À teneur de l’art. 6 al. 1 LPD, aucune donnée person­nelle ne peut être commu­ni­quée à l’étranger si la person­na­lité des personnes concer­nées devait s’en trou­ver grave­ment mena­cée, notam­ment du fait de l’absence d’une légis­la­tion assu­rant un niveau de protec­tion adéquat. Il en va notam­ment ainsi pour le trans­fert de données person­nelles (parfois même de données sensibles au sens de l’art. 3 let. c LPD) de la Suisse vers les États-Unis ou encore la Chine. Le second alinéa de l’art. 6 LPD prévoit toute­fois qu’en dépit de l’absence d’une légis­la­tion assu­rant un niveau de protec­tion adéquat à l’étranger, des données person­nelles peuvent être commu­ni­quées, en parti­cu­lier lorsque des garan­ties suffi­santes, notam­ment contrac­tuelles, permettent d’assurer un niveau de protec­tion adéquat à l’étranger (art. 6 al. 1 let. a LPD).  

C’est dans ce contexte que le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) avait déjà reconnu les clauses contrac­tuelles types adop­tées par l’Union euro­péenne (SCC) comme offrant des garan­ties suffi­santes permet­tant le trans­fert des données dans des pays n’as­su­rant pas un niveau de protec­tion adéquat¹.

En pratique, les SCC étaient très souvent utili­sées par les entre­prises suisses afin de trans­fé­rer leurs données à l’étran­ger, notam­ment aux États-Unis. C’est donc avec un certain soula­ge­ment que les entre­prises suisses ont appris le 27 août 2021 que le PFPDT avait offi­ciel­le­ment reconnu la nouvelle version des SCC publiée par la Commission euro­péenne comme offrant des garan­ties contrac­tuelles suffi­santes permet­tant d’as­su­rer un niveau de protec­tion adéquat dans des pays tiers. 

Dans le présent article, nous détaille­rons briè­ve­ment le contenu des nouvelles SCC (A) et exami­ne­rons plus en détail les consé­quences pratiques pour les entre­prises suisses de la déci­sion du PFPDT de recon­naître ces clauses (B). 

A. Approche et contenu des nouvelles SCC 

1. Approche modulaire

D’un point de vue systé­ma­tique, les nouvelles SCC couvrent toutes les constel­la­tions de trans­ferts possibles en décri­vant les obli­ga­tions des parties au travers de quatre modules. Elles créent ainsi une sécu­rité juri­dique pour les constel­la­tions de trans­ferts 3 et 4, qui n’étaient pas décrites dans les anciennes SCC. 

• Module 1 : Transfert de respon­sable du trai­te­ment à respon­sable du trai­te­ment ; 
• Module 2 : Transfert de respon­sable du trai­te­ment à sous-trai­tant ; 
• Module 3 : Transfert de sous-trai­tant à sous-trai­tant ; 
• Module 4 : Transfert de sous-trai­tant à respon­sable du trai­te­ment. 

Les modules 1 et 2 (en vert) étaient déjà couverts par les anciennes SCC. Les modules 3 et 4 (en rouge) ont été intro­duits dans les nouvelles SCC. 

Les nouvelles SCC aban­donnent ainsi l’ap­proche unique préva­lant jusqu’ici ; la possi­bi­lité de choi­sir entre les modules crée une flexi­bi­lité permet­tant de répondre aux diffé­rents scéna­rios de trans­fert et à la complexité des chaînes de trai­te­ment modernes. Toutefois, les nouvelles SCC requièrent égale­ment une analyse précise des respon­sa­bi­li­tés de chacune des parties (qui agit en qualité de respon­sable du trai­te­ment et qui agit en qualité de sous-trai­tant) afin que le module adéquat soit choisi 

Les nouvelles SCC simpli­fie­ront en outre les négo­cia­tions : un accord distinct sur le trai­te­ment des données n’est plus néces­saire dans les modules 2 et 3, puisque les nouvelles SCC prévoient des garan­ties appro­priées pour les trans­ferts de données des respon­sables du trai­te­ment aux sous-trai­tants et/​ou des sous-trai­tants aux sous-trai­tants confor­mé­ment à l’art. 28 al. 7 RGPD. Aucun accord distinct sur le trai­te­ment des données n’est non plus néces­saire pour le trans­fert à un sous-trai­tant secon­daire (cf. art 27. al. 4 RGPD). 

