Protection des données

CHARLET, François, 2020. CJUE : le Privacy Shield européen est invalidé, et maintenant, on fait quoi ? Blog de François Charlet [en ligne]. Publication le 20 juillet 2020. [Consulté le 08.04.2021]

EDPB. Guidelines 04/2021 on Codes of Conduct as tools for transfers. Adopted on 07 July 2021. [en ligne] [Consulté le 13.08.2021]

EDPB. Lignes directrices 05/2021 sur l'interaction entre l'application de l'article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD. Version 2.0 adoptée le 14 février 2023 [en ligne] [Consulté le 25.01.2024]

EDPB. Note d'information sur les transferts de données en vertu du RGPD vers le Royaume-Uni après la période de transition. Adoptée 15 décembre 2020, mise à jour le 13 janvier 2021. [en ligne] [Consulté le 13.04.2021]

EDPB. Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, adopted on 10 November 2020. [en ligne] [Consulté le 08.04.2021]

EDPB. Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l'UE, adoptées le 10 novembre 2020. [en ligne] [Consulté le 08.04.2021]

EDPB. Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère pesonnel de l'UE. Version 2.0. Adoptées le 18 juin 2021. [en ligne] [Consulté le 25.01.2024]

EDPB. Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance. Adoptées le 10 novembre 2020. [en ligne] [Consulté le 12.08.2021]

EUROPEAN COMMISSION. Adequacy of the protection of personal data in non-EU countries : how the EU determines if a non-EU country has an adequate level of data protection

EUROPEAN COMMISSION. Commission implementing decision of 23.1.2019 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by Japan under the Act on the Protection of Personal Information. Brussels, 23.1.2019, C(2019) 304 final

EUROPEAN COMMISSION. Standard Contractual Clauses for Controllers and Processors in the EU/EEA. C(2021) 3701 [Governing transfers of personal data within the EU] 04 June 2021. [en ligne] [Consulté le 13.08.2021]

EUROPEAN COMMISSION. Standard Contractual Clauses for International Transfers. C2021) 3702 [Governing transfers of personal data outside the EU] 04 June 2021. [en ligne] [Consulté le 13.08.2021]

CNIL. Transférer des données en dehors de l'UE. [en ligne] [Consulté le 07.04.2021]

FISCHER, Philipp. LARGANT, Marine. Comment obtenir une certification au Data Privacy Framework ?, 18 juillet 2023. In : www.swissprivacy.law/241 [en ligne] [Consulté le 01.11.2023]

FISCHER, Philipp. Le EU-U.S. Data Privacy Framework déploie (enfin!) ses effets, 11 juillet 2023 In : www.swissprivacy.law/238 [en ligne] [Consulté le 25.01.2024]

FISCHER, Philipp. LUBISHTANI, Kastriot. Mesures techniques, contractuelles et organisationnelles à observer suite à l'arrêt Schrems II, 7 décembre 2020. In www.swissprivacy.law/40 [en ligne] [Consulté le 08.04.2021]

METILLE, Sylvain. RAEDLER, David. Le RGPD et le sous-traitant suisse, in : Jusletter 26 octobre 2020 [en ligne] [Consulté le 08.04.2021]

PFPDT. Prise de position sur la transmission de données personnelles vers les Etats-Unis et d'autres états n'offrant pas un niveau adéquat de protection des données au sens au sens de l'art. 6, al. 1 LPD (08.09.2020)

PFPDT. La transmission de données à l'étranger en 24 questions (10.12.2018)

PFPDT. Quelles sont les conséquences du Brexit dans le domaine des flux transfrontières de données ?

