fédé­ral a en effet consi­déré que les dispo­si­tions de droit améri­cain régis­sant l’accès des auto­ri­tés améri­caines aux données person­nelles trai­tées par les enti­tés certi­fiées ne sont pas contraires aux prin­cipes fonda­men­taux du droit suisse de la protec­tion des données, mais garan­tissent au contraire une protec­tion adéquate. S’il n’en était pas ainsi, le Conseil fédé­ral n’aurait pas pu recon­naître l’équivalence des entre­prises améri­caines certifiées.

Ainsi, la recon­nais­sance du Swiss‑U.S. DPF implique qu’un accès (même effec­tif) par les auto­ri­tés améri­caines (dans le scéna­rio analysé ici par le biais du US CLOUD Act) ne devrait plus consti­tuer un « no-go » absolu pour une entre­prise ou une admi­nis­tra­tion suisse. En effet, un tel accès devrait être consi­déré comme compa­tible avec les prin­cipes fonda­men­taux du droit suisse de la protec­tion des données. Partant, les consé­quences concrètes de la déci­sion de recon­nais­sance du Swiss‑U.S. DPF devraient consti­tuer un élément impor­tant pour les entre­prises et admi­nis­tra­tions suisses qui envi­sagent de colla­bo­rer avec des sous-trai­tants poten­tiel­le­ment soumis aux demandes des auto­ri­tés améri­caines dans le cadre du US CLOUD Act. L’analyse de risques auquel il convient, selon nous de procé­der dans un tel scéna­rio, devrait être le lieu pour docu­men­ter le raison­ne­ment suivi pour rete­nir l’admissibilité, sous l’angle de la LPD, d’un éven­tuel accès des auto­ri­tés améri­caines aux données stockées auprès de l’entité sise dans l’Union euro­péenne d’un groupe basé aux États-Unis.

A nos yeux, les mêmes consi­dé­ra­tions peuvent s’appliquer à un second scéna­rio (scéna­rio 2). Ce dernier concerne le cas dans lequel des données person­nelles sont trans­fé­rées par une entre­prise suisse à desti­na­tion d’un impor­ta­teur de données aux États-Unis non certi­fié sous l’angle du Swiss‑U.S. DPF, mais éligible à une telle certi­fi­ca­tion. En effet, les entre­prises s’appuyant sur les EU SCC pour de tels trans­ferts peuvent, dans le cadre de leur Transfer Impact Assessment (qui est néces­saire dans ce scéna­rio, au vu de la pratique du Préposé fédé­ral en cas de recours aux EU SCC pour fonder un trans­fert de données person­nelles vers un État non-adéquat), consi­dé­rer que l’accès des auto­ri­tés améri­caines aux données person­nelles trai­tées par les enti­tés certi­fiées rendues possibles en vertu du US CLOUD Act a été jugé accep­table par le Conseil fédé­ral dans la déci­sion de recon­nais­sance du Swiss‑U.S. DPF.

L’on relè­vera que ce raison­ne­ment inclut égale­ment, par exemple, les pouvoirs des services de rensei­gne­ment améri­cains, qui ont été recon­nus comme « non-problé­ma­tiques » dans le cadre du Swiss‑U.S. DPF. En effet, le nouveau méca­nisme de protec­tion juri­dique (aux États-Unis) intro­duit en lien avec le Swiss‑U.S. DPF concer­nant l’accès aux données person­nelles par les services de rensei­gne­ment améri­cains s’applique égale­ment lorsque le trai­te­ment des données person­nelles est réalisé par des entre­prises non certi­fiées sous l’empire du Swiss‑U.S. DPF.

Cela étant dit, il est impor­tant de souli­gner que tout risque iden­ti­fié lors d’un trans­fert en dehors de Suisse doit être limité à un niveau raison­nable (qui ne peut être nul vu que le risque zéro n’existe pas, contrai­re­ment aux exigences formu­lées dans la prise de posi­tion « SUVA/​M365 » du Préposé fédé­ral), par le biais de moyens tech­niques, orga­ni­sa­tion­nels et juri­diques (Technical and Operational Measures, TOMs). Un tel risque limité à un niveau raison­nable doit pouvoir être accepté confor­mé­ment à l’approche fondée sur les risques qui sous-tend le droit suisse de la protec­tion des données. Cette approche fondée sur les risques a été expli­ci­te­ment inté­grée dans la LPD et rappe­lée dans le cadre des travaux de révi­sion (cf. FF 2017 6565, 6593). L’art. 8 LPD impose en effet aux respon­sables du trai­te­ment et aux sous-trai­tants de garan­tir une sécu­rité des données adap­tée au risque grâce à des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées. Or, l’art 8 LPD s’applique à tous les trai­te­ments des données person­nelles, donc égale­ment à un trans­fert de celles-ci en-dehors de Suisse› .

D. Et qu’en est-il si les données sont (en sus) couvertes par un secret professionnel ?

En revanche, dans les deux scéna­rios, s’agissant d’un éven­tuel secret profes­sion­nel qui pour­rait s’appliquer aux données remises au pres­ta­taire, il est impor­tant de souli­gner que le Swiss‑U.S. DPF n’apporte aucun chan­ge­ment à l’obligation de respec­ter un tel secret.