2. Obligations addi­tion­nelles décou­lant des SCC 

Les nouvelles SCC augmentent égale­ment (et de façon signi­fi­ca­tive) les obli­ga­tions des parties, notam­ment des impor­ta­teurs de données agis­sant en tant que respon­sables du trai­te­ment. Ces obli­ga­tions comprennent par exemple : 

• Transparence : l’im­por­ta­teur de données doit infor­mer les personnes concer­nées de son iden­tité, d’un point de contact, des caté­go­ries de données person­nelles trai­tées, du droit d’ob­te­nir une copie des SCC et de tout trans­fert ulté­rieur (cf. clause 8.2 des nouvelles SCC) ; 
• Sécurité : les nouvelles SCC mettent l’accent sur la cyber­sé­cu­rité (cf. clause 8.5 du module 1 des nouvelles SCC). Les parties doivent ainsi décrire en termes spéci­fiques (et non géné­riques) les mesures tech­niques et orga­ni­sa­tion­nelles visant à garan­tir la sécu­rité des données person­nelles (cf. Annexe II des nouvelles SCC). Pour cela, les parties devront comprendre de manière plus précise les détails opéra­tion­nels des acti­vi­tés de trai­te­ment des données ; et 
• Documentation : chaque partie doit être en mesure de démon­trer le respect des SSC (cf. clause 8.9 du module 1 des nouvelles SCC). En parti­cu­lier, l’im­por­ta­teur de données doit conser­ver une docu­men­ta­tion appro­priée portant sur les acti­vi­tés de trai­te­ment (cf. clause 8.9 du module 1 des nouvelles SCC). L’obligation de docu­men­ta­tion s’ap­plique à tous les impor­ta­teurs de données de la même manière, qu’ils soient respon­sables du trai­te­ment, sous-trai­tants ou sous-trai­tants secon­daires. 

B. Reconnaissance des nouvelles SCC par le PFPDT et consé­quences pratiques 

1. Conséquences de la recon­nais­sance 

Le fait que le PFPDT ait offi­ciel­le­ment reconnu les nouvelles SCC signi­fie pour les entre­prises suisses qu’il leur est désor­mais possible d’uti­li­ser ces dispo­si­tions comme base pour l’ex­por­ta­tion de données de la Suisse vers des pays ne dispo­sant pas d’un niveau de protec­tion adéquat et notam­ment vers les États-Unis. Cela les exemp­tera en outre d’in­for­mer le PFPDT de l’uti­li­sa­tion des nouvelles SCC lors de chaque trans­fert : il sera ainsi suffi­sant de l’in­for­mer que – de manière toute géné­rale – elles les utili­se­ront désor­mais pour tout trans­fert vers un pays tiers. 

2. Transition vers les nouvelles SCC 

En soi, les nouvelles SCC ne sont qu’un moyen parmi d’autres d’as­su­rer un niveau adéquat de protec­tion lors de l’ex­por­ta­tion de données de la Suisse vers un pays tiers. Leur utili­sa­tion n’est donc – en théo­rie du moins – pas obli­ga­toire. Toutefois, l’uti­li­sa­tion d’autres alter­na­tives contrac­tuelles requiert – pour chaque utili­sa­tion – une noti­fi­ca­tion au PFPDT, ce qui rend leur utili­sa­tion peu opti­male et encom­brante. 

On rappel­lera encore que l’uti­li­sa­tion des SCC consti­tue – en pratique – le seul fonde­ment possible pour le trans­fert de données person­nelles vers des pays tiers pour lesquels aucune excep­tion n’est prévue dans la LPD. 

Par ailleurs et à l’ins­tar de ce qu’il se passe dans l’Union euro­péenne, il faut s’at­tendre à ce que le PFPDT ne tolère désor­mais plus l’uti­li­sa­tion des anciennes SCC pour justi­fier le trans­fert des données vers des pays tiers dans les contrats conclus à partir du 27 septembre 2021. Partant, il est recom­mandé d’adop­ter rapi­de­ment les mesures de tran­si­tion néces­saires en tout cas lorsque les accords actuel­le­ment en place intègrent les anciennes SCC. 

