Le 15 septembre 2024, la modification de l’ordonnance sur la protection des données (OPDo ; RS 235.11) est entrée en vigueur. Le Conseil fédéral a décidé d’ajouter les organisations certifiées conformément aux principes du cadre de protection des données entre la Suisse et les États-Unis. En effet, la certification des entreprises américaines et la création de la nouvelle cour américaine d’examen en matière de protection des données ont permis d’élever le niveau de protection des données pour les entreprises certifiées. En conséquence, le transfert des données personnelles de la Suisse vers ces entreprises aux États-Unis peut être admis. En cas d’externalisation, les conditions de la protection des données doivent être respectées.
La décision du Conseil fédéral
Selon l’article 16 alinéa 1 de la loi fédérale sur la protection des données du 25 septembre 2020 (LPD ; RS 235.1), des données personnelles peuvent être communiquées à l’étranger si le Conseil fédéral a constaté que l’État concerné dispose d’une législation assurant un niveau de protection adéquat ou qu’un organisme international garantit un niveau de protection adéquat. Les États, territoires, secteurs déterminés dans un État et organismes internationaux dans lesquels un niveau de protection adéquat des données est garanti sont énumérés à l’annexe 1 de l’OPDo.
La décision du Conseil fédéral d’intégrer les entreprises certifiées conformément aux principes du cadre de protection des données entre la Suisse et les États-Unis à la liste de l’annexe 1 de l’OPDo, découle du fait que ces entreprises certifiées selon le Swiss-U.S. Data Privacy Framework garantissent un niveau de protection adéquat. La liste des entreprises certifiées peut être consulté sur le site dataprivacyframework.gov/list.
Chaque année, ces entreprises doivent renouveler leur certification. Le Conseil fédéral réexamine régulièrement les conditions de cette décision d’adéquation, qui peut en outre être révoquée à tout moment.
Mesures inchangées à respecter lors de l’externalisation
Les mesures prévues par les articles 18-21 de la loi du 12 octobre 2023 sur la protection des données (LPrD ; RSF 17.1) ne changent pas. Elles doivent continuer à être respectées. Le traitement de données personnelles, y compris de données sensibles, peut être externalisé aux conditions posées par la LPrD.
Ainsi, malgré cette décision d’adéquation du Conseil fédéral, un organe public soumis à la LPrD doit, lors d’une externalisation vers une entreprise certifiée aux États-Unis, veiller au respect des exigences légales énumérées aux articles 18 à 21 LPrD.
Pour plus d’informations sur l’externalisation, veuillez consulter notre page internet dédiée à ce thème.