Par une modification non datée sur son site Web, vraisemblablement le 22 octobre 2015, le PFPDT indique que «tant que la Suisse n’a pas renégocié un nouvel accord avec le gouvernement américain, l’accord «U.S.-Swiss Safe Harbor Framework» ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD)».
Cette analyse n’est pas incohérente avec la décision de la CJUE, mais elle est surprenante pour plusieurs raisons :
- elle a lieu au travers d’une modification du site web ;
- le PFPDT n’a apparemment pas dénoncé l’accord qui demeure juridiquement valable ;
- aucune décision judiciaire n’a été rendue ;
- ce changement de position entre immédiatement en vigueur, alors que l’état de la législation américaine et les conditions de l’accord sont connues depuis longtemps.
Le PFPDT demande aux entreprises concernées de convenir de garanties contractuelles au sens de l’art. 6 al. 2 lit. a LPD d’ici fin janvier 2016, bien qu’il admette que ces clauses standards ne règlent pas le problème d’accès disproportionnés des autorités (soit la raison principale pour laquelle le transfert est illégal).
Il recommande finalement d’informer les personnes concernées lorsque les autorités US accèdent (concrètement) aux données.
Commentaire
Pour les individus concernés, on peut se réjouir que le PFPDT suive le mouvement européen et veuille exiger des USA plus de garanties.
En revanche, les entreprises suisses sont mises dans une situation difficile alors que rien n’obligeait le PFPDT à prendre cette décision aujourd’hui, sans avoir de solution de rechange à proposer.
Il admettait jusqu’à présent que le transfert sur la base du Safe Harbor était légale. C’est sur ses recommandations que de nombreuses entreprises ont pris la décision d’y recourir. Alors que la situation américaine n’a pas changé ces derniers mois, il déclare soudainement que le transfert est illégal. Les moyens de rechange proposés pourraient d’ailleurs bien être déclarés insuffisants par un tribunal, ce qui signifie que les maîtres de fichiers suisses doivent trouver une solution alors que le PFPDT (et ses homologues européens) n’en n’ont pas.
Affaire à suivre…
Nouvelles technologies et droit (archive) 
Le document publié aujourd’hui s’adresse d’abord aux entreprises. Suite à la décision de la CJUE, le Safe Habor ne peut plus être appliqué et ce même si aucun tribunal en Suisse n’a été saisi. La Suisse est liée par la décision d’adéquation et ne peut faire cavalier seul au risque que l’UE revoie sa décision. Le PFPDT ne peut en outre pas formellement dénoncer l’accord Safe Harbor. Cela relève de la responsabilité du CF. Ce que nous attendons, c’est qu’en coordination avec l’UE, un nouveau cadre soit mis en place pour assurer la pdd lors du transfert de données aux USA. Dans l’intervalle, on ne peut pas bloquer les flux et c’est la raison pour laquelle nous recommandons de passer par les clauses contractuelles ou les BCR, même si nous sommes conscients, comme nos homologues européens, que ce n’est pas suffisant.
J.-Ph. Walter, préposé fédéral suppléant
Si je lis l’arrêt Schrems correctement, je crois que les critiques de la Cour peuvent s’adresser tout autant aux éventuelles garanties contractuelles qui pourraient être convenues entre l’exportateur en Suisse/en Europe et l’importateur aux USA de données personnelles. La recommandation du PFPDT de passer dans l’urgence par des garanties contractuelles (art. 6 al. 2 let. a LPD) n’est-elle donc pas bien fragile sur le fond, et susceptible d’être également « challengée » par une partie ou une autre tôt ou tard? Et pourtant comment faire autrement?
P. Ehrenström
En effet, je partage votre point de vue. Le seul avantage des garanties contractuelles et de ne pas (encore) avoir été formellement remises en cause par une autorité judiciaire. Ainsi le maître de fichier peut se réfugier derrière cette fragile validité et la recommandation du PFPDT.
Je ne doute pas que les autorités, suisses et européennes, ont bien conscience de cette fragilité mais à moins de bloquer le transfert de données (comme certaines autorités allemandes) et dans l’attente d’un nouvel accord, elles n’avaient guère d’autres choix.
Les maîtres de fichiers peuvent donc soit signer des garanties contractuelles tout de suite (en sachant que cela n’est que temporaire) ou attendre fin janvier pour voir si un nouvel accord a été conclu (avec le risque de devoir signer des garanties contractuelles dans l’urgence et de se voir reprocher par une personne dont les données sont traitées de n’avoir rien fait).