Suppression du Safe Harbor USA-UE en matière de protection des données. Quelles conséquences pour la Suisse?
15.1068 · Question · 2015-09-23
Département de justice et police
Liquidé
Wortlaut
Je pose au Conseil fédéral les questions suivantes.
L'avocat général à la Cour de justice de l'Union européenne a récemment estimé que la Commission européenne devait suspendre le "Safe Harbor" accordé aux États-Unis, pour ne plus autoriser systématiquement l'exportation des données personnelles vers les États-Unis sans obtenir au préalable de meilleures garanties de protection.
1. Quelles sont les conséquences pour la protection des données en Suisse ?
2. La protection des données aux États-Unis est-elle encore "adéquate" au sens de l'article 6 de la loi fédérale sur la protection des données ?
Stellungnahme des Bundesrates
Dans son arrêt du 6 octobre 2015 concernant l'affaire C-362/14, la CJUE a invalidé la décision de la Commission européenne constatant que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel. Selon la Cour de justice de l'Union européenne (CJUE), les autorités nationales de contrôle doivent pouvoir examiner, en toute indépendance, toute demande relative à la protection des droits et libertés d'une personne à l'égard du traitement de données à caractère personnel la concernant. Suite à cet arrêt, le groupe de travail "Article 29" a invité les États membres de l'Union européenne et les institutions européennes à ouvrir des discussions avec les autorités américaines afin de trouver des solutions appropriées d'ici à fin janvier 2016.
Le Conseil fédéral répond de la manière suivante aux questions posées et renvoie pour le surplus à sa réponse à l'interpellation Eichenberger 15.4001, "US-Swiss Harbor Framework. Pour une protection effective des données personnelles":
1. L'arrêt de la CJUE, même s'il n'a pas d'effet contraignant pour la Suisse, revêt une importance considérable pour notre pays. Il met en exergue des problèmes qui concernent aussi le cadre de protection des données mis en place pour la transmission de données personnelles aux États-Unis dans l'échange de lettres des 1er et 9 décembre 2008 (RS 0.235.233.6 ; ci-après "l'accord sur le régime de la sphère de sécurité"); en effet, l'accord sur le régime de la sphère de sécurité entre la Suisse et les États-Unis est calqué sur le modèle du cadre de protection entre l'Union européenne et les États-Unis. Il s'agira désormais pour le Conseil fédéral d'examiner l'impact qu'aura la décision de la CJUE sur l'avancement des négociations en cours entre l'Union européenne et les États-Unis en vue d'améliorer le niveau de protection du régime de la sphère de sécurité. Le Conseil fédéral estime qu'une renégociation de l'accord entre la Suisse et les États-Unis n'aurait de chances d'aboutir que dans le cadre d'une recherche de coordination avec l'Union européenne. Il entend donc suivre attentivement l'évolution des négociations en cours entre l'Union européenne et les États-Unis, ainsi que les mesures prises par les États membres et les institutions européennes au cours des prochains mois. Jusqu'à ce que des solutions appropriées soient trouvées avec les autorités américaines, le Préposé fédéral à la protection des données et à la transparence (PFPDT) recommande de convenir de garanties contractuelles au sens de l'art. 6, al. 2, let. a, de la loi fédérale sur la protection des données (LPD ; RS 235.1) pour la transmission de données vers les États-Unis. Même si de telles garanties ne résolvent pas le problème des droits d'accès étendus exercés par les autorités américaines, elles peuvent néanmoins, de l'avis du PFPDT, améliorer le niveau de protection des données. Il pourrait en outre être recommandé aux entreprises et organisations qui externalisent des données de les faire stocker sur des serveurs situés dans l'espace européen. Il n'est en outre pas interdit au PFPDT de faire usage de la possibilité que lui confère l'échange de lettres entre la Suisse et les États-Unis de recommander la suspension des flux de données vers une entreprise ou autre organisation lorsque certaines conditions sont remplies.
2. En vertu de l'art. 31, al. 1, let. d, LPD, il incombe au PFPDT d'examiner l'adéquation du niveau de protection assuré à l'étranger. Dans l'échange de lettres précité, portant la signature du PFPDT, la Suisse reconnaît que "les entreprises américaines certifiant leur adhésion aux principes de la 'sphère de sécurité' pour la protection des données privées entre les États-Unis et la Suisse sont considérées comme disposant d'un niveau de protection adéquat selon l'art. 6, al. 1, de la loi fédérale sur la protection des données". Le PFPDT a fait savoir, dans un communiqué de presse du 22 octobre 2015, qu'il ne considère plus l'accord sur le régime de la sphère de sécurité entre la Suisse et les États-Unis comme une base juridique suffisante pour la transmission de données à caractère personnel aux États-Unis. La portée juridique d'une telle déclaration ne fait pas l'unanimité dans la doctrine, car l'accord sur le régime de la sphère de sécurité entre la Suisse et les États-Unis reste en vigueur.
Réponse du Conseil fédéral.