Mesures de contrôle du taux d’alcoolémie des personnes employées par une commune

Un employé communal qui exerce une activité pouvant exposer des tiers ou lui-même à un danger peut être invité à se soumettre à un contrôle de son taux d’alcoolémie si une loi le prévoit et que la mesure est effectuée par un médecin ou l’un de ses auxiliaires médicaux, comme cela ressort d’un avis rendu par le Préposé à la protection des données et à la transparence Jura Neuchâtel (avis 2015.1088). L’employé ne peut pas y être contraint, mais il doit être rendu attentif aux conséquences d’un refus comme dans le cas d’un contrôle de sécurité.

Des données personnelles sensibles
La personnalité des travailleurs est protégée par la Constitution fédérale et la CEDH notamment. Pour toute démarche qui y porte atteinte, l’Etat doit disposer d’une base légale et la mesure être proportionnée. Les art. 82 LAA et 6 de la Loi sur le travail, également applicables aux entreprises privées, obligent l’employeur à prendre les mesures nécessaires pour protéger l’intégrité personnelle des travailleurs. L’employeur peut en particulier limiter ou interdire la consommation de boissons alcoolisées (art. 35 al. 3 OLT 3). Cette interdiction ne concerne que le temps de travail et les heures précédant la prise du travail pour les activités qui requièrent une sobriété totale.

Le taux d’alcoolémie est une donnée personnelle relative à la santé de la personne contrôlée. De même que le certificat médical constatant l’aptitude ou l’inaptitude d’un collaborateur qui s’est soumis à un test d’alcoolémie, cette information est une donnée personnelle sensible au sens de la loi.

Les employés effectuant des tâches sans risque pour eux ou des tiers ne peuvent pas être soumis à des tests d’alcoolémie. En cas de soupçons, l’employeur peut seulement évaluer l’inaptitude au travail.

Des contrôles avec l’accord du travailleur en cas de soupçon et de danger
Des contrôles préventifs sont disproportionnés, sauf dans des cas très particuliers où la consommation d’alcool crée un danger pour la sécurité du travailleur ou des tiers. Un contrôle du taux d’alcoolémie peut en revanche intervenir lorsque le travailleur semble incapable d’exécuter son travail sans mettre lui-même ou des tiers en danger. Ce sera le cas par exemple pour les professions impliquant un port d’armes ou nécessitant une maîtrise absolue (médecin, chauffeur, etc.).

L’exécution des contrôles doit être confiée à un médecin (interne ou externe) qui indiquera seulement si le résultat est de nature à affecter la capacité de travail et si oui dans quelle mesure. Ce sont les mêmes principes que ceux appliqués aux contrôles médicaux lorsque l’employeur veut faire vérifier l’incapacité de travail alléguée par un employé.

Le travailleur doit consentir préalablement au contrôle et à la transmission de l’information. En cas de refus, il devra supporter au niveau de la charge de la preuve les conséquences de son refus.

Indépendamment des contrôles, il n’est pas inutile de rappeler que l’employeur a une obligation d’empêcher le travailleur d’effectuer une tâche le mettant ou des tiers en danger, ce qui parfois peut résulter dans des situations difficiles. De son côté, l’employé doit être apte à effectuer les tâches qui lui sont confiées, conformément au devoir de diligence.

Consultation sur la révision de la loi sur le droit d’auteur

Nous avons vu il y a quelques jours que le Conseil fédéral considère dans son Rapport du 11 décembre 2015 sur la responsabilité civile des fournisseurs de services Internet qu’il n’est pas nécessaire d’adopter un régime de responsabilité spécifique, ni de prévoir un moyen de connaître l’identité de l’auteur d’un contenu litigieux en vue d’une procédure civile (alors que l’on peut agir pénalement contre inconnu).

S’agissant du droit d’auteur, le Conseil fédéral adopte une position différente dans le Rapport explicatif relatif à deux traités de l’Organisation Mondiale de la Propriété Intellectuelle et aux modifications de la loi sur le droit d’auteur  pourtant publié le même jour.

