Lexipedia

15.4001 · Interpellation · 2015-09-24

Département de justice et police

Liquidé

Wortlaut

Le Conseil fédéral est prié de répondre aux questions suivantes :

1. Ne pense-t-il pas que le "US-Swiss Safe Harbor Framework" (régime établissant une sphère de sécurité entre la Suisse et les États-Unis) ne garantit pas la protection de la sphère privée ?

2. Depuis qu'il a répondu à l'interpellation 13.4209 :

a. quels progrès ont-ils été accomplis dans les discussions bilatérales entre les États-Unis et la Suisse ?

b. quelles mesures ont-elles été mises en oeuvre ?

c. quelles autres mesures le Conseil fédéral projette-t-il d'adopter en la matière ?

3. Est-il prêt à suspendre l'application du "US-Swiss Safe Harbor Framework" tant que les États-Unis ne garantiront pas un niveau de protection des données adéquat ?

Begründung

La Suisse et les États-Unis se communiquent réciproquement des données personnelles. Les États-Unis n'assurant pas un niveau de protection adéquat pour ces données, des garanties spéciales ont été élaborées pour les entreprises qui souscrivent au "US-Swiss Safe Harbor Framework". Ce système facilite considérablement le transfert de données entre les entreprises suisses et les entreprises américaines enregistrées. Il s'inspire de l'accord sur le régime dit de la "sphère de sécurité" conclu entre les États-Unis et l'Union européenne.

Dans mon interpellation 13.4209, j'ai dénoncé le caractère inacceptable de la violation de la sphère privée et ai demandé que des mesures soient prises pour rétablir la confiance dans l'échange de données avec les États-Unis. Le Conseil fédéral a répondu qu'il partageait mes inquiétudes à ce sujet, mais n'a pas indiqué concrètement quelles mesures il entendait prendre.

L'avocat général de la Cour de justice de l'Union européenne (CJUE) a publié aujourd'hui ses conclusions dans l'affaire C-362/14. Il constate que le niveau de protection des données transférées dans le cadre du régime dit de la "sphère de sécurité" n'est plus adéquat et ne répond pas aux exigences de la directive sur le traitement des données personnelles physiques (directive 95/46/CE). Il fait valoir également que la décision 2000/520/CE de la commission, qui autorise l'échange de données personnelles, est invalide et qu'il faut en suspendre l'application.

Comme le régime établissant une sphère de sécurité entre la Suisse et les États-Unis s'inspire de l'accord sur la sphère de sécurité entre les États-Unis et l'UE, les conclusions de l'avocat général de la CJUE soulèvent de nombreuses questions très importantes concernant le "US-Swiss Safe Harbor Framework" et la protection des données personnelles se rapportant à des personnes physiques ou morales suisses.

Stellungnahme des Bundesrates

Dans son arrêt du 6 octobre 2015 concernant l'affaire C-362/14, la Cour de justice de l'Union européenne (CJUE) a invalidé la décision de la Commission europénne constatant que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel. Selon la CJUE, les autorités nationales de contrôle doivent pouvoir examiner, en toute indépendance, toute demande relative à la protection des droits et libertés d'une personne à l'égard du traitement de données à caractère personnel la concernant. Suite à cet arrêt, le Groupe de travail "Article 29" a invité les États membres de l'Union européenne et les institutions européennes à ouvrir des discussions avec les autorités américaines afin de trouver des solutions appropriées d'ici à fin janvier 2016.

L'arrêt de la CJUE, même s'il n'a pas d'effet contraignant pour la Suisse, revêt une importance considérable pour notre pays. Il met en exergue des problèmes qui concernent aussi le cadre de protection des données mis en place pour la transmission de données personnelles vers les États-Unis dans l'échange de lettres des 1er et 9 décembre 2008 (RS 0.235.233.6 ; ci-après "l'accord sur le régime de la sphère de sécurité"); en effet, le cadre de protection entre la Suisse et les États-Unis est calqué sur le modèle du cadre de protection entre l'Union européenne et les États-Unis.

