La Cour européenne de justice vient de déclarer invalide l’accord bilatéral UE-Etats-Unis sur le transfert de données. Bien qu’une telle décision ait été anticipée par certains spécialistes du sujet et des entreprises, il faudra encore un certain temps pour clarifier les implications de cette décision pour la Suisse.

La Cour a conclu que cet accord, appelé «Privacy Shield», ne garantit pas une protection adéquate des données personnelles. Elle confirme par ailleurs la validité d’une autre décision de la Commission européenne qui permet le transfert de données sur la base d’une «clause contractuelle type» entre une entreprise de l’UE et un sous-traitant dans un pays tiers, si certaines conditions sont remplies. La «clause contractuelle» est un instrument essentiel pour permettre et encadrer l’échange de données avec tous les pays tiers, Brésil, Corée, Inde, etc. Bien sûr cette affaire ne concerne que le transfert de données personnelles, les autres transferts ne sont pas réglementés.

L’impact sur la Suisse

La décision concerne aussi la Suisse, et pas seulement parce qu’elle est au centre de l’Europe. A l’époque de l’ancienne réglementation UE sur la protection des données, Bruxelles avait reconnu comme équivalente la loi suisse, permettant aux données de circuler librement entre la Suisse et l’UE; à la suite du Privacy Shield UE-Etats-Unis, la Suisse a conclu son propre accord avec les Etats-Unis pour éviter toute discrimination par rapport à l’UE; la Suisse a le même système de clauses contractuelles types que l’UE pour ses transferts de données vers le reste du monde; enfin, les Chambres fédérales sont en train de finaliser l’adaptation de notre législation au nouveau règlement UE, le fameux RGPD.

Reprenons ces points un à un. Déjà, en 2000, l’UE avait conclu un accord transatlantique, le Safe Harbour, à la suite de quoi la Suisse conclut son propre Safe Harbour avec Washington. Puis la Cour déclara le Safe Harbour invalide et la Commission dut le résilier.

La question pour Berne fut de choisir entre résilier son accord avec les Etats-Unis ou prendre le risque que Bruxelles considère que la Suisse n’offre plus une protection adéquate des données et donc annule le libre-échange de données avec nos entreprises. On connaît la suite: le risque d’une discrimination avec l’UE ayant disparu, Berne résilia son accord Safe Harbour, Bruxelles entama de nouvelles négociations avec les Etats-Unis, et Privacy Shield est né en 2016. Si de 2016 à ce jour l’histoire s’est répétée, il faudra voir si elle continuera de se répéter. Vu les considérants de la Cour, qui se base sur des dispositions générales de l’ordre juridique américain, il est peu probable que les négociateurs de l’UE et des Etats-Unis soient très motivés à négocier une troisième fois un accord global.

Le Privacy Shield, comme son prédécesseur, est un cadre volontaire auquel ont adhéré un certain nombre de compagnies américaines. Pour le reste du transfert de données personnelles transatlantique, le système des clauses contractuelles était et restera la voie normale. On n’a jamais expliqué pourquoi le commerce transatlantique de services n’a pas été affecté à la suite de l’abrogation du Safe Harbour. Ce pourrait être soit parce que la protection des données n’affecte pas les échanges, ou parce que les entreprises ont recouru à la clause contractuelle. Quoi qu’il en soit, sans Privacy Shield cette clause devient impérative dans nos transferts de données vers ce pays. Passons donc à ce point.

La Cour a confirmé la validité des clauses contractuelles, mais avec un bémol: il doit être possible de résilier en tout temps une telle clause et d’interrompre tout transfert si une violation est constatée dans le pays tiers. Nos entreprises et nos autorités devront donc s’assurer que les clauses conclues respectent bien cette nouvelle norme.

Les leçons à tirer

Venons-en aux leçons à tirer pour la révision législative en cours dans les Chambres fédérales. Le Conseil fédéral avait soumis aux Chambres une proposition de loi qui assurait un niveau de protection des données adéquat (équivalent) au regard du nouveau droit communautaire. Le projet a été affaibli dans les débats en commission, avec des divergences entre les Chambres. Cet objet repasse au National en septembre, avec des questions ouvertes sur la protection des données dites «sensibles» (par exemple génétiques), le profilage à risque élevé, ou encore des amendes garantissant l’application effective de la loi. Pas vraiment des sujets qui passent inaperçus à Bruxelles.

Il est essentiel de ne créer aucune incertitude pour l’économie suisse quant aux flux de données avec l’UE. Il faut donc s'assurer que l’équivalence UE de la législation suisse ne puisse pas être mise en doute. Ce que montre l’arrêt de la Cour, c’est que la tendance observée depuis vingt ans continue: le droit à la protection de la vie privée est pris de plus en plus au sérieux par les citoyens et par Bruxelles, et passe de l’arrière-plan en politique au-devant de la scène. Les réticences citoyennes face aux applications de traçage du Covid-19 l’ont encore démontré.