Alors que le EU-US Data Privacy Framework a été adopté par la Commission euro­péenne et le US Department of Commerce le 10 juillet 2023 (cf. swiss​pri​vacy​.law/​2​38/), le Swiss-US Data Privacy Framework prend effet le 17 juillet 2023. Il faudra toute­fois attendre avant de pouvoir libre­ment trans­fé­rer des données person­nelles depuis la Suisse vers les entre­prises améri­caines affi­liées, que le Conseil fédé­ral recon­naisse les États-Unis comme un pays garan­tis­sant un niveau de protec­tion adéquat pour les données person­nelles trans­fé­rées à ces dernières. Cette déci­sion permet­tra l’ajout des États-Unis dans la liste de l’Annexe 1 à la nouvelle Ordonnance sur la protec­tion des données qui entrera en vigueur le 1^er septembre 2023.

Dans l’in­ter­valle, nous analy­sons ici briè­ve­ment les condi­tions que doivent remplir les socié­tés améri­caines pour être affi­liées au Data Privacy Framework, dans sa version euro­péenne ou suisse.

Le US Department of Commerce a émis les prin­cipes qui régissent le EU-US Data Privacy Framework (les « Principes DPF »), lesquels figurent en Annexe 1 à la déci­sion d’adé­qua­tion de la Commission euro­péenne.

De la même manière que sous l’empire du EU-US Privacy Shield, les entre­prises doivent s’af­fi­lier au EU-US Data Privacy Framework par le biais d’une auto­cer­ti­fi­ca­tion par laquelle elles déclarent au US Department of Commerce adhé­rer aux Principes DPF. L’affiliation se fait donc sur une base volon­taire et à comp­ter de l’af­fi­lia­tion, la société concer­née est tenue de respec­ter les Principes DPF.

Pour adhé­rer au EU-US Data Privacy Framework il convient donc : (i) d’être soumis au pouvoir d’en­quête et d’exé­cu­tion de la Federal Trade Commission ou du US Department of Transportation ; (ii) décla­rer publi­que­ment s’en­ga­ger à suivre les Principes DPF ; (iii) publier sa Politique de Confidentialité conforme avec les Principes DPF et (iv) mettre en œuvre ces derniers.

Chaque année, les socié­tés affi­liées doivent renou­ve­ler leur certi­fi­ca­tion volon­taire. Les socié­tés affi­liées sont respon­sables de conduire annuel­le­ment des auto-évalua­tions ou des analyses de confor­mité pour démon­trer leur confor­mité avec les Principes DPF (exigence de véri­fi­ca­tion). Toute viola­tion aux Principes DPF par les entre­prises affi­liées est punis­sable par le US Department of Commerce.

L’inscription d’une société sur la liste des orga­ni­sa­tions affi­liées tenue par le US Department of Commerce vaut affi­lia­tion et permet donc un libre trans­fert de données person­nelles vers cette société depuis l’Union européenne.

Les entre­prises qui étaient déjà affi­liées à l’an­cien EU-US Privacy Shield seront auto­ma­ti­que­ment affi­liées au EU-US Data Privacy Framework sans devoir soumettre une nouvelle auto­cer­ti­fi­ca­tion. Ces entre­prises devront unique­ment mettre à jour leur poli­tique de confi­den­tia­lité pour faire réfé­rence aux Principes DPF et ce avant le 10 octobre 2023. A contra­rio, si celles-ci ne souhaitent pas être affi­liées au EU-US Data Privacy Framework elles devront soumettre une procé­dure de retrait.

Les mêmes prin­cipes s’ap­pliquent à l’af­fi­lia­tion par les entre­prises améri­caines au Swiss‑U.S. Data Privacy Framework, à la diffé­rence qu’elles ne pour­ront se préva­loir du libre trans­fert de données person­nelles depuis la Suisse qu’à comp­ter de la date d’en­trée en vigueur de la recon­nais­sance d’équi­va­lence du Swiss‑U.S. Data Privacy Framework par le Conseil fédéral.