Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
À teneur de l’art. 6 al. 1 LPD, aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat. Il en va notamment ainsi pour le transfert de données personnelles (parfois même de données sensibles au sens de l’art. 3 let. c LPD) de la Suisse vers les États-Unis ou encore la Chine. Le second alinéa de l’art. 6 LPD prévoit toutefois qu’en dépit de l’absence d’une législation assurant un niveau de protection adéquat à l’étranger, des données personnelles peuvent être communiquées, en particulier lorsque des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger (art. 6 al. 1 let. a LPD).
C’est dans ce contexte que le Préposé fédéral à la protection des données et à la transparence (PFPDT) avait déjà reconnu les clauses contractuelles types adoptées par l’Union européenne (SCC) comme offrant des garanties suffisantes permettant le transfert des données dans des pays n’assurant pas un niveau de protection adéquat1.
En pratique, les SCC étaient très souvent utilisées par les entreprises suisses afin de transférer leurs données à l’étranger, notamment aux États-Unis. C’est donc avec un certain soulagement que les entreprises suisses ont appris le 27 août 2021 que le PFPDT avait officiellement reconnu la nouvelle version des SCC publiée par la Commission européenne comme offrant des garanties contractuelles suffisantes permettant d’assurer un niveau de protection adéquat dans des pays tiers.
Dans le présent article, nous détaillerons brièvement le contenu des nouvelles SCC (A) et examinerons plus en détail les conséquences pratiques pour les entreprises suisses de la décision du PFPDT de reconnaître ces clauses (B).
A. Approche et contenu des nouvelles SCC
1. Approche modulaire
D’un point de vue systématique, les nouvelles SCC couvrent toutes les constellations de transferts possibles en décrivant les obligations des parties au travers de quatre modules. Elles créent ainsi une sécurité juridique pour les constellations de transferts 3 et 4, qui n’étaient pas décrites dans les anciennes SCC.
- Module 1 : Transfert de responsable du traitement à responsable du traitement ;
- Module 2 : Transfert de responsable du traitement à sous-traitant ;
- Module 3 : Transfert de sous-traitant à sous-traitant ;
- Module 4 : Transfert de sous-traitant à responsable du traitement.
Les modules 1 et 2 (en vert) étaient déjà couverts par les anciennes SCC. Les modules 3 et 4 (en rouge) ont été introduits dans les nouvelles SCC.
Les nouvelles SCC abandonnent ainsi l’approche unique prévalant jusqu’ici ; la possibilité de choisir entre les modules crée une flexibilité permettant de répondre aux différents scénarios de transfert et à la complexité des chaînes de traitement modernes. Toutefois, les nouvelles SCC requièrent également une analyse précise des responsabilités de chacune des parties (qui agit en qualité de responsable du traitement et qui agit en qualité de sous-traitant) afin que le module adéquat soit choisi
Les nouvelles SCC simplifieront en outre les négociations : un accord distinct sur le traitement des données n’est plus nécessaire dans les modules 2 et 3, puisque les nouvelles SCC prévoient des garanties appropriées pour les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants conformément à l’art. 28 al. 7 RGPD. Aucun accord distinct sur le traitement des données n’est non plus nécessaire pour le transfert à un sous-traitant secondaire (cf. art 27. al. 4 RGPD).
2. Obligations additionnelles découlant des SCC
Les nouvelles SCC augmentent également (et de façon significative) les obligations des parties, notamment des importateurs de données agissant en tant que responsables du traitement. Ces obligations comprennent par exemple :
- Transparence : l’importateur de données doit informer les personnes concernées de son identité, d’un point de contact, des catégories de données personnelles traitées, du droit d’obtenir une copie des SCC et de tout transfert ultérieur (cf. clause 8.2 des nouvelles SCC) ;
- Sécurité : les nouvelles SCC mettent l’accent sur la cybersécurité (cf. clause 8.5 du module 1 des nouvelles SCC). Les parties doivent ainsi décrire en termes spécifiques (et non génériques) les mesures techniques et organisationnelles visant à garantir la sécurité des données personnelles (cf. Annexe II des nouvelles SCC). Pour cela, les parties devront comprendre de manière plus précise les détails opérationnels des activités de traitement des données ; et
- Documentation : chaque partie doit être en mesure de démontrer le respect des SSC (cf. clause 8.9 du module 1 des nouvelles SCC). En particulier, l’importateur de données doit conserver une documentation appropriée portant sur les activités de traitement (cf. clause 8.9 du module 1 des nouvelles SCC). L’obligation de documentation s’applique à tous les importateurs de données de la même manière, qu’ils soient responsables du traitement, sous-traitants ou sous-traitants secondaires.
