Questions du CN Schwaab (PS/VD) au Conseil fédéral :
L’avocat général à la Cour de justice de l’Union européenne a récemment estimé que la Commission européenne devait suspendre le “Safe Harbor” accordé aux Etats-Unis, pour ne plus autoriser systématiquement l’exportation des données personnelles vers les Etats-Unis sans obtenir au préalable de meilleures garanties de protection.
1. Quelles sont les conséquences pour la protection des données en Suisse?
2. La protection des données aux Etats-Unis est-elle encore “adéquate” au sens de l’article 6 de la loi fédérale sur la protection des données?
Réponse du Conseil Fédéral :
Dans son arrêt du 6 octobre 2015 concernant l’affaire C-362/14, la CJUE a invalidé la décision de la Commission européenne constatant que les Etats-Unis assurent un niveau de protection adéquat des données à caractère personnel. Selon la Cour de justice de l’Union européenne (CJUE), les autorités nationales de contrôle doivent pouvoir examiner, en toute indépendance, toute demande relative à la protection des droits et libertés d’une personne à l’égard du traitement de données à caractère personnel la concernant. Suite à cet arrêt, le groupe de travail “Article 29” a invité les Etats membres de l’Union européenne et les institutions européennes à ouvrir des discussions avec les autorités américaines afin de trouver des solutions appropriées d’ici à fin janvier 2016.
Le Conseil fédéral répond de la manière suivante aux questions posées et renvoie pour le surplus à sa réponse à l’interpellation Eichenberger 15.4001, “US-Swiss Harbor Framework. Pour une protection effective des données personnelles”:
1. L’arrêt de la CJUE, même s’il n’a pas d’effet contraignant pour la Suisse, revêt une importance considérable pour notre pays. Il met en exergue des problèmes qui concernent aussi le cadre de protection des données mis en place pour la transmission de données personnelles aux Etats-Unis dans l’échange de lettres des 1er et 9 décembre 2008 (RS 0.235.233.6 ; ci-après “l’accord sur le régime de la sphère de sécurité”); en effet, l’accord sur le régime de la sphère de sécurité entre la Suisse et les Etats-Unis est calqué sur le modèle du cadre de protection entre l’Union européenne et les Etats-Unis. Il s’agira désormais pour le Conseil fédéral d’examiner l’impact qu’aura la décision de la CJUE sur l’avancement des négociations en cours entre l’Union européenne et les Etats-Unis en vue d’améliorer le niveau de protection du régime de la sphère de sécurité. Le Conseil fédéral estime qu’une renégociation de l’accord entre la Suisse et les Etats-Unis n’aurait de chances d’aboutir que dans le cadre d’une recherche de coordination avec l’Union européenne. Il entend donc suivre attentivement l’évolution des négociations en cours entre l’Union européenne et les Etats-Unis, ainsi que les mesures prises par les Etats membres et les institutions européennes au cours des prochains mois. Jusqu’à ce que des solutions appropriées soient trouvées avec les autorités américaines, le Préposé fédéral à la protection des données et à la transparence (PFPDT) recommande de convenir de garanties contractuelles au sens de l’article 6 alinéa 2 lettre a de la loi fédérale sur la protection des données (LPD; RS 235.1) pour la transmission de données vers les Etats-Unis. Même si de telles garanties ne résolvent pas le problème des droits d’accès étendus exercés par les autorités américaines, elles peuvent néanmoins, de l’avis du PFPDT, améliorer le niveau de protection des données. Il pourrait en outre être recommandé aux entreprises et organisations qui externalisent des données de les faire stocker sur des serveurs situés dans l’espace européen. Il n’est en outre pas interdit au PFPDT de faire usage de la possibilité que lui confère l’échange de lettres entre la Suisse et les Etats-Unis de recommander la suspension des flux de données vers une entreprise ou autre organisation lorsque certaines conditions sont remplies.
2. En vertu de l’article 31 alinéa 1 lettre d LPD, il incombe au PFPDT d’examiner l’adéquation du niveau de protection assuré à l’étranger. Dans l’échange de lettres précité, portant la signature du PFPDT, la Suisse reconnaît que “les entreprises américaines certifiant leur adhésion aux principes de la ‘sphère de sécurité’ pour la protection des données privées entre les Etats-Unis et la Suisse sont considérées comme disposant d’un niveau de protection adéquat selon l’article 6 alinéa 1 de la loi fédérale sur la protection des données”. Le PFPDT a fait savoir, dans un communiqué de presse du 22 octobre 2015, qu’il ne considère plus l’accord sur le régime de la sphère de sécurité entre la Suisse et les Etats-Unis comme une base juridique suffisante pour la transmission de données à caractère personnel aux Etats-Unis. La portée juridique d’une telle déclaration ne fait pas l’unanimité dans la doctrine, car l’accord sur le régime de la sphère de sécurité entre la Suisse et les Etats-Unis reste en vigueur.