Lors de son examen annuel, le préposé a réévalué la conformité du bouclier (Swiss-US Privacy Shield) au droit de la protection des données. Il a notamment pris en compte la récente jurisprudence de la Cour de justice de l’Union européenne (CJUE) sur la question (voir encadré).
Le bouclier n’offre pas "un niveau de protection des données adéquat conformément à la loi fédérale sur la protection des données (LPD), pour la communication de données de la Suisse vers les Etats-Unis", même s'il garantit certains droits aux personnes se trouvant en Suisse, a estimé le PFPDT dans un communiqué.
La mention "niveau adéquat sous certaines conditions" pour les Etats-Unis a ainsi été retirée sur la liste répertoriant la protection des données dans le monde. Cette liste constitue une évaluation officielle générale du niveau de protection des données dans les pays qui y figurent.
Garanties supplémentaires
Selon la décision de la CJUE, il ne suffit plus, pour l'exportation de données à caractère personnel dans l'UE, que les entreprises américaines soient certifiées dans le cadre du régime de protection de la vie privée. Des garanties supplémentaires doivent désormais être exigées, notamment des clauses contractuelles types.
Il en va de même pour les entreprises suisses lorsqu'elles transfèrent des données vers le nuage ou une filiale aux Etats-Unis. Des droits de protection spéciaux sont désormais requis. Toutes les entreprises suisses doivent en outre protéger ces droits dans des clauses contractuelles.
Cette nouvelle évaluation n'a cependant pas d'influence sur le maintien de ce bouclier de protection Suisse - Etats-Unis. Celui-ci reste en place et les personnes concernées peuvent l'invoquer tant qu'il n'est pas révoqué par les Etats-Unis, précise le communiqué.
ats/asch
Jurisprudence européenne
La justice européenne a invalidé en juillet le bouclier de protection UE-USA, dans le cadre du litige opposant l'avocat autrichien Max Schrems à Facebook. La Cour de justice de l'UE (CJUE) estime dans son arrêt que cet accord rend "possible des ingérences dans les droits fondamentaux des personnes dont les données sont transférées", car les autorités publiques américaines peuvent y avoir accès, sans que cela ne soit limité "au strict nécessaire".
Le PFPDT avait alors déjà déclaré que l'arrêt de la CJUE n'était pas directement applicable à la Suisse. Après une analyse approfondie, il a désormais conclu qu'il n'y a pas de différence d'interprétation entre le droit de l'UE et le droit suisse à cet égard.
L'UE dispose d'une législation sur la protection des données similaire à celle de la Suisse. Les informations actuelles servent la sécurité juridique, a expliqué mardi le préposé à la protection des données, Adrian Lobsiger