B. Reconnaissance des nouvelles SCC par le PFPDT et conséquences pratiques
1. Conséquences de la reconnaissance
Le fait que le PFPDT ait officiellement reconnu les nouvelles SCC signifie pour les entreprises suisses qu’il leur est désormais possible d’utiliser ces dispositions comme base pour l’exportation de données de la Suisse vers des pays ne disposant pas d’un niveau de protection adéquat et notamment vers les États-Unis. Cela les exemptera en outre d’informer le PFPDT de l’utilisation des nouvelles SCC lors de chaque transfert : il sera ainsi suffisant de l’informer que – de manière toute générale – elles les utiliseront désormais pour tout transfert vers un pays tiers.
2. Transition vers les nouvelles SCC
En soi, les nouvelles SCC ne sont qu’un moyen parmi d’autres d’assurer un niveau adéquat de protection lors de l’exportation de données de la Suisse vers un pays tiers. Leur utilisation n’est donc – en théorie du moins – pas obligatoire. Toutefois, l’utilisation d’autres alternatives contractuelles requiert – pour chaque utilisation – une notification au PFPDT, ce qui rend leur utilisation peu optimale et encombrante.
On rappellera encore que l’utilisation des SCC constitue – en pratique – le seul fondement possible pour le transfert de données personnelles vers des pays tiers pour lesquels aucune exception n’est prévue dans la LPD.
Par ailleurs et à l’instar de ce qu’il se passe dans l’Union européenne, il faut s’attendre à ce que le PFPDT ne tolère désormais plus l’utilisation des anciennes SCC pour justifier le transfert des données vers des pays tiers dans les contrats conclus à partir du 27 septembre 2021. Partant, il est recommandé d’adopter rapidement les mesures de transition nécessaires en tout cas lorsque les accords actuellement en place intègrent les anciennes SCC.
3. Délai d’implémentation et période de transition
Il est rassurant de constater que le calendrier de mise en applicable des SCC adopté par le PFPDT se calque largement sur celui de l’Union européenne, simplifiant ainsi la coordination du processus de transition :
- dès le 27 septembre 2021, le PFPDT ne reconnaîtra plus les anciennes SCC dans les contrats nouvellement notifiés comme des garanties suffisantes au transfert de données de la Suisse vers des pays tiers. Passé cette date, les parties ne pourront plus valablement intégrer dans leur relation contractuelle (respectivement modifier des accords existants) les anciennes SCC afin de justifier le transfert de données dans des pays tiers ;
- une période transitoire est prévue jusqu’à fin 2022 pour les conventions existantes se fondant sur les anciennes SCC, pour autant que le traitement concerné et que ces accords demeurent inchangés. Les entreprises pourront ainsi continuer à s’appuyer sur ces accords jusqu’au 31 décembre 2022 : dès le 1er janvier 2023, ceux-ci devront être mis à jour afin d’intégrer les nouvelles SCC ou, le cas échéant, d’autres garanties contractuelles.
4. Adaptation des nouvelles SCC en Suisse
Selon l’avis du PFPDT, les nouvelles SCC ne requièrent que des modifications mineures afin de se conformer aux exigences de la LPD. Plus particulièrement, les clarifications suivantes doivent être ajoutées :
- la référence aux États membres de l’Union européenne ne doit pas être interprétée de telle manière à ce que les personnes concernées (en Suisse) voient leurs droits restreints à cause de leur résidence habituelle en Suisse ;
- les nouvelles SCC doivent également protéger les données détenues relatives aux personnes morales, aussi longtemps que la LPD est en vigueur ; et
- le PFPDT est l’autorité de surveillance compétente au sens de la LPD.
D’un point de vue pratique, ces clarifications peuvent être comprises dans un avenant aux SCC qui s’applique dans la mesure où la LPD est également applicable. Ainsi, l’avenant n’entrera pas en conflit avec la règle générale contenue dans les SCC selon laquelle celles-ci ne doivent pas être modifiées afin de constituer un fondement valable pour les transferts effectués selon le RGPD (cf. clause 2 des nouvelles SCC).