Des régimes différents sans justifications
Rien ne justifie de traiter différemment les titulaires de droits d’auteurs de ceux d’autres droits et le Conseil fédéral n’apporte pas d’argument convaincant. Le Rapport explicatif mentionne que les violations du droit d’auteur sont fortement préjudiciables et susceptibles d’induire de nombreuses violations consécutives par d’autres utilisateurs d’Internet qui partagent ces contenus, et qu’il est essentiel d’agir vite (p. 66). En cela, elles sont semblables aux atteintes à la personnalité ou d’autres infractions pénales. Dans les cas de revenge porn, d’incitation à la haine raciale, ou simplement de propos attentatoires à la réputation, les atteintes sont fortement préjudiciables, susceptibles d’induire de nombreuses violations consécutives par d’autres utilisateurs d’Internet qui les propagent, et il est aussi essentiel d’agir vite. Pourtant, le Conseil fédéral a retenu que le cadre légal actuel était suffisant.

Le projet prévoit de nouvelles obligations de blocage et d’information pour les fournisseurs de services de communication dérivés (y compris les fournisseurs d’hébergement) et les fournisseurs de télécommunication (fournisseurs d’accès), qui se verraient en échange exemptés de responsabilité.

Blocage de l’accès aux contenus hébergés en Suisse
Sur demande d’un titulaire de droits, les fournisseurs de services de communication dérivés devront bloquer le contenu dont il est prétendu qu’il viole le droit d’auteur (art. 66b). Le fournisseur d’hébergement informera le client du blocage. Le fournisseur de contenu peut s’opposer. Dans ce cas il doit donner un domicile de notification en Suisse et son identité est transmise au titulaire de droits à l’origine de la communication. Il suffit donc à n’importe qui de prétendre qu’un contenu est protégé par son droit d’auteur et qu’il est mis à disposition sans droit pour contraindre le fournisseur de contenu à s’opposer au blocage et obtenir son identité.

Le projet ne prévoit pas de procédure simplifiée pour permettre à l’utilisateur qui est privé d’un accès à un contenu légitime de faire valoir ses droits.

Blocage de l’accès aux contenus étrangers
L’Institut Fédéral de la Propriété Intellectuelle (IPI) pourra établir une liste des contenus hébergés à l’étranger que les fournisseurs d’accès suisses doivent bloquer sur la seule base de la vraisemblance, et sans contrôle judiciaire préalable (art. 66d). Il suffira à un titulaire de droit de rendre vraisemblable qu’un contenu violant ses droits est hébergé à l’étranger et accessible en Suisse.

Envoi de messages d’information et identification
Lorsqu’une violation du droit d’auteur est annoncée (sans qu’elle soit vérifiée légalement), le fournisseur d’accès devra envoyer un message d’information par voie électronique à l’utilisateur dont la connexion a été utilisée. Si une nouvelle violation est annoncée dans les deux à douze mois suivants, un nouveau message sera adressé par courrier. Si une troisième violation est annoncée deux mois après la deuxième annonce mais dans l’année suivant la première annonce, l’identité de l’utilisateur est communiquée à celui qui a fait les annonces. A ce stade, aucune autorité judiciaire n’a pourtant vérifié le bienfondé des accusations.

L’avant-projet ajoute également une dérogation à la LPD suite à l’affaire Logistep qui devrait permettre à celui dont les droits d’auteur sont violés de collecter les adresses IP, l’empreinte digitale de l’œuvre protégée, ainsi que la date et l’heure de sa mise à disposition sur les réseaux pair à pair (art. 66j).

Lutter contre le piratage en proposant des alternative
La lutte contre le piratage, en particulier celui résultat d’actes occasionnels du consommateur, ne passe pas exclusivement par la contrainte légale. Celle-ci a de plus des coûts importants. Au contraire, en développant des offres légales facilement accessibles et à des prix corrects, les titulaires de droit peuvent engendrer une consommation respectueuse des produits protégés. Le renforcement des droits procéduraux des ayants droits n’est pas une incitation au développement de telles offres. Tant que les offres légales demeurent largement inférieures (notamment en raison de contenus non accessibles légalement en Suisse) ou difficile à accéder, elles n’auront que peu de succès.

