Key Take-aways

1. Tant sous la LPD en vigueur que sous la LPD révisée, les transferts de données à l'étranger nécessitent l'utilisation desnouvelles UE-SCC (Standard Contractual Clauses), avec des adaptations au droit suisse (Swiss Rider).

2. Les SCC existantes doivent être remplacées par de nouvelles UE-SCC avec Swiss Rider d'ici fin 2022, avec la réalisation documentée d'une évaluation des risques (Transfer Impact Assess- ment, TIA).

3. Jusqu'à l'entrée en vigueur de la LPD révisée, l'obligation de notification doit continuer à être respectée. Le non-res- pect de cette obligation peut entraîner une amende selon le droit en vigueur.

1 Transfert de données à l'étranger

Des données personnelles sont transférées de la Suisse vers l'étranger (ou l'accès à des données se trouvant en Suisse est rendu possible depuis l'étranger, p. ex. lors de l'utilisation de services Cloud) dans de nombreuses opérations commer- ciales. Si le pays tiers concerné ne dispose pas d'un niveau de protection des données suffisant (du point de vue suisse), la loi suisse sur la protection des données (LPD) exige que cela soit compensé par des mécanismes de protection (art. 6, al. 2, LPD). Souvent, des clauses contractuelles types (Standard Contractual Clauses; SCC) sont utilisées. Les SCC sont des accords préformulés ou reconnus par les autorités, conclus entre l'exportateur et l'importateur de données, qui contiennent des mécanismes de protection contractuels. Les SCC sont nécessaires dans le cadre de la LPD en vigueur ainsi que dans le cadre de la LPD révisée (nLPD).

Les clauses contractuelles types de l'UE (UE-SCC), qui sont le plus souvent utilisées, ont été révisées en 2021. Depuis septembre 2021, seules ces nouvelles UE-SCC peuvent être utilisées pour de nouveaux transferts de données. Le Prépo- sé fédéral à la protection des données et à la transparence (PFPDT) a également reconnu les UE-SCC dans le contexte suisse, à condition qu'elles soient adaptées au droit suisse des Etats publiée par le PFPDT (sous la nLPD par le Conseil fé- déral) fournit des informations à ce sujet. Si les Etats membres de l'UE/EEE garantissent un niveau de protection des données suffisant en ce qui concerne les données personnelles des personnes physiques, ce n'est, par exemple, pas le cas des États-Unis (qui sont un site important pour de nombreux four- nisseurs de services Cloud et SaaS).

En vertu de la législation suisse en vigueur sur la protec- tion des données, les données personnelles relatives aux personnes morales sont également soumises à la LPD, ce qui n'est pas le cas dans le droit des États membres de l'UE/EEE. Dès que les données concernées par le transfert de données contiennent des données personnelles de personnes morales, les États membres de l'UE/EEE ne sont plus considérés comme des destinations "sûres" (du point de vue de la LPD). Cela ne changera qu'avec l'entrée en vigueur de la nLPD (prévue pour le 1er septembre 2023): La nLPD ne s'appliquera plus aux données personnelles des personnes morales. Jusqu'à l'entrée en vigueur de la nLPD, les transferts de données contenant des données personnelles de personnes morales doivent donc être sécurisés au moyen des SCC, même en cas de transfert vers des États membres de l'UE/EEE. de la protection des données (cf. section 4 ci-dessous). Si les UE-SCC sont utilisées pour des transferts de données depuis la Suisse, il convient d'utiliser les nouvelles UE-SCC et les adapter au droit suisse de la protection des données. Des SCC existantes, basées sur les "anciennes" UE-SCC, peuvent encore être utilisées jusqu'au 31 décembre 2022, pour autant qu'aucune modification importante ne soit apportée aux transferts de données. D'ici fin 2022, elles devront être remplacées sur la base des nouvelles UE-SCC avec les adaptations nécessaires au droit suisse.

Pour la Suisse, les UE-SCC doivent être complétées par un Swiss Rider.

2 Quand les SCC sont-elles nécessaires?

2.1 Absence de niveau de protection

Les SCC (ou d'autres mécanismes de protection selon l'art. 6, al. 2, LPD, qui ne sont pas abordés ici) sont nécessaires lors- qu'un transfert de données a lieu vers un pays (ou lorsqu'un ac- cès à de telles données a lieu depuis un pays) ne présentant pas un niveau de protection des données adéquat. La listedes Etats publiée par le PFPDT (sous la nLPD par le Conseil fé- déral) fournit des informations à ce sujet. Si les Etats membres de l'UE/EEE garantissent un niveau de protection des données suffisant en ce qui concerne les données personnelles des personnes physiques, ce n'est, par exemple, pas le cas des États-Unis (qui sont un site important pour de nombreux four- nisseurs de services Cloud et SaaS).