Ceci est en parti­cu­lier vrai pour le secteur bancaire. Qu’il s’agisse de suivre l’approche tradi­tion­nelle, selon laquelle une renon­cia­tion valable au secret bancaire (accor­dée par le client) serait néces­saire afin de pouvoir confier des client-iden­ti­fying data (CIDs) à un pres­ta­taire de services loca­lisé en-dehors de Suisse, ou d’adopter la posi­tion plus récente prise, entre autres, dans les Cloud Guidelines publiées par l’Association suisse des banquiers, selon laquelle une telle renon­cia­tion ne serait pas requise, une règle est claire : la commu­ni­ca­tion de CIDs à un auxi­liaire à l’étranger doit toujours faire objet de TOMs adéquats, qui limitent de manière adéquate l’accès aux données par des tiers non auto­ri­sés, tels que, le cas échéant, des auto­ri­tés étrangères.

Le secteur public, quant à lui, connaît la notion de « secret de fonc­tion » au sens de l’art- 320 CP. La notion d’auxiliaire a été ajou­tée à l’art. 320 CP à comp­ter du 1er janvier 2023 et le Conseil fédé­ral a précisé « qu’il n’y avait pas de viola­tion du secret de fonc­tion lorsque des infor­ma­tions proté­gées sont commu­ni­quées à un auxi­liaire en Suisse ou à l’étranger (BO 2022 N 353 s). A noter toute­fois que certaines auto­ri­tés canto­nales de protec­tion des données adoptent des posi­tions plus strictes sur ce point et imposent aux admi­nis­tra­tions publiques sous leur compé­tence des exigences élevées en cas de trans­fert à l’étranger de données soumises au secret de fonction.

E. Perspectives d’avenir

Après l’agitation géné­rée par la déci­sion Schrems II, l’on assiste aujourd’hui, au niveau des tribu­naux, à un retour vers une approche plus raison­nable s’agissant des trans­ferts trans­at­lan­tiques de données person­nelles. Des déci­sions alle­mandes (cf. par exemple LG Passau, Endurteil v. 17.06.2024 – 1 O 121/​24) rela­tives à Facebook constatent que les trans­ferts d’un data expor­ter en Allemagne vers l’entité irlan­daise du Groupe Facebook, avec ensuite un onward trans­fer vers la maison-mère du Groupe aux États-Unis, sont accep­tables en cas de mise en place des EU SCC et eu égard au nouveau méca­nisme de protec­tion juri­dique (aux États-Unis) intro­duit en lien avec le Swiss‑U.S. DPF.

Si l’on conti­nue ce raison­ne­ment, le trans­fert depuis un respon­sable de trai­te­ment situé dans l’Union euro­péenne (ou en Suisse) vers un pres­ta­taire de services basé dans l’Union euro­péenne (mais poten­tiel­le­ment soumis à l’effet extra­ter­ri­to­rial de US Cloud Act) devrait, comme discuté ci-dessus (scéna­rio 1), être accep­table dans la pers­pec­tive du RGPD (et de la LPD). A nos yeux, il est même possible d’aller encore un pas plus loin : dans le cas d’un trans­fert effec­tif de données person­nelles à un pres­ta­taire améri­cain non-certi­fié, mais éligible à la certi­fi­ca­tion (scéna­rio 2), les nouvelles dispo­si­tions du méca­nisme de protec­tion juri­dique améri­cain adop­tées dans la pers­pec­tive des Data Privacy Frameworks au niveau de l’Union euro­péenne et de la Suisse s’appliquent même en-dehors du Data Privacy Framework et peuvent donc être prises en consi­dé­ra­tion lors de l’analyse du scéna­rio 2, qui devrait donc égale­ment être admis­sible sous l’angle de la LPD.

L’on constate donc que le Swiss-US DPF a un effet indi­rect en ce sens qu’il peut être pris en compte même dans des scéna­rios qu’il ne couvre pas expres­sé­ment, faute d’un trans­fert direct de données person­nelles aux États-Unis (scéna­rio 1) ou d’une certi­fi­ca­tion du data impor­ter améri­cain (scéna­rio 2).

Au niveau suisse, nous sommes d’avis que la déci­sion de recon­nais­sance du Conseil fédé­ral devrait clore le débat sur la compa­ti­bi­lité du US CLOUD Act avec le droit suisse de la protec­tion des données. Toutefois, bien que le Swiss‑U.S. DPF soit conçu comme une solu­tion à long terme, il convient de rester vigi­lant, car la ques­tion pour­rait resur­gir en cas de nouveaux déve­lop­pe­ments juri­diques, en parti­cu­lier si une déci­sion de type « Schrems III » venait à être rendue au niveau euro­péen. En tout état de cause, la déci­sion de recon­nais­sance du Conseil fédé­ral sera régu­liè­re­ment réexa­mi­née pour prendre en compte l’évolution du cadre juri­dique et les déci­sions suscep­tibles d’affecter son évalua­tion. Le premier réexa­men est prévu dans le courant de l’année 2025.

F. Conclusion

L’approbation du Swiss‑U.S. DPF par le Conseil fédé­ral marque une étape impor­tante dans la clari­fi­ca­tion du cadre juri­dique appli­cable aux trans­ferts de données person­nelles entre la Suisse et les États-Unis. Elle offre une plus grande sécu­rité juri­dique aux entre­prises et orga­nismes publics suisses utili­sant des services cloud améri­cains. En effet, les préoc­cu­pa­tions rela­tives à l’accès poten­tiel aux données par les auto­ri­tés améri­caines, notam­ment en vertu du US CLOUD Act, ont long­temps soulevé des doutes quant à la confor­mité de tels four­nis­seurs avec les exigences légales suisses. La clari­fi­ca­tion qui découle de la recon­nais­sance, en Suisse, du Swiss‑U.S. DPF, permet­tra désor­mais aux entre­prises privées et aux insti­tu­tions du secteur public de prendre des déci­sions plus éclai­rées, tout en veillant à ce que les risques liés à la protec­tion des données soient correc­te­ment appréhendés.