Responsabilité civile des fournisseurs de services Internet

Dans son rapport intitulé «Cadre juridique pour les médias sociaux»  publié à l’automne 2013, le Conseil fédéral confirmait que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Parmi les questions ouvertes, il y avait celle de la responsabilité civile des intermédiaires, en particulier des fournisseurs de services qui permettent l’accès à un réseau et à des contenus. Encore une fois, le Conseil fédéral est arrivé à la conclusion qu’il n’est pas nécessaire, dans les conditions actuelles, d’édicter des dispositions de portée générale sur la responsabilité des fournisseurs.

Distinguer cessation d’une atteinte et responsabilité pour le dommage
Le Rapport du Conseil fédéral du 11 décembre 2015 sur la responsabilité civile des fournisseurs de services Internet dresse un panorama assez complet des dispositions légales applicables en distinguant les actions défensives (prévention et cessation d’une atteinte) des actions en réparation (paiement d’un dommage intérêt y compris tort-moral et remise de gain) dans les domaines de la protection de la personnalité, de la protection des données, de la concurrence déloyale et de la propriété intellectuelle. Une partie importante est consacrée au droit étranger, en particulier avec un avis de droit de l’Institut suisse de droit comparé consacré à la situation en Allemagne, France, Danemark, Royaume-Uni et États-Unis d’Amérique.

Le rapport présente un état de la situation et n’apporte malheureusement guère de réponses lorsque la doctrine est partagée. Ce sera bien aux tribunaux de trancher, même si l’on constate qu’il y a encore peu de jurisprudence. Les affaires les plus importantes ont d’ailleurs déjà été abordées sur ce blog comme l’arrêt «Tribune de Genève» du Tribunal fédéral, l’arrêt jurassien «Google Suggest» ou l’arrêt «Delfi» de la Cour européenne des droits de l’Homme.

Le Conseil fédéral considère que le droit en vigueur fournit d’ores et déjà aux tribunaux les instruments nécessaires pour écarter une légitimation passive dans le cas où la participation à l’atteinte n’est pas dans un lien de causalité adéquate, ce qui serait selon lui le cas pour les fournisseurs d’accès. Ce dernier point est à mon avis discutable.

Des mesures spécifiques seront examinées dans le cadre de la révision du droit d’auteur et une mesure de blocage est aussi prévue dans le projet de loi fédérale sur les jeux d’argent pour les offres de jeux d’argent enregistrées à l’étranger.

S’agissant de la responsabilité à l’égard des contenus mis en ligne, le critère déterminant est celui de la proximité du fournisseur avec le contenu. Un manque de diligence ne devrait être reproché au fournisseur d’hébergement que s’il est resté inactif après avoir reçu des indications précises d’une violation flagrante du droit et s’il n’a pas pris les mesures que l’on pouvait attendre de lui. Si le fournisseur n’a reçu aucune indication, une obligation spontanée ne devrait être retenue que pour les fournisseurs proches du contenu, comme les portails d’actualités ou les hébergeurs de forums et de blogs, et si des atteintes paraissent probables compte tenu des circonstances particulières.

Droit à connaître l’identité de l’auteur
Contrairement à la procédure pénale où une procédure peut être ouverte contre inconnu, cette possibilité n’existe pas en droit civil, d’où l’intérêt de pouvoir faire cesser toute atteinte par un participant même s’il n’en est pas l’auteur ou le responsable. Lorsque la commission par Internet d’un acte punissable est suspectée, les autorités de poursuites pénales ont la possibilité d’obtenir des fournisseurs de services de télécommunication et des fournisseurs de services de communication dérivés toute indication permettant d’identifier son auteur.

L’utilisation de la procédure pénale dans le seul but de bénéficier de la levée du secret des télécommunications pour connaître l’auteur de l’infraction en vue d’une procédure civile a été considéré comme un abus de droit dans les affaires Logistep. Le Conseil fédéral ne propose cependant pas de solution générale pour résoudre ce problème considérant qu’il n’est pas propre aux infractions commises sur Internet. S’agissant du droit d’auteur, des mesures seront étudiées séparément.