En vertu de la législation suisse en vigueur sur la protec- tion des données, les données personnelles relatives aux personnes morales sont également soumises à la LPD, ce qui n'est pas le cas dans le droit des États membres de l'UE/EEE. Dès que les données concernées par le transfert de données contiennent des données personnelles de personnes morales, les États membres de l'UE/EEE ne sont plus considérés comme des destinations "sûres" (du point de vue de la LPD). Cela ne changera qu'avec l'entrée en vigueur de la nLPD (prévue pour le 1er septembre 2023): La nLPD ne s'appliquera plus aux données personnelles des personnes morales. Jusqu'à l'entrée en vigueur de la nLPD, les transferts de données contenant des données personnelles de personnes morales doivent donc être sécurisés au moyen des SCC, même en cas de transfert vers des États membres de l'UE/EEE.

Il ne faut pas sous-estimer l'effort nécessaire pour remplacer les SCC existantes.

2.2 SCC dans les relations directes et au sein du groupe

L'exportateur de données est responsable de la sécurisation du transfert de données et doit pour cela conclure des SCC avec l'importateur de données. Cela se fait généralement par le biais d'une obligation correspondante dans le contrat principal (p. ex. le contrat de prestations Cloud ou SaaS) avec les SCC en annexe ou dans un contrat annexe à conclure en parallèle.

Les dispositions relatives aux SCC s'appliquent égale- ment au sein d'un groupe. Si des transferts de données ont lieu au sein d'un groupe, p. ex. d'une filiale suisse vers une société du groupe, p. ex. d'une filiale suisse vers une société du groupe aux États-Unis, des mécanismes de protection sont également nécessaires. Souvent, les SCC sont également utilisées dans ce cas, dans la mesure où elles font partie d'une réglementation interne au groupe plus large sur les transferts de données (appelée Intra-Group Data Transfer Agreement; IGDTA).

2.3 Exemple: Services Cloud ou SaaS d'un fournisseur américain

Il arrive souvent qu'une entreprise suisse veuille recourir à des services Cloud ou SaaS d'un fournisseur américain, les don- nées personnelles étant alors stockées sous la responsabilité de l'entreprise suisse sur des serveurs aux États-Unis (ou du moins accessibles depuis les États-Unis, par exemple à des fins de support). Étant donné que les États-Unis ne disposent pas d'un niveau de protection des données adéquat du point de vue du droit suisse, un tel transfert de données doit être sécurisé au moyen de SCC.

Les fournisseurs internationaux de services Cloud ou SaaS disposent généralement déjà de modèles de SCC appro- priés qu'ils proposent à leurs clients européens. Du point de vue suisse, il convient de s'assurer que ces modèles, qui ne tiennent généralement compte que des SCC de l'UE, contiennent égale- ment les compléments nécessaires selon le droit suisse.

3 Que faut-il faire concrètement?

3.1 Nouveaux transferts de données à l'étranger

Si de nouveaux transferts de données sont effectués, p. ex. en cas de nouveaux processus commerciaux ou de recours à de nouveaux prestataires de services, il convient de déterminer si cela entraîne des transferts  de données dans des pays où le niveau de protection des données est insuffisant. Si c'est le cas, il convient - à moins qu'une autre exception selon l'art. 6, al. 2 LPD ne s'applique - de conclure de nouvelles SCC, avec les adaptations correspondantes selon le droit suisse de la protection des données ("Swiss Rider"). 

Les SCC sont conçues de manière modulaire et les mo- dules appropriés doivent être choisis en fonction de la situation concrète et du rôle comme responsable ou sous-traitant. Pour certaines clauses, il existe en outre des possibilités de choix, et des indications sur le transfert de données ainsi que sur les mesures techniques et organisationnelles mises en œuvre doivent être prévues dans les annexes. L'adaptation des SCC et l'ajout d'annexes devraient être effectués en coordination entre Business/Operation et Legal/Compliance.

3.2 Remplacer les SCC existantes

S'il existe déjà des SCC, il convient d'une part de surveiller si les transferts de données sous-jacents subissent des modifications importantes, p. ex. lorsque des processus commerciaux sont adaptés ou que des traitements de données sont étendus. Si une modification importante a lieu, les SCC correspondantes doivent être remplacées au préalable par de nouvelles SCC basées sur les nouvelles UE-SCC (avec Swiss Rider).

Même si aucun changement important n'est prévu pour les traitements de données dans les prochains mois, il est néces- saire d'agir : les SCC existantes doivent être remplacées par les nouvelles UE-SCC (avec Swiss Rider) avant le 31 dé- cembre 2022. Pour cela, il faut d'abord avoir une vue d'ensemble des SCC existantes. Une fois que l'on a déterminé quelles SCC existent, il faut prévoir suffisamment de temps pour les rempla- cer. Pour la mise en œuvre opérationnelle, il peut éventuellement être utile de faire appel à des prestataires de services externes.

