La question peut intéresser le droit du travail, notamment en ses relations transfrontières ou au sein de groupes de sociétés.

On a déjà évoqué ici et là notamment les déboires de l’Accord « Safe Harbor ».

Le « Privacy Shield » remplace l’accord «Safe Harbor» conclu entre la Suisse et les États-Unis.

Selon le Préposé fédéral à la protection des données et à la transparence (PFPDT), le Privacy Shield est censé garantir aux personnes concernées en Suisse une meilleure protection, en particulier dans le domaine commercial, notamment grâce à un renforcement de l’application des principes de protection des données par les entreprises participantes et par une amélioration de la gestion et de la surveillance par les autorités américaines.

Les personnes concernées disposeront d’instruments concrets pour s’informer directement auprès des entreprises américaines certifiées ou des autorités compétentes du traitement qui est fait de leurs données personnelles, mais aussi pour imposer des corrections ou suppressions.

Un dispositif de médiation permet également aux personnes concernées d’influer indirectement sur le traitement de leurs données personnelles par les instances de sécurité américaines. En outre, les autorités américaines assurent qu’elles œuvreront à la mise en place et à l’évaluation de ces instruments.

La coopération entre le Ministère américain du Commerce (US Department of Commerce, DOC) et le PFPDT s’intensifiera, ce dernier devenant en Suisse l’interlocuteur en cas de problèmes relatifs à des données transmises aux États-Unis.

Après la finalisation du Privacy Shield, les entreprises américaines intéressées pourront engager le processus de certification auprès du DOC dans un délai de trois mois pendant lequel le PFPDT n’initiera aucune procédure. Le DOC publiera ensuite sur son site Internet une liste de toutes les entreprises certifiées. Le PFPDT proposera sur son propre site un lien vers cette liste, ainsi que vers tous les autres documents pertinents, dès que ces informations seront disponibles.

Grâce au Privacy Shield, les données personnelles exportées de Suisse vers les États-Unis bénéficieront des mêmes normes que celles provenant de l’Union européenne, un point fondamental pour la sécurité juridique des échanges économiques et en particulier aussi pour le libre échange des données entre la Suisse et l’UE relève le PFPDT.

Le PFPDT est d’avis que la mise en place de ce nouveau cadre permet de garantir un niveau de protection adéquat. Il reconnaît, selon les termes du Privacy Shield, l’adéquation du niveau de protection des données et il a ajusté sa liste des États assurant un niveau de protection adéquat (art. 7 OLPD). Il accordera toutefois une importance toute particulière à l’évolution des faits dans la pratique et aux développements juridiques concrets. De ce fait, le PFPDT se réserve le droit de procéder à des mises à jour de la liste dans le cadre des évaluations annuelles prévues du Privacy Shield s’il le juge approprié au vu de l’exécution effective des accords dont il aura connaissance. Son jugement tiendra également compte de la jurisprudence des tribunaux suisses et, le cas échéant, des décisions de justice dans l’UE.

Source et documentation : https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01406/index.html?lang=fr

Solution transitoire d’ici au 12 avril 2017 :

Jusqu’à ce qu’il soit possible d’obtenir une certification, le PFPDT recommande, pour l’échange de données personnelles avec des entreprises américaines, de convenir de garanties contractuelles au sens de l’art. 6, al. 2, let. a, LPD.

Il y a lieu de noter qu’en Suisse, les personnes concernées ont à tout moment la possibilité de faire examiner des données devant être transmises aux Etats-Unis par un tribunal civil.

Appréciation : les révélations récentes sur les pratiques de surveillance et de contrôle, qui s’ajoutent à bien d’autres, permettent de se demander si le « Privacy Shield » connaîtra un sort différent du « Safe Harbor » ; en attendant le prochain arrêt Schrems, les entreprises suisses seraient bien inspirées de réfléchir à des garanties contractuelles durables, plutôt que de les jeter avec l’eau du bain après le 12 avril 2017.

Me Philippe Ehrenström, avocat, LL.M., Genève et Yverdon