3. Délai d’im­plé­men­ta­tion et période de tran­si­tion 

Il est rassu­rant de consta­ter que le calen­drier de mise en appli­cable des SCC adopté par le PFPDT se calque large­ment sur celui de l’Union euro­péenne, simpli­fiant ainsi la coor­di­na­tion du proces­sus de tran­si­tion : 

• dès le 27 septembre 2021, le PFPDT ne recon­naî­tra plus les anciennes SCC dans les contrats nouvel­le­ment noti­fiés comme des garan­ties suffi­santes au trans­fert de données de la Suisse vers des pays tiers. Passé cette date, les parties ne pour­ront plus vala­ble­ment inté­grer dans leur rela­tion contrac­tuelle (respec­ti­ve­ment modi­fier des accords exis­tants) les anciennes SCC afin de justi­fier le trans­fert de données dans des pays tiers ; 
• une période tran­si­toire est prévue jusqu’à fin 2022 pour les conven­tions exis­tantes se fondant sur les anciennes SCC, pour autant que le trai­te­ment concerné et que ces accords demeurent inchan­gés. Les entre­prises pour­ront ainsi conti­nuer à s’ap­puyer sur ces accords jusqu’au 31 décembre 2022 : dès le 1er janvier 2023, ceux-ci devront être mis à jour afin d’in­té­grer les nouvelles SCC ou, le cas échéant, d’autres garan­ties contrac­tuelles. 

4. Adaptation des nouvelles SCC en Suisse 

Selon l’avis du PFPDT, les nouvelles SCC ne requièrent que des modi­fi­ca­tions mineures afin de se confor­mer aux exigences de la LPD. Plus parti­cu­liè­re­ment, les clari­fi­ca­tions suivantes doivent être ajou­tées : 

• la réfé­rence aux États membres de l’Union euro­péenne ne doit pas être inter­pré­tée de telle manière à ce que les personnes concer­nées (en Suisse) voient leurs droits restreints à cause de leur rési­dence habi­tuelle en Suisse ; 
• les nouvelles SCC doivent égale­ment proté­ger les données déte­nues rela­tives aux personnes morales, aussi long­temps que la LPD est en vigueur ; et 
• le PFPDT est l’au­to­rité de surveillance compé­tente au sens de la LPD. 

D’un point de vue pratique, ces clari­fi­ca­tions peuvent être comprises dans un avenant aux SCC qui s’ap­plique dans la mesure où la LPD est égale­ment appli­cable. Ainsi, l’ave­nant n’en­trera pas en conflit avec la règle géné­rale conte­nue dans les SCC selon laquelle celles-ci ne doivent pas être modi­fiées afin de consti­tuer un fonde­ment valable pour les trans­ferts effec­tués selon le RGPD (cf. clause 2 des nouvelles SCC). 

Par ailleurs, le PFPDT recon­naît expres­sé­ment que les nouvelles SCC peuvent en prin­cipe être utili­sées sans les adap­ta­tions susmen­tion­nées si les trans­ferts de données concer­nés sont simul­ta­né­ment régis par la LPD et le RGPD. 

5. Modification des réfé­rences aux anciennes SCC dans les contrats exis­tants 

Comme évoqué plus haut (A/​1), la struc­ture et le contenu des nouvelles SCC sont fonda­men­ta­le­ment diffé­rents de l’an­cienne version. Partant, les réfé­rences aux anciennes versions des SCC ne peuvent simple­ment être rempla­cées dans les contrats exis­tants. La tran­si­tion exige au contraire des ajus­te­ments plus complexes et fonda­men­taux : 

Premièrement, les nouvelles SCC instaurent une approche modu­laire (A/​1). Lors de l’in­té­gra­tion des SCC, les parties doivent ainsi conve­nir des modules qui s’ap­pliquent à l’ex­por­ta­tion de données en question ;