PFPDT. Guide pour l'examen de la liciété de la communication transfrontière de données (art. 6, al. 2, let. a. LPD). Juin 2021 [en ligne] [Consulté le 29.06.2022]

PFPDT. Transfert de données personnelles dans un pays ne présentant pas le niveau de protection des données requis, en application de clauses contractuelles types et de contrats types reconnus. 27 aout 2021 [en ligne] [Consulté le 12.05.2023]

REICHLIN, Jeremy. DI TRIA, Livio. Le transfert de données à l'étranger : état des lieux en Suisse. 18 décembre 2022. In www.swissprivacy.law/191 [en ligne] [Consulté le 21.02.2023]

Un transfert de données à caractère personnel : "Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l'Union européenne" (CNIL)

Exportateur de données : "la ou les personne(s) physiques ou morales, la ou les autorités publiques, la ou les agence(s) ou autre(s) organisme(s) qui transfèrent les données à caractère personnel"

Importateur de données : "la ou les entités d'un pays tiers qui reçoivent les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux clauses contractuelles types".

Entre pays EEE ou avec un pays EEE : transferts libres

Avec pays couverts par une décision d'adéquation (art. 45 RGPD et Annexe 1 Olpd) : transferts libres : Andorre, Argentine, Canada, Iles Féroe, Guernesey, Israël, Ile de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay, Royaume-Uni

Pour les autres pays, les transferts doivent faire l'objet de mesures particulières / dérogations qui sont de trois types :

• article 46 RGPD (Garanties appropriées),
• article 47 RGPD (BCR)
• article 49 RGPD (Dérogations)
• et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

1) Rapports RT/ST

Les rapports avec un sous-traitant doivent être formalisés dans un contrat écrit ou une convention écrite (art. 10a LPD).

Le contenu (pas de cadre légal mais contenu établi par la pratique) :

• prévoir le principe de délégation (= principe du traitement de données par le sous-traitant)
• cadre et limitations du traitement (qu’est-ce qu’un ST peut faire - ne peut pas faire - obligations générales à respecter)
• modalités du traitement (règles de sécurité applicables, droits d’accès au sein du ST, confidentialité…)
• conservation des données pendant les rapports contractuel et retour ou suppression après la fin des rapports 
• respect des secrets (imposer une clause de confidentialité au ST et à son personnel en cas de secret

Exemple de convention de sous-traitance

Check liste pour l’élaboration d’une convention de traitement (Préposé à la protection de NE)

Modèle de clauses pour le traitement de données par des tiers (Préposé à la protection de NE)

Peut être aussi un contrat de sous-traitance ou des conditions générales proposées par le RT ou imposées par le ST

2) Obligations qui s’appliquent au RT en cas de transferts internationaux de données personnelles (art. 6 LPD):

Couvre : tous les transferts effectifs (papiers ou électronique) - données dans les cloud - accessibilité des données

Interdiction de principe avec les exceptions suivantes :

• Le pays destinataire des données a un niveau de protection adéquat selon la liste établie et mise à jour par le Préposé fédéral. (Cette liste contient notamment tous les pays de l’UE)
• Le pays destinataire des données n'a pas un niveau de protection adéquat MAIS :
• le RT a obtenu le consentement de la personne concernée
• le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant
• la communication est indispensable à la sauvegarde d’un intérêt public prépondérant
• la communication est indispensable à la constatation, l’exercice, ou la défense d’un droit en justice
• la communication est nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée
• la personne concernée a rendu les données accessibles à tout un chacun et elle ne s’est pas opposée formellement au traitement
• il y a des règles internes à un groupe de sociétés
• Le pays destinataire des données n'a pas un niveau de protection adéquat MAIS : le RT prévoit des garanties contractuelles à faire signer par le destinataire. Ces garanties contractuelles sont reconnues par le préposé fédéral et sont :
• clauses contractuelles types de l’UE 
• contrat-type du Conseil de l’Europe
• Contrat-type pour l’externalisation du traitement de données à étranger (Droit suisse) EN

Bien rajouter dans les clauses que toutes les références au droit de l’UE doivent se comprendre comme des références au droit suisse et que les références à l’autorité européenne doivent se comprendre comme une référence à l’autorité suisse. Ne pas apporter d’autres modifications sous peine de nullité du document.

Des nouvelles clauses contractuelles sont attendues pour 2021. Les entreprises auront 1 an à partir de leur adoption pour mettre à jour les contrats.

Il y a deux types de contrats : un contrat pour transferts entre RT et ST et un contrat pour transferts entre RT et autre RT.

