Le transfert de données à l’étranger

Photo de Markus Spiske sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de faire, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Selon l’art. 6 al. 1 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1), aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat. La communication de données revient à les rendre accessibles à partir de la Suisse vers l’étranger ; une simple autorisation de consultation suffit. L’art. 6 s’applique aussi à l’intérieur d’une même entreprise dont les services (peu importe la forme juridique) et les collaborateurs sont situés dans plusieurs pays ou à la délégation de traitement transfrontière.

L’art. 16 de de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données, adoptée le 25 septembre 2020, et qui devrait renter en vigueur dans la 2e partie de 2022 (nLPD ; FF 2020 7397), abandonne le principe de la menace grave pour la personnalité de la personne concernée, source s’insécurité juridique. Il retient que les données peuvent être transférées à l’étranger si le Conseil fédéral a constaté que l’Etat concerné disposait d’une législation assurant un niveau de protection adéquat. La liste des pays assurant un tel niveau de protection, sous l’angle de la LPD actuelle, est tenue par le Préposé fédéral à la protection des données et à la transparence (PFPDT) (art. 31 al. 1 let. d LPD ; art. 7 OLPD).

Les art. 6 LPD et 16 ss nLPD ne règlent que le volet « transfrontalier » de la communication. Celle-ci doit dans tous les cas respecter les principes généraux de la LPD (finalité, exactitude, proportionnalité, etc.)

L’art. 6 al. 2 LPD précise qu’en dépit de l’absence d’une législation assurant un niveau de protection adéquat à l’étranger, des données personnelles peuvent être communiquées à l’étranger, à l’une des conditions suivantes uniquement:

  1. des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger; elles doivent permettre de couvrir l’ensemble des éléments pertinents du transfert (identité exportateur /importateur de données, catégories de données personnelles à transférer, finalités du transfert, catégories de personnes dont les données sont transférées, destinataires des données, durée de conservation, stockage, droits des personnes concernées – accès, rectification, opposition, blocage, radiation, destruction, sécurité, confidentialité, etc. ; il existe des contrats-modèles et des clauses standards établis ou reconnus par le PFPDT (art. 6 al. 3 OLPD in fine ; il s’agira notamment des Standard Contractual Clauses reconnues en droit européen – https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_fr); l’exportateur qui utilise les contrats-modèles et les clauses-standards doit par ailleurs s’assurer, par exemple par des audits réguliers, que les clauses sont effectivement respectées par le destinataire (art. 6 al. 4 OLPD) ; le PFPDT doit être informé des garanties visées par l’art. 6 al. 2 let. a LPD (art. 6 OLPD quant aux modalités de l’information) ; l’information peut se limiter au fait que l’on utilise les contrats-modèles ou clauses-standards reconnus par le PFPDT ; s’il ne s’agit pas des modèles et clauses standards, le PFPDT doit examiner les garanties annoncées et communique le résultat de cet examen dans un délai de 30 jours (art. 31 al. 1 let. e LPD ; 5 al. 5 OLPD) – sans réaction du PFPDT après 30 jours, le maître du fichier peut partir du principe qu’il n’y a pas d’objections aux garanties fournies ; l’omission intentionnelle d’informer le PFPDT ou la formation d’informations intentionnellement inexactes sont punies de l’amende (art. 32 al. 2 let. a LPD) ; les garanties peuvent aussi être fournies autrement que contractuellement, par exemple par l’adhésion à un code de conduite répondant aux mêmes exigences – le devoir d’informer est le même;
  2. la personne concernée a, en l’espèce, donné son consentement; la dérogation vise des situations extracontractuelles, les questions relevant de l’exécution du contrat étant régies par l’art. 6 al. 2 let. c LPD, ou les cas où la communication de données n’est pas nécessaire à la conclusion ou l’exécution du contrat ; une renonciation générale et anticipée au consentement n’est pas possible ; l’art. 4 al. 5 LPD s’applique aux conditions matérielles (consentement libre et éclairé) et formelles du consentement (consentement explicite pour les données sensibles et les profils de personnalités) ; le consentement ne pourra valoir que pour une ou plusieurs finalités de traitement déterminées, et vers un ou des Etats déterminés ; la « réexportation » de données d’un pays couvert par le consentement vers un autre nécessitera ainsi un nouveau consentement ;
  3. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant; le traitement doit ici être nécessaire à cette fin, et pas simplement utile ou opportun ; on tiendra compte de l’art, 328b CO dans les rapports de travail – la communication ne pourra ainsi porter que sur des données relatives aux aptitudes du travailleur à remplir son emploi ou qui sont nécessaires à l’exécution du contrat de travail, sauf à obtenir un consentement pour les données qui dépassent ce cadre [et qui ne pourra porter préjudice au travailleur] ; les principes généraux de la protection des données s’appliquent ;
  4. la communication est, en l’espèce, indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice; il s’agit de l’intérêt de la Suisse (image du pays à l’étranger, coopération, etc.) ; l’intérêt doit être prépondérant par rapport à celui de la personne concernée à ce que les données ne soient pas exportées, ce qui s’interprète restrictivement ; lorsque la communication prend place dans le cadre de procédures d’entraide judiciaire ou administrative, elle échappe à la LPD (cf. art. 2 al. 2 let. c LPD) ; concernant l’exercice d’un droit en justice à l’étranger, la communication doit être nécessaire (la collecte et le traitement obéissent aux règles ordinaires) ;
  5. la communication est, en l’espèce, nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée; il s’agit de situations dans lesquelles les intérêts essentiels de la personne concernée sont en jeu, alors qu’elle n’est pas en mesure de donner son consentement par elle-même (maladie, accident) et qu’on peut objectivement présumer, au vu des circonstances, que le consentement aurait été donné ; la formulation est trop stricte, l’art. e s’applique aussi pour la protection d’intérêts vitaux d’un proche de la personne concernée dans cette même situation;
  6. la personne concernée a rendu les données accessibles à tout un chacun et elle ne s’est pas opposée formellement au traitement;
  7. la communication a lieu au sein d’une même personne morale ou société ou entre des personnes morales ou sociétés réunies sous une direction unique, dans la mesure où les parties sont soumises à des règles de protection des données (Binding Corporate Rules) qui garantissent un niveau de protection adéquat ; cela peut prendre par exemple la forme d’une charte sur la protection des données, de lignes directrices, etc. ; ces garanties doivent être communiquées au PFPDT (art. 6 al. 3 LPD ; 6 OLPD).