Révision de la loi sur les télécommunications

Le Conseil fédéral a ouvert la procédure de consultation sur le projet de révision partielle de la Loi sur les télécommunications (LTC). Elle fait suite à la mise en consultation par l’Office fédéral de la communication de la révision de l’Ordonnance sur les services de télécommunication (OST) qui prévoit en particulier de modifier la notion de service universel pour tenir compte du passage à la téléphonie IP. Dès 2018, l’accès à Internet ne devrait plus être lié à la location d’une ligne de téléphone et le débit minimal serait augmenté à 3000/300 kbit/s. Le prix de l’abonnement au téléphone fixe devrait inclure tous les appels vers les réseaux fixes et mobiles en Suisse pour un prix maximum de CHF 27.20. L’obligation de mettre à disposition une cabine téléphonique dans chaque commune et d’assurer le service de téléfax seraient supprimés. Ces prestations pourraient évidemment continuer à être fournies sur une base volontaire.

Cette révision de la LTC prévoit de nombreuses modifications dont les principales sont:

  • Obligation d’annonce: de nombreux fournisseurs (en particulier les fournisseurs de télécommunication OTT qui fournissent leurs prestations sur Internet comme WhatsApp ou Facebook) ne sont pas annoncés. La révision prévoit la suppression de l’obligation de s’annoncer pour tous les fournisseurs de services de télécommunications. Seuls ceux qui utilisent des ressources publiques particulières (ressources d’adressage ou fréquences de radiocommunication soumises à concession) devraient s’annoncer.
  • Itinérance internationale (roaming): le devoir d’information actuel sur les coûts est insuffisant et la protection des consommateurs représente un intérêt prépondérant. La révision va créer une base légale permettant d’améliorer la situation de concurrence et seules les prestations réellement consommées devrait être facturées. Des prix plafonds ne sont pas prévus pour l’instant.
  • Ressources d’adressage et noms de domaines: l’Ordonnance sur les domaines Internet (ODI) repose sur une interprétation large de la notion de ressources d’adressage. Une base légale suffisante sera ajoutée et les éléments principaux de l’ODI repris dans la LTC. Une possibilité de contraindre une entreprise à assumer la fonction de registre sera prévue. Des clarifications sont également prévues s’agissant des annuaires téléphoniques.
  • Protection des consommateurs: la mention dans l’annuaire pour marquer le refus des appels publicitaires est insuffisante et devrait aussi être ouverte aux personnes qui ne souhaitent pas figurer dans l’annuaire. Des possibilités de filtrage au niveau du réseau et de l’utilisateur devraient être proposées. Des informations supplémentaires devraient être fournies aux clients et futurs clients s’agissant de la qualité du réseau et des services, ainsi que des éventuelles restrictions. Les différentes prestations proposées dans une offre combinée devraient aussi pouvoir être obtenues séparément.

LSCPT et PNR, des accronymes pour conserver des données malgré leur illégalité

Le Conseil national s’est rallié lundi au Conseil des Etats et a accepté de ne pas prolonger à douze mois la conservation des données secondaires par les opérateurs de télécommunications comme le souhaitait pourtant le Conseil fédéral dans son projet de nouvelle Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT). La durée actuelle de six mois est donc maintenue. Cela peut paraître comme une victoire des défenseurs de la sphère privée, mais la conservation même de ces données est problématique du point de vue légal.

La Cour de justice de l’Union européenne (CJUE) a rendu ces dernières années quelques décisions fondamentales en matière de protection des données, comme la confirmation d’un droit au déréférencement (souvent appelé à tort droit à l’oubli), l’annulation du «Safe Harbor» et la remise en cause du transfert de données vers les U.S., ainsi que l’annulation de la directive sur la conservation des données. Cette directive a été purement et immédiatement annulée le 8 avril 2014 en raison de son atteinte grave à la sphère privée. Elle prévoyait, de manière semblable à la LSCPT, une obligation des fournisseurs de services de communications électroniques accessibles au public de conserver les données relatives au trafic, à la localisation et à l’identification des utilisateurs.