3) Cas du transfert de données aux USA : 

Depuis août 2020, les USA ne sont plus un pays adéquat et le Privacy shield n’est plus valable -> tous les transferts effectués selon cette garantie ne sont plus valables. 

Pour continuer à transférer des données aux USA, il faut : 

-des garanties contractuelles (obligation)

-+ garanties supplémentaires (ex demander une garantie que l’entreprise n'est pas soumise à une surveillance accrue de la part du gouvernement américain et que si demande d’accès du gouvernement américain, refus et information du RT).

-vérifier que le récipiendaire n’est pas soumis à une surveillance étatique américaine

1) Rapports RT/ST :

Les rapports avec un sous-traitant doivent être formalisés dans contrat de sous-traitance (contenu libre) art. 9 nLPD

Voir partie LPD ci-dessus

2) Obligations qui s’appliquent au RT en cas de transferts internationaux de données personnelles (art. 16 nLPD)

Le transfert est possible sans autre formalité si le pays fait parti des pays adéquat selon le Conseil fédéral ( et non plus selon le Préposé)

Si le pays est non adéquat, le transfert est autorisé s’il existe un fondement formel :

• un traité international 
• des clauses de protections de données entre RT et le cocontractant préalablement communiquées au préposé fédéral
• des garanties spécifiques élaborées par l’organe fédéral compétent et préalablement communiquées au préposé fédéral
• des clauses contractuelles types préalablement approuvées, établies ou reconnues par le préposé fédéral
• des règles d’entreprises contraignantes

Si le pays est non adéquat, le transfert est possible s’il existe une dérogation (art. 17 nLPD) :

• consentement exprès de la personne concernée
• communication des données en relation directe avec la conclusion ou l’exécution d’un contrat 
• communication des données nécessaire à la sauvegarde d’un intérêt public prépondérant ou constatation/exercice/défense d’un droit devant un tribunal
• communication des données nécessaire pour protéger la vie de la personne concernée
• la personne concernée a rendu les données personnelles accessibles
• les données personnelles proviennent d’un registre prévu par la loi, accessible au public

1) Rapports RT/ST

Les rapports avec un sous-traitant doivent être formalisés dans un contrat de sous-traitance (art 28 RGPD). 

Ce contrat doit obligatoirement contenir les mentions suivantes :

• Le ST ne peut recruter un autre ST que sur autorisation du RT
• Définition objet et durée du traitement, nature et finalité du traitement, type de données, catégories de personnes concernées, obligations et droits du RT.
• Le ST ne traite les données que sur instruction documentée du RT
• La confidentialité est imposée
• Garanties sur la sécurité des données
• assure le droit d’accès et de rectification de la personne concernée
• règle le sort des données suite à la résiliation du contrat
• respecte une obligation totale de transparence vis-à-vis du RT

Les différentes autorités européenne ont pour projet de proposer à terme un exemple de contrat. Pour l’instant il existe uniquement l’Exemple proposé par l’autorité danoise. (voir aussi exemple rédigé en français et l'exemple de clauses de la CNIL.

2) Obligations qui s’appliquent au RT en cas de transferts internationaux de données personnelles (plus ou moins similaires au droit suisse) : (art. 45ss RGPD)

• Le transfert est possible sans autre formalité si le pays fait parti des pays adéquat selon la Commission européenne
• Si le pays est non adéquat, le transfert est autorisé s’il existe un fondement formel : Présence de garanties appropriées (art. 46s RGPD): règles d’entreprises contraignantes ou garanties contractuelles à faire signer par le sous-traitant. Les garanties contractuelles sont :
• les clauses contractuelles types de l’UE pour le transfert de données à caractère personnel vers des pays tiers
• contrat-type du Conseil de l’Europe.
• Si le pays est non adéquat, le transfert est possible s’il existe une dérogation (art. 49 RGPD) : consentement de la personne concernée, nécessité pour l'exécution du contrat, nécessité pour des motifs importants d'intérêts publics, nécessité à la constatation, à l'exercice ou à la défense de droits en justice.