"Un dispositif particulièrement intéressant pour les PME"

Le "Swiss-U.S. Privacy Shield" (bouclier de protection des données) offre un cadre juridique pour le transfert de données personnelles de la Suisse vers les États-Unis. Un outil essentiel à l’heure de la numérisation de l’économie.

Le transfert de données gagne en importance dans une économie toujours plus interconnectée. Pour encadrer ces échanges, les autorités suisses et américaines ont adopté un outil baptisé "Swiss-US Privacy Shield". Un "bouclier de protection" qui se montre particulièrement utile pour les entreprises qui souhaitent réduire les lourdeurs administratives liées à la mise en place de mesures pour la protection de données, comme l’explique Hervé Lohr, chef de l'unité Amériques du SECO.

Qu’est-ce que le "Swiss-US Privacy Shield"?  

Hervé Lohr: Il s’agit d’un dispositif offrant un cadre juridique pour la transmission de données personnelles de la Suisse vers les Etats-Unis sans nécessiter de garanties contractuelles supplémentaires. Le but étant d’éviter les charges administratives excessives. Il se calque sur un accord similaire conclu entre l’Union européenne et les Etats-Unis.

Pourquoi est-il important d’encadrer le transfert de données personnelles?

Lohr: Des informations telles qu’une date d’anniversaire, l’état-civil ou le panier d’achats sur un site de e-commerce permettent de tirer des conclusions sur un individu. Elles constituent donc des données personnelles, qui jouissent d’une protection juridique élevée pour éviter les abus et préserver la sphère privée. Or, dans l’économie numérique, ces données sont constamment transférées au-delà de frontières nationales, notamment du fait du développement des échanges commerciaux. Ces derniers atteignent aujourd’hui un volume annuel de CHF 120 milliards entre la Suisse et les Etats-Unis. Enfin, le droit suisse exige que les transferts de données vers l’étranger offrent un niveau de protection adéquat. C’est là que le Privacy Shield entre en jeu.

En quoi ce cadre juridique est-il pertinent pour les PME suisses?

Lohr: Le Privacy Shield est particulièrement intéressant pour les petites et moyennes entreprises car il est moins lourd que des clauses contractuelles standards. Cela se vérifie d’ailleurs par le nombre important de PME certifiées côté américain.

Pouvez-vous revenir sur les étapes qui ont conduit à sa mise en place?

Lohr: Le cadre légal aux Etats-Unis n’offrant pas une protection des données adéquate du point de vue suisse, un accord intitulé "Safe Harbor" a été conclu en février 2009, de manière à encadrer la circulation de données entre des entités commerciales suisses et américaines. Au cœur du processus se trouvait une auto-certification volontaire auprès du Ministère du commerce des Etats-Unis, par laquelle les entreprises s’engageaient à respecter les principes juridiques du Safe Harbor. L’UE disposait dès 2000 d’un régime similaire.

En octobre 2015, la Cour de justice de l'Union européenne (CJUE) a déclaré caduc le dispositif existant. Ce dernier était problématique sur deux points: d’une part, selon la CJUE, l’exploitation de données personnelles par les autorités américaines pour des raisons de sécurité nationale n’était pas conciliable avec la charte des droits fondamentaux de l’UE. D’autre part, les individus ne disposaient pas de voies de recours suffisantes pour se défendre d’une exploitation non autorisée de leurs données personnelles. A la suite de cette décision, le préposé fédéral à la protection des données et à la transparence (PFPDT) a relevé que le Safe Harbor n’offrait pas non plus les garanties juridiques suffisantes.

En juillet 2016, l’UE et les USA ont conclu un nouvel accord régulant ces questions. Pour garantir un traitement équivalent, la Suisse a mené des discussions avec les Etats-Unis pour aboutir au Swiss-US Privacy Shield en 2017. Il se distingue du régime antérieur par quatre points essentiels: des directives claires pour les entreprises certifiées concernant la conservation et le transfert à des tiers des données; un mécanisme de surveillance géré par le Ministère du commerce américain; la mise en place d’une instance arbitrale en cas de violation des principes du Privacy Shield; et enfin un service de médiation qui traite les questions relatives à l’accès de données par les autorités américaines de sécurité nationale.

Quel est le profil des entreprises américaines qui se sont certifiées au Swiss-US Privacy Shield?

Lohr: Près de 74% d’entre elles sont des PME. Elles évoluent dans un grand nombre de secteurs. Dans le détail, 58% des entreprises sont actives dans les technologies de l’information. Suivent les services professionnels (16%), la santé (6%), les médias et l’industrie du divertissement (3,5%), l’éducation (2,9%) et le secteur financier (2,6%). On compte aujourd’hui plus de 3’700 entreprises enregistrées au Swiss-US Privacy Shield. À titre de comparaison, il y a plus de 5’300 sociétés déclarées au dispositif entre l’UE et les Etats-Unis. À noter que les nouvelles certifications affichent toujours une cadence élevée.

Comment les sociétés américaines doivent-elles procéder pour obtenir leur certification?

Lohr: Elles doivent prendre un certain nombre de mesures, sur une base volontaire. La certification auprès du Ministère du commerce vaut pour une année et doit être renouvelée par les entreprises, ce que font 90% d’entre elles. Avec cette certification et la reconnaissance des principes du Privacy Shield, les sociétés contractent un engagement juridiquement contraignant. Les abus peuvent être poursuivis par les autorités américaines. Le respect des critères est par ailleurs régulièrement vérifié par le Ministère du commerce des Etats-Unis à travers divers mécanismes de contrôle.

Pour accompagner ce projet, un groupe de contact a été mis en place en Suisse. Avec quels objectifs?

Lohr: Il a été créé fin 2018 pour organiser le dialogue entre les entreprises suisses et l’administration fédérale concernant le transfert de données outre-Atlantique. Il regroupe aujourd’hui 13 entreprises établies en Suisse. Le groupe sert trois buts principaux. Premièrement, l’échange d’informations concernant les préoccupations du secteur privé au regard de l’évaluation annuelle du Privacy Shield. Ensuite, il offre une mise en réseau des experts des secteurs privé et public ayant un intérêt dans le transfert transfrontalier de données en général. Enfin, il permet d’améliorer le fonctionnement du Privacy Shield grâce aux informations recueillies. S’agissant d’un groupe ouvert, les entreprises intéressées peuvent volontiers nous contacter et nous répondons à toutes leurs questions.

Envie d’en apprendre plus?:
Veuillez contacter bwam@seco.admin.ch