Selon notre expérience, il est utile de dresser d'abord un aperçu des destinataires des données et de leurs personnes de contact. S'il s'avère que de nombreuses SCC doivent être rem- placées, il convient d'établir un ordre de priorité (p. ex. selon la sensibilité des données concernées) ainsi qu'une "cover sheet" générale sur les UE-SCC, qui contient les adaptations générales et les adaptations individuelles des SCC en fonction des desti- nataires des données.

Même si les SCC sont en grande partie des documents standards, il ne faut pas sous-estimer le travail nécessaire pour les conclure concrètement avec chaque destinataire de données concerné. Si un grand nombre de SCC doivent être remplacées, des mécanismes alternatifs (tels que l'infor- mation unilatérale au destinataire des données avec référence aux nouvelles SCC applicables) peuvent éventuellement être envisagés. Il convient d'examiner en détail si cela peut être une solution viable dans les circonstances concrètes et de procé- der à une évaluation appropriée des risques.

Jusqu'à l'entrée en vigueur de la nLPD, l'obligation de notification doit être respectée.

3.3 Transfer Impact Assessment

Les nouvelles UE-SCC prévoient la réalisation d'une Trans- fer Impact Assessment (TIA) (clause 14 des UE-SCC) sous la forme d'une évaluation des risques (Risk Assessment) qui permet de vérifier si l'importateur de données peut être contraint d'enfreindre les règles des SCC en raison de la régle- mentation locale. Le résultat doit être documenté.

L'expérience montre que cette exigence relativement nouvelle entraîne un certain travail de clarification et de traitement. Une telle évaluation des risques ne peut pas être effectuée de manière globale ou à l'échelle de l'entreprise, mais doit tenir compte des circonstances de chaque cas concret.

4 Que contient le "Swiss Rider"?

Le PFPDT a indiqué les éléments qu'un "Swiss Rider" doit contenir par rapport aux UE-SCC, afin que les UE-SCC soient également conformes au droit suisse. Cela concerne notam- ment les règles relatives à l'autorité de surveillance compé- tente, au droit applicable, au for et aux données personnelles des personnes morales (voir section 2.1 ci-dessus).

Il existe trois solutions pour la réglementation, en dis- tinguant si un transfert de données est exclusivement soumis à la LPD (cas 1) ou si le règlement général sur la protection des données (RGPD) de l'UE s'applique également (cas 2). Dans ce dernier cas, les SCC peuvent être adaptées de manière à ce que la réglementation appropriée selon la législation sur la pro- tection des données (LPD/RGPD) s'applique à tous les transferts de données (cas 2a). Il est également possible d'opter pour la norme RGPD pour tous les transferts de données (cas 2b).

La solution la plus appropriée dépend des circons- tances du cas d'espèce. En particulier dans les relations de groupe, où les sociétés suisses se conforment déjà aux dispositions du RGPD, le choix de l'option 2b peut contribuer à l'uniformisation et à la simplification.

5 L'obligation de notification - et sa fin proche

Selon la LPD en vigueur, le PFPDT doit être informé de l'uti- lisation de SCC avant qu'un transfert de données transfron- talier ne soit effectué (art. 6, al. 3, LPD). Une communication générale indiquant que les UE-SCC sont utilisées avec des adaptations au droit suisse est suffisante. Il n'est pas néces- saire de les divulguer ni d'obtenir l'approbation du PFPDT. Les infractions à l'obligation de notification peuvent être sanc- tionnées pénalement par une amende pouvant aller jusqu'à CHF 10'000 (art. 34, al. 2, let. a, LPD).

Sous la nLPD, cette obligation de notification n'existe plus. Jusqu'à l'entrée en vigueur de la nLPD (actuel- lement prévue pour le 1er septembre 2023), le respect de l'obligation de déclaration reste obligatoire.

6 Conclusion

Lors de transferts de données transfrontaliers (ou d'un accès à des données en Suisse depuis l'étranger), il convient de vérifier si le niveau de protection des données du pays de destination (ou du pays à partir duquel l'accès est effectué) satisfait aux exi- gences du droit suisse de la protection des données. Si tel n'est pas le cas, ce qui s'applique également aux États membres de l'UE/EEE pour les données personnelles concernant des personnes morales, il convient de conclure des SCC sur la base des nouvelles UE-SCC avec le Swiss Rider correspondant.

Les SCC déjà existantes peuvent encore être utilisées jusqu'à fin 2022, mais doivent être remplacées par les nou- velles SCC avant le 31 décembre 2022. Il ne faut pas sous-es- timer le travail que cela implique. Il est donc recommandé de lancer suffisamment tôt l'examen visant à déterminer si et dans quelle mesure de nouvelles SCC doivent être conclues.