Les données accessoires ne sont pas anodines
La conservation indiscriminée et durable des données de tous les utilisateurs, dont l’essentiel n’est soupçonné d’aucun crime, constitue un traitement des données personnelles. Ces données accessoires ou métadonnées ne concernent pas le contenu des communications, mais elles permettent de tirer des conclusions très précises, telles que les habitudes de la vie quotidienne, les lieux de séjour, les déplacements, les activités exercées et les relations sociales. Ces données paraissent anodines mais elles sont extrêmement révélatrices. Il suffit de quatre points de localisation du type de ceux fournis par une antenne auquel se connecte un téléphone mobile pour identifier de manière unique 95% des individus.

La lutte contre la criminalité grave et la défense de la sécurité publique sont des intérêts légitimes qui peuvent justifier la conservation et l’analyse de certaines données, mais pas celles de tous les citoyens. La conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs pour une durée déterminée est disproportionnée selon la jurisprudence de la Cour. La conservation de ces données, indépendamment même de leur exploitation, viole déjà de manière grave la sphère privée garantie par la Constitution. Quelques pays d’Europe ont déjà renoncé à la conservation systématique et des procédures judiciaires sont en cours dans d’autres.

Les droits fondamentaux servent à protéger le citoyen contre les abus de l’Etat et sont la garantie du bon fonctionnement de l’administration et de la confiance en l’Etat. Seule une dictature peut se permettre de s’en passer. C’est surtout lorsque la tentation de les réduire est grande qu’ils sont importants et qu’il faut y être particulièrement attentif.

Le droit doit poser des limites
Depuis les attentats de Paris, il est peut être nécessaire de revoir certaines mesures de prévention, y compris de renforcer les possibilités d’action de la police. Cela peut et doit se faire dans le respect des citoyens et de la Constitution. L’émotion ne doit pas conduire le législateur à adopter des normes qu’il regrettera ou ne contrôlera plus. Tout ce qui est techniquement réalisable n’est pas justifiable. On peut certes suivre les habitants d’une ville en permanence au moyen de caméras de surveillance et de leurs abonnements de transport public, connaître leur état de santé au moyen d’applications et d’appareils connectés, etc.

D’aucuns souhaitent avoir des citoyens transparents et tout connaître de leur vie. On peut néanmoins se demander qui est réellement prêt à vivre sans rideaux et dévoiler sa vie intime, qui est prêt à être présumé coupable en tout temps et toutes circonstances, qui est prêt à ne plus pouvoir penser à haute voix sans conséquences, qui est prêt à renoncer si facilement à des droits que d’autres ont défendus au sacrifice de leur vie. La Constitution donne à chacun le droit d’avoir une sphère privée et il faut un motif suffisant à l’Etat pour justifier une intrusion. Le soupçon de commission d’une infraction grave en est un et justifie des écoutes téléphoniques ou d’autres mesures. Un tel soupçon doit sans aucun doute aussi permettre la conservation de données. Le fait qu’une personne puisse éventuellement être soupçonnée dans plusieurs mois ne justifie en revanche pas la collecte systématique des données de tous les habitants du pays.

Augmenter massivement le nombre de données collectées n’en assure pas un meilleur traitement. Ficher un grand nombre de personnes permet tout au plus a posteriori de constater que la personne était fichée, mais guère plus. Dans le cadre de la lutte contre le terrorisme par exemple, on aura ainsi beaucoup de personnes à risques, mais trop pour que des mesures puissent être prises. Le volume de données à traiter conduira également à une qualité d’information plus faible et des dérapages plus fréquents, comme ce fut le cas avec la seconde affaire des fiches.

De nombreux reproches ont été faits aux américains pour leurs réactions suite aux attentats de 2001 mais la réaction européenne depuis Paris n’en est guère différente. Il y a quelques semaines la CJUE annulait le programme Safe Harbor en raison de l’accès indiscriminé des autorités américaines aux données transmises. Le Préposé suisse à la protection des données a suivi le même raisonnement.

Tracer tous les passagers aériens
La peur du terrorisme a pourtant eu raison des parlementaires européens qui mettaient en doute l’utilité et la légalité du PNR (Passenger Name Record) européen. Ce registre d’informations sur les passagers des compagnies aériennes contiendra des données (numéro de passeport, coordonnées, trajet effectué, nombre de bagages, moyens de paiement) pour tracer les terroristes. En réalité, il tracera surtout toutes les personnes qui voyagent en avion et établir des profils et des types de comportement déviants. Il fait peu de doute que ce programme ne respecte pas la jurisprudence de la CJUE et ne résistera pas à son examen.