Deuxièmement, leur contenu est plus vaste que l’an­cienne version (A/​2). Les nouvelles SCC comprennent des obli­ga­tions plus éten­dues et régissent d’autres sujets, ce dont il convient de tenir compte lors de la modi­fi­ca­tion des anciennes SCC. Les modules 2 et 3, qui régissent les trans­ferts au sous-trai­tant, comprennent des clauses rela­tives aux sous-trai­tants secon­daires, pouvant entrer en conflit avec les accords exis­tants. En sus, les nouvelles SCC prévoient une obli­ga­tion d’ef­fec­tuer une analyse d’impact du trans­fert afin d’ai­der les entre­prises à faire face aux exigences résul­tant de la déci­sion Schrems II de la CJUE. De surcroît, elles comprennent des clauses rela­tives à la respon­sa­bi­lité et certaines obli­ga­tions d’an­nonce devant être faites par les parties. En résumé, cela signi­fie que les contrats exis­tants devront être revus indi­vi­duel­le­ment afin d’éva­luer l’im­pact poten­tiel de la tran­si­tion vers les nouvelles SCC et afin d’iden­ti­fier les ajus­te­ments néces­saires ; 

Troisièmement, les nouvelles SCC exigent des infor­ma­tions supplé­men­taires dans leurs annexes, telles que l’au­to­rité de surveillance compé­tente, les mesures tech­niques et orga­ni­sa­tion­nelles visant à garan­tir la sécu­rité des données ainsi que la fréquence des trans­ferts. Les trans­ferts au sous-trai­tant requièrent pour leur part une descrip­tion de l’ob­jet, de la nature et la durée du trai­te­ment. En outre, les nouvelles SCC présup­posent une descrip­tion plus large et plus détaillée des mesures tech­niques et orga­ni­sa­tion­nelles visant à garan­tir la sécu­rité des données ainsi que la fréquence des trans­ferts que sous l’égide de l’an­cienne version. 

6. Obligation d’in­for­mer le PFPDT 

Contrairement au RGPD, la LPD exige encore que les entre­prises informent le PFPDT de leur utili­sa­tion des SCC (art. 6 al. 3 LPD). Alors que l’uti­li­sa­tion de garan­ties contrac­tuelles non stan­dar­di­sées requiert, pour chaque utili­sa­tion, une noti­fi­ca­tion et un examen par le PFPDT, une noti­fi­ca­tion unique et géné­rale quant à l’uti­li­sa­tion des SCC suffit désor­mais pour couvrir toutes les utili­sa­tions ulté­rieures. 

Cette obli­ga­tion de noti­fi­ca­tion pour les clauses stan­dar­di­sées sera abro­gée par l’en­trée en vigueur de la nouvelle LPD, mais elle s’ap­plique néan­moins toujours dans l’in­ter­valle.  

C. Conclusion

La déci­sion du PFPDT de recon­naître les nouvelles SCC comme offrant des garan­ties suffi­santes permet­tant d’assurer un niveau de protec­tion adéquat à l’étranger est bien évidem­ment une excel­lente nouvelle. Cela dit, il sied de souli­gner que les nouvelles SCC divergent diamé­tra­le­ment des anciennes SCC et néces­sitent un proces­sus d’adap­ta­tion complet. Dans ce contexte, il est (forte­ment) recom­mandé aux entre­prises suisses de saisir l’op­por­tu­nité du proces­sus de mise en œuvre de la nouvelle LPD afin d’in­té­grer les nouvelles exigences des SCC.  

À ce sujet, il sied encore de rele­ver que lors de sa commu­ni­ca­tion du 27 août 2021, le PFPDT a indi­qué que la nouvelle LPD n’en­tre­rait en vigueur que le 1er janvier 2023, alors que beau­coup espé­raient la voir appli­cable dans le courant du second semestre 2022. Il convient toute­fois de souli­gner que le point de vue du PFPDT ne lie pas le Conseil fédé­ral, qui déci­dera de la date d’en­trée en vigueur de la nouvelle LPD en temps oppor­tun. Ainsi, il est encore théo­ri­que­ment possible que celle-ci entre en vigueur en 2022. 

1. Document inti­tulé « The trans­fer of perso­nal data to a coun­try with an inade­quate level of data protec­tion based on reco­gni­sed stan­dard contrac­tual clauses and model contracts » et publié le 27 août 2021 par le PFPDT. Ce docu­ment est dispo­nible ici.