Même s'il n'est pas lié par le droit communautaire européen, le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT), qui remplit le même office que la CNIL, a fait savoir que l'accord Suisse-USA permettant l'exportation de données personnelles vers les États-Unis n'était plus suffisant pour légaliser de tels transferts.

La Suisse se rêve en coffre-fort pour les données personnelles, et elle ne pouvait pas donner l’impression d’être en retrait sur les positions de l’Union européenne. C’est donc avec une certaine logique que les autorités décident également de prendre acte des révélations d’Edward Snowden pour annuler le régime du Safe Harbor qui permettait l’exportation des données personnelles de ses concitoyens vers les USA.

Le blog Nouvelles Technologies et Droit remarque en effet que le Préposé fédéral à la protection des données et à la transparence (PFPDT) a mis à jour très récemment son site internet pour préciser que « tant que la Suisse n’a pas renégocié un nouvel accord avec le gouvernement américain, l’accord « U.S.-Swiss Safe Harbor Framework » ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD) ».

Même si la Suisse n’est pas membre de l’Union européenne, la CNIL helvétique se repose sur la décision de la Cour de justice du 6 octobre dernier, qui a invalidé le Safe Harbor accordé par la Commission aux États-Unis. Toutefois l’acte officiel qui présume de la sécurité des données envoyées vers les USA n’est pas encore formellement annulé, faute de décision politique ou judiciaire.

Le Safe Harbor n’est plus une base légale suffisante

Le PFPDT fait simplement savoir qu’il ne se sent plus lié par l’accord Suisse-USA et qu’il faut donc que les entreprises souhaitant exporter des données personnelles vers les États-Unis apportent d’autres garanties, au minimum contractuelles.

Se coordonnant jusqu’au bout avec ses homologues de l’Union européenne, l’autorité suisse donne également aux entreprises jusqu’à fin janvier 2016 pour régulariser leur situation, si aucun accord politique n’était trouvé d’ici là.

Les CNIL des 28 états membres ont en effet fait savoir qu’elles demandaient un Safe Harbor 2.0 accompagné d’autres garanties, notamment techniques, pour s’assurer que les services de renseignement américains n’aient pas d’accès direct aux données des Européens, et pas sans voie de recours ouvertes à ces derniers. L’ultimatum a été fixé au 31 janvier 2016. Après cette date, les autorités pourraient poursuivre les entreprises qui n’ont pas bétonné leurs dossiers par des engagements contractuels et une meilleure transparence à l’égard des utilisateurs.

Partager sur les réseaux sociaux

Articles liés