1. En vertu de l'art. 31, al. 1, letttre d de la loi fédérale sur la protection des données (LPD ; RS 235.1), il incombe au préposé fédéral à la protection des données et à la transparence (PFPDT) d'examiner l'adéquation du niveau de protection assuré à l'étranger. Dans l'échange de lettres précité, portant la signature du PFPDT, la Suisse reconnaît que "les entreprises américaines certifiant leur adhésion aux principes de la 'sphère de sécurité' pour la protection des données privées entre les États-Unis et la Suisse sont considérées comme disposant d'un niveau de protection adéquat selon l'art. 6, al. 1, de la loi fédérale sur la protection des données". Suite à l'affaire Snowden, force est de constater aujourd'hui que le cadre mis en place en 2008 ne garantit pas la protection de la sphère privée de manière optimale. Les autorités américaines ont fait largement usage de leurs droits d'accès. En outre, les personnes concernées ne disposent pas de voies de droit administratives ou judiciaires permettant, notamment, d'accéder aux données les concernant et, le cas échéant, d'obtenir leur rectification ou leur suppression. Le PFPDT a fait savoir, dans un communiqué de presse du 22 octobre 2015, qu'il ne considère plus l'accord sur le régime de la sphère de sécurité comme une base juridique suffisante pour le transfert de données personnelles vers les États-Unis. La portée juridique de cette déclaration ne fait pas l'unanimité dans la doctrine. En effet, l'arrêt de la CJUE n'entache pas la validité de l'accord sur le régime de la sphère de sécurité conclu entre la Suisse et les États-Unis.

2. Comme il l'avait indiqué dans sa réponse à l'interpellation Eichenberger 13.4209, "US-Swiss Safe Harbor Framework. Restauration de la confiance dans le cadre de l'échange de renseignements avec les États-Unis", le Conseil fédéral a suivi les discussions menées entre l'Union européenne et les États-Unis en vue d'améliorer le niveau de protection du régime de la sphère de sécurité. Il s'agira désormais d'examiner l'impact qu'aura sur ces discussions la décision de la CJUE. Le Conseil fédéral estime qu'une renégociation de l'accord entre la Suisse et les États-Unis n'aurait de chances d'aboutir que dans le cadre d'une recherche de coordination avec l'Union européenne. Il entend donc suivre attentivement l'évolution des négociations en cours entre l'Union européenne et les États-Unis ainsi que les mesures prises par les États membres et les institutions européennes au cours des prochains mois. Le Conseil fédéral a en outre déjà eu et aura encore prochainement des contacts avec les autorités américaines au sujet des incidences de l'arrêt de la CJUE sur l'accord conclu entre la Suisse et les États-Unis. Jusqu'à ce que des solutions appropriées soient trouvées avec les autorités américaines, le PFPDT recommande de convenir de garanties contractuelles au sens de l'art. 6, al. 2, let. a, LPD pour la transmission de données vers les États-Unis. Même si de telles garanties ne résolvent pas le problème des droits d'accès étendus exercés par les autorités américaines, elles peuvent néanmoins, de l'avis du PFPDT, améliorer le niveau de protection des données. Il pourrait en outre être recommandé aux entreprises et organisations qui externalisent des données de les faire stocker sur des serveurs situés dans l'espace européen. Il n'est en outre pas interdit au PFPDT de faire usage de la possibilité que lui confère l'échange de lettres entre la Suisse et les États-Unis de recommander la suspension des flux de données vers une entreprise ou autre organisation lorsque certaines conditions sont remplies.

3. Le Conseil fédéral n'envisage pas, pour l'instant, de suspendre ou de dénoncer l'accord sur le régime de la sphère de sécurité, sans pour autant exclure une telle éventualité à l'avenir. Une suspension ou dénonciation de l'accord ne résoudrait pas le problème de base : en effet, l'art. 6, al. 2, LPD continuerait à s'appliquer. Cette disposition autorise les flux de données lorsque des garanties suffisantes, notamment contractuelles, permettent d'assurer un niveau de protection adéquat à l'étranger. Or, bien qu'il puisse être judicieux de convenir de garanties contractuelles, comme le recommande le PFPDT, celles-ci ne règlent pas le problème des droits d'accès étendus exercés par les autorités américaines. L'avenir dira si une renégociation de l'accord sur le régime de la sphère de sécurité entre l'Union européenne et les États-Unis permettrait d'apporter une réponse à ce problème.

Réponse du Conseil fédéral.