Par ailleurs, le PFPDT reconnaît expressément que les nouvelles SCC peuvent en principe être utilisées sans les adaptations susmentionnées si les transferts de données concernés sont simultanément régis par la LPD et le RGPD.
5. Modification des références aux anciennes SCC dans les contrats existants
Comme évoqué plus haut (A/1), la structure et le contenu des nouvelles SCC sont fondamentalement différents de l’ancienne version. Partant, les références aux anciennes versions des SCC ne peuvent simplement être remplacées dans les contrats existants. La transition exige au contraire des ajustements plus complexes et fondamentaux :
Premièrement, les nouvelles SCC instaurent une approche modulaire (A/1). Lors de l’intégration des SCC, les parties doivent ainsi convenir des modules qui s’appliquent à l’exportation de données en question ;
Deuxièmement, leur contenu est plus vaste que l’ancienne version (A/2). Les nouvelles SCC comprennent des obligations plus étendues et régissent d’autres sujets, ce dont il convient de tenir compte lors de la modification des anciennes SCC. Les modules 2 et 3, qui régissent les transferts au sous-traitant, comprennent des clauses relatives aux sous-traitants secondaires, pouvant entrer en conflit avec les accords existants. En sus, les nouvelles SCC prévoient une obligation d’effectuer une analyse d’impact du transfert afin d’aider les entreprises à faire face aux exigences résultant de la décision Schrems II de la CJUE. De surcroît, elles comprennent des clauses relatives à la responsabilité et certaines obligations d’annonce devant être faites par les parties. En résumé, cela signifie que les contrats existants devront être revus individuellement afin d’évaluer l’impact potentiel de la transition vers les nouvelles SCC et afin d’identifier les ajustements nécessaires ;
Troisièmement, les nouvelles SCC exigent des informations supplémentaires dans leurs annexes, telles que l’autorité de surveillance compétente, les mesures techniques et organisationnelles visant à garantir la sécurité des données ainsi que la fréquence des transferts. Les transferts au sous-traitant requièrent pour leur part une description de l’objet, de la nature et la durée du traitement. En outre, les nouvelles SCC présupposent une description plus large et plus détaillée des mesures techniques et organisationnelles visant à garantir la sécurité des données ainsi que la fréquence des transferts que sous l’égide de l’ancienne version.
6. Obligation d’informer le PFPDT
Contrairement au RGPD, la LPD exige encore que les entreprises informent le PFPDT de leur utilisation des SCC (art. 6 al. 3 LPD). Alors que l’utilisation de garanties contractuelles non standardisées requiert, pour chaque utilisation, une notification et un examen par le PFPDT, une notification unique et générale quant à l’utilisation des SCC suffit désormais pour couvrir toutes les utilisations ultérieures.
Cette obligation de notification pour les clauses standardisées sera abrogée par l’entrée en vigueur de la nouvelle LPD, mais elle s’applique néanmoins toujours dans l’intervalle.
C. Conclusion
La décision du PFPDT de reconnaître les nouvelles SCC comme offrant des garanties suffisantes permettant d’assurer un niveau de protection adéquat à l’étranger est bien évidemment une excellente nouvelle. Cela dit, il sied de souligner que les nouvelles SCC divergent diamétralement des anciennes SCC et nécessitent un processus d’adaptation complet. Dans ce contexte, il est (fortement) recommandé aux entreprises suisses de saisir l’opportunité du processus de mise en œuvre de la nouvelle LPD afin d’intégrer les nouvelles exigences des SCC.
À ce sujet, il sied encore de relever que lors de sa communication du 27 août 2021, le PFPDT a indiqué que la nouvelle LPD n’entrerait en vigueur que le 1er janvier 2023, alors que beaucoup espéraient la voir applicable dans le courant du second semestre 2022. Il convient toutefois de souligner que le point de vue du PFPDT ne lie pas le Conseil fédéral, qui décidera de la date d’entrée en vigueur de la nouvelle LPD en temps opportun. Ainsi, il est encore théoriquement possible que celle-ci entre en vigueur en 2022.
- Document intitulé « The transfer of personal data to a country with an inadequate level of data protection based on recognised standard contractual clauses and model contracts » et publié le 27 août 2021 par le PFPDT. Ce document est disponible ici.
Proposition de citation : Gabriel Kasper / Jeremy Reichlin, Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques, 15 septembre 2021 in www.swissprivacy.law/91
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.