Les parlementaires adoptent des lois dans le cadre des pouvoirs que leur donne la Constitution. Il est important qu’ils la respectent et prennent leurs responsabilités pour adopter des lois conformes. Si l’Etat ne respecte pas sa loi fondamentale, comment peut-il ensuite être crédible et espérer obtenir que des entreprises multinationales soient sensibles à ses demandes et se restreignent dans la collecte des données de leurs utilisateurs ?

Il arrive malheureusement parfois que des lois violent les droits des citoyens et dans ce cas il n’y a plus qu’à compter sur les tribunaux pour le constater. La Suisse ne connaissant pas de cour constitutionnelle, il ne reste dans un tel cas qu’à attendre qu’un tribunal doive se prononcer dans un cas particulier et refuse d’appliquer la loi. On peut alors espérer que le parlement fasse preuve de sagesse et respecte cette décision et accepte de corriger la loi. Pendant ce temps pourtant, nos données continueront d’être conservées illégalement.

Ce billet a été publié dans l’édition de l’Agefi du 10 décembre 2015

Le Préposé s’écarte du Safe Harbor suisse

Par une modification non datée sur son site Web, vraisemblablement le 22 octobre 2015, le PFPDT indique que «tant que la Suisse n’a pas renégocié un nouvel accord avec le gouvernement américain, l’accord «U.S.-Swiss Safe Harbor Framework» ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD)».

Cette analyse n’est pas incohérente avec la décision de la CJUE, mais elle est surprenante pour plusieurs raisons :

  • elle a lieu au travers d’une modification du site web ;
  • le PFPDT n’a apparemment pas dénoncé l’accord qui demeure juridiquement valable ;
  • aucune décision judiciaire n’a été rendue ;
  • ce changement de position entre immédiatement en vigueur, alors que l’état de la législation américaine et les conditions de l’accord sont connues depuis longtemps.

Le PFPDT demande aux entreprises concernées de convenir de garanties contractuelles au sens de l’art. 6 al. 2 lit. a LPD d’ici fin janvier 2016, bien qu’il admette que ces clauses standards ne règlent pas le problème d’accès disproportionnés des autorités (soit la raison principale pour laquelle le transfert est illégal).

Il recommande finalement d’informer les personnes concernées lorsque les autorités US accèdent (concrètement) aux données.

Commentaire
Pour les individus concernés, on peut se réjouir que le PFPDT suive le mouvement européen et veuille exiger des USA plus de garanties.

En revanche, les entreprises suisses sont mises dans une situation difficile alors que rien n’obligeait le PFPDT à prendre cette décision aujourd’hui, sans avoir de solution de rechange à proposer.

Il admettait jusqu’à présent que le transfert sur la base du Safe Harbor était légale. C’est sur ses recommandations que de nombreuses entreprises ont pris la décision d’y recourir. Alors que la situation américaine n’a pas changé ces derniers mois, il déclare soudainement que le transfert est illégal. Les moyens de rechange proposés pourraient d’ailleurs bien être déclarés insuffisants par un tribunal, ce qui signifie que les maîtres de fichiers suisses doivent trouver une solution alors que le PFPDT (et ses homologues européens) n’en n’ont pas.

Affaire à suivre…

La CJUE annule le Safe Harbor, et en Suisse?

Dans une nouvelle décision majeure pour la protection des données, la Cour de justice de l’Union Européenne (CJUE) a invalidé la décision par laquelle la Commission européenne avait admis que les entreprises américaines ayant adhéré au Safe Harbor assurent un niveau de protection suffisant des données à caractère personnel européennes qui leur étaient transférées. Cette décision du 6 octobre 2015 fait suite à la demande de Max Schrems adressée à l’autorité irlandaise de protection des données de vérifier la légalité du transfert des données personnelles par Facebook de l’Irlande vers les USA.

