La Suisse n'étant pas membre de l'UE, l'arrêt Schrems II de la Cour de justice de l’Union européenne n'est pas contraignant pour le pays. En outre, le Privacy Shield Suisse-USA - bien que plus ou moins identique en substance - est formellement distinct et indépendant du Privacy Shield UE-USA. Il n’en demeure pas moins que la décision Schrems II affecte également les transferts de données de la Suisse vers des destinataires localisés aux États-Unis.
A la suite de la décision Schrems II, le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) a publié le 8 septembre 2020 un document d'orientation sur le transfert de données personnelles vers les États-Unis et d'autres pays ne disposant pas d'un niveau de protection des données adéquat au sens de l'art. 6 al. 1 de la Loi fédérale sur la protection des données.
Le PFPDT estime que le Privacy Shield Suisse-USA n'offre plus une protection suffisante pour les transferts de données vers les Etats-Unis. En conséquence, les transferts vers des destinataires aux Etats-Unis ne sont autorisés par le droit suisse de la protection des données que si la protection des données personnelles est assurée par d'autres mesures. En ce qui concerne ces autres mesures, le PFPDT mentionne dans son document d'orientation que, dans de nombreux cas, les clauses contractuelles types ne répondent plus aux exigences en matière de garanties contractuelles, conformément à l'art. 6 al. 2 lit. a de la Loi fédérale sur la protection des données pour le transfert de données vers des pays ne disposant pas d'un niveau de protection des données suffisant, comme les Etats-Unis.
De nombreuses entreprises se sont appuyées sur ces clauses contractuelles types (CCT) pour les transferts de données à caractère personnel vers les États-Unis et autres pays tiers. Dès lors que les conditions dans lesquelles les CCT peuvent toujours être utilisées comme moyen légal pour les transferts de données vers les États-Unis (et d'autres pays n'offrant pas un niveau de protection des données adéquat) ne sont pas encore claires, de nombreuses entreprises attendent des orientations supplémentaires de la part des autorités. La législation suisse actuelle en matière de protection des données ne prévoit pas de sanctions financières ou pénales en cas de non-respect des règles relatives aux transferts de données.
Que doivent faire les entreprises lorsqu'elles transfèrent des données vers les États-Unis ?
Les entreprises doivent vérifier si elles transfèrent effectivement des données personnelles aux États-Unis sur la base du Privacy Shield Suisse-USA. Si de tels transferts ont lieu, elles doivent mettre en œuvre des mesures alternatives pour protéger la vie privée de la personne concernée. De telles mesures peuvent être :
obtenir le consentement explicite des personnes concernées pour légitimer les transferts de données
mettre en œuvre des mesures techniques qui empêchent efficacement l'accès aux données à caractère personnel (par exemple, le cryptage au moyen de propres solutions de clés)
envisager une modification des flux de données, par exemple en passant par un fournisseur européen
mettre en œuvre les CCT, lorsque le destinataire des données est en mesure de fournir la coopération contractuelle requise pour la protection des données à caractère personnel.
A la suite de la décision Schrems II, le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) a publié le 8 septembre 2020 un document d'orientation sur le transfert de données personnelles vers les États-Unis et d'autres pays ne disposant pas d'un niveau de protection des données adéquat au sens de l'art. 6 al. 1 de la Loi fédérale sur la protection des données.
Le PFPDT estime que le Privacy Shield Suisse-USA n'offre plus une protection suffisante pour les transferts de données vers les Etats-Unis. En conséquence, les transferts vers des destinataires aux Etats-Unis ne sont autorisés par le droit suisse de la protection des données que si la protection des données personnelles est assurée par d'autres mesures. En ce qui concerne ces autres mesures, le PFPDT mentionne dans son document d'orientation que, dans de nombreux cas, les clauses contractuelles types ne répondent plus aux exigences en matière de garanties contractuelles, conformément à l'art. 6 al. 2 lit. a de la Loi fédérale sur la protection des données pour le transfert de données vers des pays ne disposant pas d'un niveau de protection des données suffisant, comme les Etats-Unis.
De nombreuses entreprises se sont appuyées sur ces clauses contractuelles types (CCT) pour les transferts de données à caractère personnel vers les États-Unis et autres pays tiers. Dès lors que les conditions dans lesquelles les CCT peuvent toujours être utilisées comme moyen légal pour les transferts de données vers les États-Unis (et d'autres pays n'offrant pas un niveau de protection des données adéquat) ne sont pas encore claires, de nombreuses entreprises attendent des orientations supplémentaires de la part des autorités. La législation suisse actuelle en matière de protection des données ne prévoit pas de sanctions financières ou pénales en cas de non-respect des règles relatives aux transferts de données.
Que doivent faire les entreprises lorsqu'elles transfèrent des données vers les États-Unis ?
