I. Qu’est-ce que le Conseil fédé­ral a décidé ?

Par sa déci­sion du 14 août 2024, le Conseil fédé­ral suisse a reconnu que le Swiss‑U.S. Data Privacy Framework (ci-après : CH‑U.S. DPF) offre un niveau de protec­tion des données adéquat lorsque des entre­prises privées ou des auto­ri­tés publiques en Suisse trans­fèrent des données person­nelles à des entre­prises améri­caines certi­fiées aux États-Unis. L’annexe 1 de l’Ordonnance sur la protec­tion des données (OPDo) sera mise à jour pour inclure les États-Unis à la liste des pays qui garan­tissent un niveau de protec­tion des données adéquat (pour autant bien évidem­ment que le trans­fert de données s’ef­fec­tue dans le cadre du CH‑U.S. DPF).

La Suisse suit ainsi l’ap­proche adop­tée quelques mois plus tôt par l’UE avec l’adop­tion du EU‑U.S. Data Privacy Framework (ci-après : EU‑U.S. DPF). Le nouveau CH‑U.S. DPF corres­pond en substance au EU‑U.S. DPF, qui a marqué la fin d’une période d’in­cer­ti­tude pour les trans­ferts de données person­nelles aux États-Unis après que la déci­sion histo­rique « Schrems II » de la Cour de justice de l’Union euro­péenne (CJUE) ait inva­lidé le prédé­ces­seur du EU‑U.S. DPF, soit le EU-US Privacy Shield.

Concrètement, le CH‑U.S. DPF prévoit ce qui suit :

• Les États-Unis alignent leur système juri­dique sur les prin­cipes fonda­men­taux du droit suisse par le biais du décret prési­den­tiel 14086 mis en œuvre par le président Biden le 7 octobre 2022 (Executive Order ; ci-après : EO 14086). Les chan­ge­ments comprennent une limi­ta­tion des acti­vi­tés de rensei­gne­ment des États-Unis à ce qui est propor­tionné, une surveillance des services de rensei­gne­ment améri­cains et l’in­tro­duc­tion d’un méca­nisme de recours. Plus tôt cette année, le 13 juin 2024, le ministre de la justice améri­cain a dési­gné la Suisse comme un État admis­sible aux fins de la mise en œuvre du méca­nisme de recours ;
• Les entre­prises améri­caines peuvent auto-certi­fier qu’elles adhèrent à un ensemble défini de prin­cipes de protec­tion de la vie privée. Les entre­prises améri­caines certi­fiées doivent notam­ment garan­tir les droits des personnes concer­nées tels qu’ils sont défi­nis dans le RGPD et les possi­bi­li­tés de recours, y compris un méca­nisme indé­pen­dant et gratuit de règle­ment des litiges et un arbi­trage. Le respect de ces prin­cipes est contrôlé par le minis­tère améri­cain du commerce (ci-après : DoC) et appli­qué par la commis­sion fédé­rale du commerce des États-Unis.

II. Quand le CH‑U.S. DPF entrera-t-il en vigueur ?

Le nouveau CH‑U.S. DPF entrera en vigueur le 15 septembre 2024.

III. Quelles sont les consé­quences du nouveau CH‑U.S. DPF ?

Le CH‑U.S. DPF faci­li­tera la trans­mis­sion de données person­nelles de la Suisse vers les États-Unis : une fois en vigueur, les expor­ta­teurs de données suisses pour­ront trans­fé­rer des données person­nelles à des desti­na­taires aux États-Unis qui parti­cipent au CH‑U.S. DPF sans avoir à signer et mettre en place les clauses contrac­tuelles types pour le trans­fert de données à carac­tère person­nel vers des pays tiers (Standard Contractual Clauses ; ci-après : SCC) et sans avoir à effec­tuer une évalua­tion de l’im­pact du trans­fert de données au préalable.

Même pour les entre­prises qui conti­nuent de s’ap­puyer sur les SCC, le CH‑U.S. DPF faci­li­tera la trans­mis­sion de données aux États-Unis et l’éva­lua­tion de l’im­pact du trans­fert de données, étant donné que les limi­ta­tions impo­sées par l’EO 14086 s’ap­pliquent indé­pen­dam­ment du fait que les données person­nelles soient trans­fé­rées dans le cadre du CH‑U.S. DPF ou sur la base d’un instru­ment de trans­fert diffé­rent, tel que les SCC par exemple.

IV. Existe-t-il une liste des entre­prises améri­caines parti­ci­pant au CH‑U.S. DPF ?

Le DoC tient à jour et publie une liste des entre­prises améri­caines qui se sont auto-certi­fiées et ont déclaré se confor­mer au CH‑U.S. DPF (ci-après : la liste du DPF). Il existe des excep­tions quant aux entre­prises améri­caines qui peuvent parti­ci­per au CH‑U.S. DPF, mais les expor­ta­teurs de données suisses peuvent se fier au fait que les entre­prises figu­rant sur la liste publiée par le DoC sont certifiées.

V. Est-il encore néces­saire de signer un accord de trans­fert de données dans le cadre du CH‑U.S. DPF ?

Même lors de la trans­mis­sion de données person­nelles dans le cadre du CH‑U.S. DPF, il est géné­ra­le­ment conseillé aux expor­ta­teurs de données de conclure un accord de trans­fert de données appro­prié avec l’im­por­ta­teur de données. Cet accord devrait inclure les éléments suivants, en plus de toutes les autres condi­tions régis­sant le trans­fert des données perti­nentes dans les circons­tances spécifiques :

• Obligation de se confor­mer aux prin­cipes du CH‑U.S. DPF ;
• Obligation de rester dûment certi­fié dans le cadre du CH‑U.S. DPF ;
• Obligation de noti­fier immé­dia­te­ment à l’ex­por­ta­teur de données le retrait de la liste du DPF et la raison de ce retrait ;
• Mécanisme permet­tant de faire face aux consé­quences d’un retrait de la liste du DPF.