Le PFPDT doit être informé des garanties données visées à l’al. 2, let. a, et des règles de protection des données visées à l’al. 2, let. g. Le Conseil fédéral règle les modalités du devoir d’information. (Art. 6 al. 3 LPD)

La nLPD prévoit quant à elle qu’en l’absence d’une décision du Conseil fédéral sur le caractère adéquat du niveau de protection assuré par la législation du pays destinataire, un niveau de protection peut être assuré par d’autres moyens (art. 16 al. 2 nLPD) ou si une dérogation s’applique (art. 17 nLPD). Un niveau de protection adéquat peut en particulier résulter d’un traité international, de clauses contractuelles-type ou de règles d’entreprise contraignantes. L’utilisation de règles contractuelles ne sera toutefois pas efficace face au droit impératif du pays de destination, ce qui peut impliquer que de telles règles peuvent, à elles-seules, ne pas assurer un niveau de protection équivalent (on pense ici tout particulièrement aux transferts vers les Etats-Unis et aux – retentissants – arrêts Schrems I et II ; cf. notamment arrêt CJUE Maximilian Schrems et Data Protection Commissioner c/ Facebook ireland Ltd, C-311/18 du 16 juillet 2020). L’art. 17 nLPD traite de situations particulières : consentement (après information), relation directe avec la conclusion ou l’exécution d’un contrat, intérêt public prépondérant, constatation, défense ou exercice d’un droit, etc.

Sous le nouveau droit, le PFPDT pourra suspendre ou interdire la communication de données à l’étranger si elle est contraire aux conditions des art. 16 ou 17 nLPD (art. 51 al. 2 nLPD). Le fait de communiquer des données à l’étranger en violation de l’art. 16nLPD et sans que l’une ou l’autre des conditions de l’art. 17 nLPD soit remplie est une contravention susceptible d’être sanctionnée par une amende pouvant aller jusqu’à CHF 250’000.—(art. 61 let. a nLPD).

Le PFPDT a publié par ailleurs au mois de juin 2021 un Guide pour l’examen de la licéité de la communication transfrontière de données (art. 6, al. 2, let. a, LPD) (https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/uebermittlung-ins-ausland.html#-629182963) auquel il conviendra également de se référer plus en détail.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans nouvelle LPD, Protection de la personnalité, Protection des données, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s