Les entreprises doivent vérifier si elles transfèrent effectivement des données personnelles aux États-Unis sur la base du Privacy Shield Suisse-USA. Si de tels transferts ont lieu, elles doivent mettre en œuvre des mesures alternatives pour protéger la vie privée de la personne concernée. De telles mesures peuvent être :
obtenir le consentement explicite des personnes concernées pour légitimer les transferts de données
mettre en œuvre des mesures techniques qui empêchent efficacement l'accès aux données à caractère personnel (par exemple, le cryptage au moyen de propres solutions de clés)
envisager une modification des flux de données, par exemple en passant par un fournisseur européen
mettre en œuvre les CCT, lorsque le destinataire des données est en mesure de fournir la coopération contractuelle requise pour la protection des données à caractère personnel.
The Privacy Shield in Switzerland
“Great uncertainties - so far, companies are waiting. Many companies are waiting for further guidance by the authorities”
As Switzerland is not a member of the EU, the Schrems II decision of the European Court of Justice is not binding for Switzerland. Moreover, the Swiss-US Privacy Shield – though more or less identical in substance – is formally separate and independent from the EU-US Privacy Shield. Nevertheless, the Schrems II decision also affects data transfers from Switzerland to recipients in the US.
Following the Schrems II decision, the Swiss Federal Data Protection and Information Commissioner (FDPIC) published on 8 September 2020 a policy paper on the transfer of personal data to the USA and other countries lacking an adequate level of data protection within the meaning of art. 6 para. 1 Swiss Federal Act on Data Protection.
The FDPIC no longer considers that the Swiss-US Privacy Shield offers adequate protection for data transfers to the US. As a consequence, transfers to recipients in the US are only permitted under Swiss data protection law if the protection of personal data is ensured by other measures. As for such other measures, the FDPIC mentions in its policy paper that in many cases the Standard Contractual Clauses will no longer meet the requirements for contractual safeguards pursuant to art. 6 para. 2 lit. a Federal Act on Data Protection for data transfer to countries lacking an adequate level of data protection such as the USA.
Many companies have relied on these Standard Contractual Clauses (SCC) for transfers of personal data to the US and other countries. Since the conditions under which SCC can still be used as a legal means for data transfers to the US (and other countries not providing an adequate level of data protection) are not clear yet, many companies are waiting for further guidance by the authorities. The current Swiss data protection laws do not contain financial penalties or criminal sanctions for non-compliance with the rules on data transfers.
What should companies do when transferring data to the US?
Companies should check whether they transfer personal data to the USA based on the Swiss-US Privacy Shield. If such transfers take place, the companies should implement alternative measures to protect the privacy of the data subject. Such measures can be to :
obtain the express consent of the data subjects to legitimize the data transfers
implement technical measures that effectively prevent access to personal data (e.g. encryption using “bring your own key”-solutions)
consider a change of the data flows, e.g. by switching to a European provider
implement SCC, where the recipient of the data is in a position to provide the contractual cooperation required for the protection of personal data.
As Switzerland is not a member of the EU, the Schrems II decision of the European Court of Justice is not binding for Switzerland. Moreover, the Swiss-US Privacy Shield – though more or less identical in substance – is formally separate and independent from the EU-US Privacy Shield. Nevertheless, the Schrems II decision also affects data transfers from Switzerland to recipients in the US.
Following the Schrems II decision, the Swiss Federal Data Protection and Information Commissioner (FDPIC) published on 8 September 2020 a policy paper on the transfer of personal data to the USA and other countries lacking an adequate level of data protection within the meaning of art. 6 para. 1 Swiss Federal Act on Data Protection.
The FDPIC no longer considers that the Swiss-US Privacy Shield offers adequate protection for data transfers to the US. As a consequence, transfers to recipients in the US are only permitted under Swiss data protection law if the protection of personal data is ensured by other measures. As for such other measures, the FDPIC mentions in its policy paper that in many cases the Standard Contractual Clauses will no longer meet the requirements for contractual safeguards pursuant to art. 6 para. 2 lit. a Federal Act on Data Protection for data transfer to countries lacking an adequate level of data protection such as the USA.
Many companies have relied on these Standard Contractual Clauses (SCC) for transfers of personal data to the US and other countries. Since the conditions under which SCC can still be used as a legal means for data transfers to the US (and other countries not providing an adequate level of data protection) are not clear yet, many companies are waiting for further guidance by the authorities. The current Swiss data protection laws do not contain financial penalties or criminal sanctions for non-compliance with the rules on data transfers.
What should companies do when transferring data to the US?
Companies should check whether they transfer personal data to the USA based on the Swiss-US Privacy Shield. If such transfers take place, the companies should implement alternative measures to protect the privacy of the data subject. Such measures can be to :
obtain the express consent of the data subjects to legitimize the data transfers
implement technical measures that effectively prevent access to personal data (e.g. encryption using “bring your own key”-solutions)
consider a change of the data flows, e.g. by switching to a European provider
implement SCC, where the recipient of the data is in a position to provide the contractual cooperation required for the protection of personal data.