Des données personnelles peuvent être transmises (et traités) dans un pays tiers s’il offre un niveau de protection adéquat. C’est le cas pour les pays de UE et la Suisse. Dans les autres cas, des garanties supplémentaires sont nécessaires. Elles peuvent prendre la forme de clauses contractuelles (entre l’exportateur et l’importateur), parfois le consentement des personnes concernées, où encore l’adhésion au Safe Harbor.

Le Safe Harbor est un accord conclu entre l’UE et les USA qui prévoit un certain nombre de principes que les sociétés américaines qui choisissent de s’y soumettre s’engagent à respecter. Un contrôle est exercé par la FTC américaine. Le transfert de données vers ces sociétés était automatiquement considéré comme adéquat, alors qu’il ne l’est en principe pas vers les USA (en l’absence de garanties contractuelles spécifiques, consentement de la personne concernée, etc.).

La CJU a considéré premièrement que la Commission européenne ne pouvait pas retirer le pouvoir des autorités nationales de protection des données d’examiner la légalité d’un transfert international de données personnelles. Deuxièmement, elle retient que le cadre juridique actuel aux USA permet à l’Etat d’accéder de manière massive et indiscriminée aux données personnelles. Le Safe Harbor ne soustrait évidemment pas les entreprises américaines à leur devoir de respecter le cadre légal de leur pays.

Quelles conséquences ?
Le transfert de données sur la base de l’US-EU Safe Harbor n’est plus légal. Le Groupe de l’article 29 qui réunit les autorités européennes de protection des données a laissé un délai de grâce de trois mois aux législateurs et entreprises pour trouver une solution. Des garanties contractuelles (contrats-types notamment) peuvent toujours être utilisées.

La CJUE ne devait se prononcer que sur les questions qui lui étaient posées et qui concernaient la validité du Safe Harbor. Elle a cependant confirmé que c’est bien le cadre légal américain qui est problématique. Il n’est pourtant pas possible d’y déroger par contrat et à l’issue du délai de trois mois on peut s’attendre à ce que les autorités de protection des données interdisent tout transfert aux USA, indépendamment du cadre juridique choisi. Une telle solution n’est pratiquement pas envisageable et tant l’Europe que les USA ont intérêts à trouver un accord rapidement.

Et en Suisse ?
La Suisse a un accord séparé avec les USA et n’est pas membre de l’Union européenne. Elle n’est pas concernée par la décision de la CJUE et le US-Swiss Safe Harbor est toujours parfaitement valable. Le PFPDT a néanmoins déjà indiqué qu’un nouvel accord ne pourrait que être coordonné avec l’UE. Ainsi au regard du droit suisse le transfert demeure légal. Il pourrait cependant être interdit par un juge qui serait saisi d’une demande dans un cas d’espèce. Il n’y a guère de raisons pour qu’un tribunal suisse aboutisse à un raisonnement différent.

Le PFPDT pourrait aussi déclarer que le US-Swiss Safe Harbor n’offre pas un niveau de protection adéquat. Etant donné qu’il l’a lui-même signé (contrairement à l’UE où c’était la Commission et non les autorités nationales), cela semble plus délicat. De plus, autant que les raisons qui ont justifié la décision de la CJUE sont connues depuis plusieurs années et le PFPDT aurait aussi pu agir plus tôt.

Que faut-il faire ?
La situation est très incertaine. Les transferts depuis l’Europe ne peuvent plus être justifiés par le Safe Harbor et il convient de le remplacer par un accord contractuel. En Suisse cela n’est pas nécessaire.

Dans le cas de nouveaux transferts, on évitera de recourir au Safe Harbor. Finalement, les entreprises devraient vérifier sur quelles bases elles communiquent des données à l’étranger afin d’être en mesure de réagir rapidement en cas de modifications du cadre légal. C’est aussi l’occasion de s’assurer que les conditions de délégation du traitement sont bien réglées.

Même si le maître du fichier reste responsable du traitement, il serait particulièrement sévère de lui reprocher de s’être fié aux recommandations de l’autorité compétente. Dans tous les cas, une solution politique et pragmatique devra être apportée rapidement et il faut rester attentif aux évolutions à venir.

Voir également: Le Préposé s’écarte du Safe Harbor suisse