Communication à l'étranger

Lorsqu'une entité remplit les conditions de l'article 54 CPDT-JUNE pour externaliser un traitement de données personnelles à l'étranger, elle doit en plus respecter les conditions posées par l'art. 27 CPDT-JUNE.

Autrement dit, des données persronnelles ne peuvent être communiquées à l’étranger que si les conditions requises par la législation fédérale sur la protection des données sont remplies (section 3 LPD), et que le PPDT est informé des garanties prises en vertu de cette législation avant la communication de données (voir formulaire).

Le PFPDT a mis à disposition des explications (voir site du PFPDT) sur les conditions à respecter pour envoyer des données à l'étranger.

En résumé, des données personnelles peuvent être communiquées à l’étranger si le Conseil fédéral a constaté que l’État concerné dispose d’une législation assurant un niveau de protection adéquat (voir liste) ou qu’un organisme international garantit un niveau de protection adéquat.

Si le pays destinataire ne figure pas sur la liste ou qu'il n'y a pas de garanties par un organisme international, des données personnelles peuvent être communiquées à l’étranger si un niveau de protection approprié est, alternativement, garanti par:

• un traité international;

• les clauses de protection des données d’un contrat entre le responsable du traitement ou le sous-traitant et son cocontractant, préalablement communiquées au PPDT (voir formulaire); (voir modèle de contrat type).

• des garanties spécifiques élaborées par l’entité compétente et préalablement communiquées au PPDT (voir formulaire);

• des clauses type de protection des données préalablement approuvées, établies ou reconnues par le PPDT (voir formulaire);

• des règles d’entreprise contraignantes préalablement approuvées par le PPDT (voir formulaire) ou par une autorité chargée de la protection des données relevant d’un État qui assure un niveau de protection adéquat.

Attention : les fournisseurs de services soumis au CLOUD Act doivent accorder aux autorités nord-américaines un droit d’accès aux données enregistrées. Celui-ci doit être accordé même si la sauvegarde n’intervient pas aux Etats-Unis, mais, par exemple, dans un Etat de l’Union européenne ou en Suisse. L’accès d’une autorité en vertu du CLOUD Act ou un décret juridique similaire d’un autre Etat serait considéré comme une communication illicite à des tiers, parce qu’elle aurait lieu sans base légale reconnue par la Suisse. Il faut tenir compte, dans l’analyse, du risque d’une telle violation du droit.

1. La communication à un pays limitrophe de la liste des permis frontaliers délivrés exige l’existence d’une base légale, conformément à l’article 25 CPDT-JUNE. Or, ni l’ALCP (RS 0.142.112.681), ni la LEI (RS 142.20) ne la prévoient, malgré les articles 105 à 107 LEI. Elle ne doit dès lors pas être effectuée (dossier 2019.2846).

2. Le contrôle des habitants n’est pas en droit d’adresser directement une photo sur demande d’autorités officielles étrangères, même s’il s’agit d’identifier l’auteur d’une infraction. Celles-ci doivent suivre les voies ordinaires pour effectuer ce genre de démarche (dossier 2019.3029).

3. Une newsletter traitant des données, telles que nom, genre, date de naissance, langue, adresse email, numéro de téléphone, adresse de domicile, employeur, adresse du travail, titre, expertise, autres informations démographiques, historique d'achats et présence à un évènement, répond aux exigences des règles de protection des données, pour autant que les personnes concernées soient clairement informées que les données partiront aux USA auprès d’une société ayant adhéré au Swiss Privacy Shield. Une reproduction du Data Processing Agreement (Accord de traitement des données) serait le bienvenu (dossier 2017.2077).

4. Les entités ne sont pas en droit de communiquer des données avec une entreprise américaine qui n'a pas adhérer au Swiss Privacy Shield Act (dossier 2017.1904).