Il sera plus simple de transférer des données personnelles à des fournisseurs étrangers

Le Préposé fédéral à la protection des données (PFPDT) annonce reconnaître les nouvelles clauses contractuelles types s’appuyant sur le droit européen pour le transfert de données personnelles vers des pays «non-sûrs», moyennant quelques adaptations. Contacté par la rédaction, Me Sylvain Métille de l’étude HDC y voit une décision pragmatique de nature à simplifier quelque peu les choses pour de nombreuses entreprises suisses.

Le spécialiste en droit des technologies a bien voulu éclairer la portée de ce changement. En clair, la question concerne toutes les entreprises qui confient des données personnelles à un sous-traitant étranger, qu’il s’agisse de CRM ou HRM en mode SaaS ou de capacités de stockage et de calcul dans le cloud fournis par des prestataires étrangers. Lorsque ces fournisseurs viennent de pays «au niveau de protection adéquat», comme la plupart des pays européens et quelques autres, un contrat de sous-traitance suffit.

Clauses contractuelles européennes adaptées

Pour les autres pays, les choses sont ou plutôt étaient plus compliquées. Désormais, les entreprises pourront assortir leur contrat de clauses contractuelles types conformes au droit européen. Sylvain Métille précise que ces clauses ont l’avantage d’être connues et pratiquées par la plupart des fournisseurs. Pour qu’elles soient valables en Suisse, il suffira de les complémenter d’un annexe avec quelques précisions, comme la possibilité que l’application du droit suisse ou l’interprétation des références au RGPD comme des références à la LPD. Selon l’avocat, ce type d’annexe spécifique à un pays est une pratique elle aussi habituelle et connue des grands prestataires informatiques et cloud.

Le cas américain

Ce n’est un mystère pour personne, nombreux parmi les fournisseurs amenés à traiter des données personnelles sont basés aux Etats-Unis. Et là, les choses sont un peu plus complexes car, depuis l’invalidation du Privacy Shield au niveau européen et en Suisse en 2020, et surtout avec le Cloud Act, les entreprises américaines sont susceptibles de devoir livrer les données qu’elles traitent aux autorités US, quand bien même ces données sont hébergées dans un cloud et des datacenters hors de leur juridiction. Si bien qu’un fournisseur américain acceptant des clauses contractuelles type pourrait être soumis à des obligations contradictoires.

Selon Sylvain Métille, il est toutefois possible d’atténuer le risque pour l’entreprise en exigeant par exemple du fournisseur qu’il précise qu’il se conformera aux exigences du contrat et qu’il renseigne qu’il n’a pas été amené à devoir livrer des données personnelles de résidents suisses ou européens pendant les cinq dernières années.

Etonnamment, ces précautions supplémentaires nécessaires pour les firmes américaines ne le sont pas pour les autres pays n’offrant pourtant pas non plus de niveau de protection adéquat. Pour Sylvain Métille, les entreprises seraient en fait censées évaluer la juridiction spécifique du pays «non-sûr» pour chaque fournisseur auquel elles recourent. Une tâche envisageable pour les grandes sociétés disposant d’un département juridique, mais pas pour les PME. L’avocat spécialisé dans les technologies suggère qu’il serait ainsi utile que le Préposé établisse une liste des pays pour lesquels le recours aux clauses contractuelles types reste insuffisant…