VI. Que faire des SCC ou des règles d’en­tre­prise contrai­gnantes existantes ?

En prin­cipe, les SCC ou les règles d’en­tre­prise contrai­gnantes (Binding Corporate Rules) conclues anté­rieu­re­ment ne sont plus néces­saires pour la commu­ni­ca­tion de données à un impor­ta­teur de données améri­cain qui parti­cipe au CH‑U.S. DPF. Les entre­prises devraient toute­fois réflé­chir atten­ti­ve­ment à la ques­tion de savoir si elles doivent fonder le trans­fert des données person­nelles aux Etats-Unis unique­ment sur la base du CH‑U.S. DPF, car il peut y avoir des raisons valables de conti­nuer à s’ap­puyer sur les SCC ou les règles d’en­tre­prise contrai­gnantes. Tel peut notam­ment être le cas lorsque :

• L’importateur de données améri­cain est retiré de la liste du DPF, la trans­mis­sion de données n’est plus consi­dé­rée comme étant couverte par un niveau de protec­tion adéquat. Les SCC ou les règles d’en­tre­prise contrai­gnantes exis­tantes pour­raient encore servir de solu­tion de repli pour assu­rer une protec­tion adéquate ; et
• La vali­dité du CH‑U.S. DPF est déjà contes­tée par des procé­dures judi­ciaires dans l’UE, comme l’ont été ses prédé­ces­seurs. Si la CJUE décide fina­le­ment d’in­va­li­der le EU‑U.S. DPF, il est fort probable que cela aura égale­ment un impact sur le CH‑U.S. DPF et que les entre­prises qui s’ap­puient exclu­si­ve­ment sur le CH‑U.S. DPF risquent de ne plus être proté­gées. Ainsi, le main­tien des SCC exis­tantes ou des règles d’en­tre­prise contrai­gnantes peut servir de protec­tion au cas où le CH‑U.S. DPF serait inva­lidé par la voie judiciaire.

VII. Quelles sont les consé­quences d’un retrait de la liste du DPF ?

Les entre­prises améri­caines peuvent être reti­rées de la liste des entre­prises parti­ci­pantes au DPF dans les cas suivants :

• Elles se retirent volon­tai­re­ment du CH‑U.S. DPF ;
• Elles ne parviennent pas à effec­tuer leur re-certi­fi­ca­tion annuelle ; ou
• Elles ne respectent pas les prin­cipes de manière persistante.

Pour les trans­mis­sions de données qui ont eu lieu avant le retrait de l’en­tre­prise améri­caine de la liste du DPF, l’ex­por­ta­teur suisse de données peut faire valoir que ces trans­ferts ont été effec­tués léga­le­ment en vertu de la déci­sion d’adé­qua­tion du Conseil fédé­ral et peuvent donc être consi­dé­rés comme valables.

Pour les trans­mis­sions de données qui ont eu lieu après le retrait de l’en­tre­prise améri­caine de la liste du DPF, la déci­sion d’adé­qua­tion du Conseil fédé­ral ne s’ap­plique pas. Au lieu de cela, les parties doivent garan­tir un niveau adéquat de protec­tion des données par d’autres moyens recon­nus par la loi, soit notam­ment les SCC ou des règles d’en­tre­prise contrai­gnantes. Si aucune garan­tie de ce type ne peut être mise en place, l’im­por­ta­teur améri­cain de données doit renvoyer ou suppri­mer les données personnelles.

VIII. Le CH‑U.S. DPF est-il une solu­tion perma­nente pour les trans­mis­sions de données entre la Suisse et les États-Unis ?

En prin­cipe, le CH‑U.S. DPF est censé être une solu­tion perma­nente. Cependant, il s’agit de la troi­sième tenta­tive des auto­ri­tés suisses et améri­caines de faci­li­ter la trans­mis­sion trans­at­lan­tique de données person­nelles, après que la CJUE a inva­lidé le EU‑U.S. Safe Harbor Framework (suite à l’arrêt « Schrems I »), puis le EU‑U.S. Privacy Shield (suite à l’ar­rêt « Schrems II »), qui dans chaque cas a égale­ment mis fin aux arran­ge­ments corres­pon­dants entre la Suisse et les États-Unis. Étant donné que le EU‑U.S. DPF est déjà contesté par des procé­dures judi­ciaires dans l’UE, le temps nous dira si le EU‑U.S. DPF et le CH‑U.S. DPF résis­te­ront à l’exa­men judi­ciaire. A noter encore que la déci­sion d’adé­qua­tion peut être annu­lée en tout temps par la Commission Européenne s’agis­sant du EU‑U.S. DPF (cf. Art. 45 §4 RGPD); le Conseil fédé­ral peut en faire de même en appli­ca­tion de l’art. 8 OPDo.

Enfin, la légis­la­tion améri­caine peut chan­ger. Le Conseil fédé­ral suivra en perma­nence les déci­sions améri­caines perti­nentes et réexa­mi­nera régu­liè­re­ment la déci­sion d’adé­qua­tion. La première révi­sion aura lieu dans un an. En cas de dysfonc­tion­ne­ment du CH‑U.S. DPF, la déci­sion d’adé­qua­tion sera adap­tée ou retirée.