Transmission de données d’employés aux USA: conséquences du Privacy Shield?

IMG_6452L’appelante ( = l’employeur, une banque) reproche ensuite au Tribunal d’avoir considéré que la transmission de données relatives à l’intimé ( = l’employé) dans le cadre du US Program était illicite au regard de la LPD, en partant de la prémisse que les Etats-Unis ne disposaient pas d’une législation assurant un niveau de protection adéquat. Le Tribunal aurait dès lors soumis l’autorisation de communiquer les données litigieuses à des conditions excessivement strictes.

En matière de traitement de données, la loi fédérale sur la protection des données (LPD; RS 235.1) concrétise et complète l’art. 28 CC.

La communication transfrontière de données est régie par l’art. 6 LPD, qui prévoit qu’aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat (art. 6 al. 1 LPD).

La communication de données dans un Etat ne disposant pas d’une législation assurant un niveau de protection adéquat entraîne de par la loi une grave menace de la personnalité, comme une présomption irréfragable.

Dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne a eu l’occasion de relever que la législation américaine consacre la primauté des « exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des Etats-Unis » sur les principes de la sphère de sécurité, si bien que les règles de protection prévues peuvent être écartées, sans limitation. Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, sans qu’il n’existe de règles à caractère étatique destinées à limiter ces éventuelles ingérences ni de protection juridique efficace contre celles-ci (arrêt de la CJUE dans l’affaire C-362/2014 du 6 octobre 2015 consid. 86 s.).

Selon la liste publiée par le Préposé fédéral à la protection des données et à la transparence mise à jour au 12 janvier 2017, seuls les organismes qui adhèrent au Privacy Shield pour les données provenant de Suisse et qui figurent sur la liste du Département américain du commerce garantissent un niveau de protection adéquat au sens de l’art. 6 al. 1 LPD (art. 7 OLPD).

En l’espèce, il est établi que la transmission de données personnelles de la Suisse vers les Etats-Unis peut désormais s’inscrire dans le cadre d’un nouvel accord dénommé Privacy Shield, en lieu et place d’un précédent accord jugé insuffisant.

Contrairement à ce que soutient l’appelante, la mise en place de ce nouveau cadre n’a cependant pas pour effet de conférer un niveau de protection suffisant, au sens de l’art. 6 al. 1 LPD, à toute communication de données vers les Etats-Unis.

Comme l’accord qui l’a précédé, le Privacy Shield ne vise que les données échangées entre des sujets suisses et certaines entreprises américaines, dont la liste est tenue par le Département américain du commerce. Les autorités et administrations publiques américaines ne font pas partie des entreprises concernées et rien n’indique qu’elles pourraient figurer sur la liste en question.

S’il est exact que le PFPDT considère que les données échangées avec les entreprises américaines participant au Privacy Shield bénéficient d’un niveau de protection adéquat, équivalent à celui appliqué aux données provenant de l’Union européenne, tel n’est pas le cas des données transmises à des autorités américaines, notamment dans le cadre du US Program.

Il découle des principes rappelés ci-dessus que la législation américaine permet aux autorités en question d’écarter toute protection des données privées lorsqu’elles estiment que l’intérêt public des Etats-Unis est en jeu, comme c’est le cas en l’espèce. Le Tribunal a dès lors correctement retenu que les Etats-Unis n’offraient pas un niveau de protection suffisant à la transmission des données litigieuses aux autorités américaines et la mise en place du Privacy Shield ne change rien à ce qui précède. Le grief sera en conséquence écarté.

(ACJC/978/2017 du 15.08.2017, consid. 4)

Sur le Privacy Shield :

https://droitdutravailensuisse.com/2017/03/22/2311/

Sur l’arrêt Schrems :

https://droitdutravailensuisse.com/2015/10/22/transmission-transfrontiere-de-donnees-les-suites-a-court-terme-de-larret-schrems-en-suisse/

Me Philippe Ehrenström, avocat, ll.m., Genève et Yverdon

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s