Communication à l'étranger
Informations
Lorsqu'une entité remplit les conditions de l'article 54 CPDT-JUNE pour externaliser un traitement de données personnelles à l'étranger, elle doit en plus respecter les conditions posées par les articles 27 et 24 CPDT-JUNE.
Autrement dit, des données persronnelles ne peuvent être communiquées à l’étranger que si les conditions requises par la législation fédérale sur la protection des données sont remplies (section 3 LPD), et que le PPDT est informé des garanties prises en vertu de cette législation avant la communication de données (voir formulaire).
Le PFPDT a mis à disposition des explications (voir site du PFPDT) sur les conditions à respecter pour envoyer des données à l'étranger.
En résumé, des données personnelles peuvent être communiquées à l’étranger si le Conseil fédéral a constaté que l’État concerné dispose d’une législation assurant un niveau de protection adéquat (voir liste) ou qu’un organisme international garantit un niveau de protection adéquat.
Si le pays destinataire ne figure pas sur la liste ou qu'il n'y a pas de garanties par un organisme international, des données personnelles peuvent être communiquées à l’étranger si un niveau de protection approprié est, alternativement, garanti par:
-
un traité international;
-
les clauses de protection des données d’un contrat entre le responsable du traitement ou le sous-traitant et son cocontractant, préalablement communiquées au PPDT (voir formulaire); (voir modèle de contrat type).
-
des garanties spécifiques élaborées par l’entité compétente et préalablement communiquées au PPDT (voir formulaire);
-
des clauses type de protection des données préalablement approuvées, établies ou reconnues par le PPDT (voir formulaire);
-
des règles d’entreprise contraignantes préalablement approuvées par le PPDT (voir formulaire) ou par une autorité chargée de la protection des données relevant d’un État qui assure un niveau de protection adéquat.
Attention : les fournisseurs de services soumis au CLOUD Act doivent accorder aux autorités nord-américaines un droit d’accès aux données enregistrées. Celui-ci doit être accordé même si la sauvegarde n’intervient pas aux Etats-Unis, mais, par exemple, dans un Etat de l’Union européenne ou en Suisse. L’accès d’une autorité en vertu du CLOUD Act ou un décret juridique similaire d’un autre Etat serait considéré comme une communication illicite à des tiers, parce qu’elle aurait lieu sans base légale reconnue par la Suisse. Il faut tenir compte, dans l’analyse, du risque d’une telle violation du droit.
Dans tous les cas, il est communiquer à la personne concernée le nom de l’Etat ou de l’organisme international en question (art. 24 al. 4 CPDT-JUNE).
Si le pays destinataire n'a pas un niveau de protection approprié, il faut également communiquer à la personne concernée les garanties et les exceptions prévues aux art. 16 al. 2 let. c, 17 LPD, 9 OPDo (art. 24 al. 4 CPDT-JUNE).
Liens
- Consultation obligatoire du PPDT pour une communication à l'étranger
- Contrat-type pour une communication de données dans un pays sans protection des données adéquate
- Guide du PFPDT pour vérifier l'admissibilité des transferts directs ou indirects de données vers l'étranger
- États, territoires, secteurs déterminés dans un État et organismes internationaux dans lesquels un niveau de protection adéquat des données est garanti
- Transfert de données personnelles dans un pays ne présentant pas le niveau de protection des données requis, en application de clauses contractuelles types et de contrats types reconnus
- Data Privacy Framework (DPF) Program
- Contrat type de l'UE reconnu par le PFPDT pour une externalisation vers un pays n'ayant pas une protection des données adéquate
- Feuille informative (Préposée FR, 2024)
Prises de position sommaires du PPDT
2019 - 2017
-
La communication à un pays limitrophe de la liste des permis frontaliers délivrés exige l’existence d’une base légale, conformément à l’article 25 CPDT-JUNE. Or, ni l’ALCP (RS 0.142.112.681), ni la LEI (RS 142.20) ne la prévoient, malgré les articles 105 à 107 LEI. Elle ne doit dès lors pas être effectuée (dossier 2019.2846).
-
Le contrôle des habitants n’est pas en droit d’adresser directement une photo sur demande d’autorités officielles étrangères, même s’il s’agit d’identifier l’auteur d’une infraction. Celles-ci doivent suivre les voies ordinaires pour effectuer ce genre de démarche (dossier 2019.3029).
-
Une newsletter traitant des données, telles que nom, genre, date de naissance, langue, adresse email, numéro de téléphone, adresse de domicile, employeur, adresse du travail, titre, expertise, autres informations démographiques, historique d'achats et présence à un évènement, répond aux exigences des règles de protection des données, pour autant que les personnes concernées soient clairement informées que les données partiront aux USA auprès d’une société ayant adhéré au Swiss Privacy Shield. Une reproduction du Data Processing Agreement (Accord de traitement des données) serait le bienvenu (dossier 2017.2077).
-
Les entités ne sont pas en droit de communiquer des données avec une entreprise américaine qui n'a pas adhérer au Swiss Privacy Shield Act (dossier 2017.1904).