La libre circulation des données confirmée entre l’UE et la Suisse

La Commission européenne, dans un récent rapport publié le 15 janvier 2024, confirme la libre circulation des données pour la Suisse. Un pays dit adéquat et qui garantit donc un niveau de protection suffisant en matière de traitement de données personnelles. La Suisse disposait déjà d’une décision d’adéquation adoptée avant même le RGPD, sous l’égide de la Directive 95/46/CE et ce, depuis l’année 2000.

Aujourd’hui, les échanges commerciaux reposent de plus en plus sur la transmission de flux de données personnelles dans le monde entier. Ces flux nécessitent d’être encadrés et sécurisés afin de respecter la confidentialité de ces données. Cela permettait ainsi de favoriser la confiance des consommateurs au centre de cette économie mondiale en plein essor.

Si la Suisse n’avait pas offert un niveau de protection des données adéquat, des mesures juridiques et des complications administratives auraient dû être mises en place. Ce rapport nous donne donc la possibilité de revenir sur l’obligation d’encadrement des transferts de données hors Union européenne. (Ci-après U.E) Il permet également d’énoncer les différents outils juridiques possibles définis au chapitre V du RGPD.

Cette décision d’adéquation concernant la Suisse interroge également quant au contenu de leur nouvelle loi LPD entrée en vigueur au 1er septembre 2023.

I – Les outils d’encadrement des transferts de données hors U.E

Le transfert de données hors U.E et hors Espace Economique Européen est autorisé. La condition est d’assurer un niveau de protection des données suffisant et approprié.

A ce titre et afin de transférer des données du territoire européen à des Etats tiers avec un haut niveau de protection, les organismes concernés ont la possibilité de recourir aux outils énumérés ci-après :

  • Décision d’adéquation (art. 45 du RGPD) : La commission européenne procède à une analyse globale de la législation en vigueur dans l’Etat concerné, sur son territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet Etat ;
  • Clauses contractuelles types (CCT) ou spécifiques de la Commission européenne : modèles de contrats de transfert de données personnelles rédigés et adoptés par la Commission européenne. Il existe quatre clauses couvrant chacune une situation différente dans les quatre énumérées ci-après : transferts entre responsables de traitement UE et responsables de traitement non UE, transferts de responsables de traitement UE à sous-traitants non UE, transferts de sous-traitants UE à des responsables de traitement non UE ou transferts entre sous-traitants UE et sous-traitants non UE.
  • Clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne ;
  • Règles internes d’entreprises – BCR (art. 47 du RGPD) : Politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’U.E et soumis à l’approbation d’une autorité de contrôle compétente ;
  • Un code de conduite approuvé : outil juridiquement contraignant s’imposant à ceux qui y adhèrent. Une association, une fédération ou un organisme représentant des catégories de responsables de traitement ou de sous-traitants doit initier la démarche sectorielle sur laquelle repose l’outil.
  • Un mécanisme de certification approuvé (art 42 et 46.2 RGPD) ;
  • Un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques. (Exemple : Mémorandum of Understanding dit MOU ou MMOU).

En l’espèce, l’adéquation de la Suisse a permis de conclure que les données à caractère personnel transférées induisaient des garanties appropriées en matière de protection des données. L’adoption du RGPD a d’ailleurs poussé la Suisse à revoir sa propre législation en matière de protection des données. Celle ci datait de 1993. Cela était nécessaire pour se conformer au Règlement européen sur la protection des données (ci-après le RGPD).

II – La nouvelle loi fédérale sur la protection des données (LPD) Suisse

Depuis le 1er septembre 2023, les entreprises suisses doivent se conformer à une nouvelle législation. Celle-ci vise à mieux protéger les données personnelles. Désormais, seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.

La LPD introduit, entre autres, plusieurs changements majeurs suivants pour les entreprises :

  • Article 7 de la LPD : Les principes de “Privacy by Design” et de “Privacy by Default” sont introduits :
  • Dans le premier cas, il faut prendre en compte la protection de la vie privée des utilisateurs dès la conception d’un système impliquant le traitement de données personnelles.

Dans le second cas, la protection des données entre en jeu une fois qu’une entreprise a rendu public un produit ou service.

  • Article 22s de la LPD : Rédaction d’analyses d’impacts et ce, en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées ;
  • Article 19ss de la LPD : Le devoir d’information a été étendu. La collecte de toutes données à caractère personnel doit donner lieu à une information préalable de la personne concernée. Ceci s’applique désormais non seulement lors de la collecte de données dites sensibles.
  • Article 12 de la LPD : La tenue d’un registre des activités de traitement devient obligatoire. L’ordonnance d’application prévoit toutefois des exceptions pour les entreprises qui emploient moins de 250 collaborateurs. Ces exceptions s’appliquent aux entreprises dont le traitement des données présente un risque limité d’atteinte aux personnes concernées.
  • Article 24 de la LPD : Intégration de la notion de gestion des violations de données. Notification dans les meilleurs délais au Préposé fédéral à la protection des données et à la transparence (PFPDT) ;
  • Article 5 de la LPD : Création de la définition sur le profilage ;
  • Article 5 de la LPD : Les données génétiques et biométriques entrent dans la définition des données sensibles.

Pour aller plus loin :

Par cette mise à jour de la réglementation visait principalement à rendre le droit suisse compatible avec le droit européen. Plus particulièrement le RGPD. L’objectif était de maintenir la libre circulation des données avec l’Union européenne. Ainsi, cela permettait d’éviter une perte de compétitivité des entreprises suisses.

Cette notion d’adéquation était en attente pour plusieurs pays, dont la Suisse. Cela faisait suite à l’action intentée en justice par Max Schrems, activiste autrichien militant pour la protection des données privées. Cette action concernait le recours contre la décision d’adéquation des États-Unis. Elle a été intentée devant la Cour de Justice de l’Union Européenne (CJUE).

La Commission européenne attendait que la CJUE se prononce quant à l’équivalence de la réglementation en matière de protection des données pour les États-Unis. Cela devait se faire avant de rendre son avis pour d’autres États tiers. Elle a rendu son avis le 10 juillet 2023, approuvant ledit niveau de protection sans exigences supplémentaires.


Cela a ouvert la voie à la Commission européenne. Celle ci a annoncé dès le 15 janvier 2024 l’achèvement du réexamen des 11 décisions d’adéquation en attente.

Les pays suivants, tout comme la Suisse, bénéficient à nouveau de garanties adéquates en matière de protection des données. Parmi eux figurent Andorre, l’Argentine, le Canada, l’Île de Man, les îles Féroé, Guernesey, Jersey, la Nouvelle-Zélande, Israël et l’Uruguay.

Pour approfondir vos connaissances en veille juridique, n’oubliez pas de consulter notre article sur la directive NIS 2.

Aude Aubry
Aude Aubry
Aude est un membre de notre équipe de rédaction, apportant une expertise de plus de 5 ans dans le domaine de la protection des données personnelles. Spécialisée en RGPD (Règlement général sur la protection des données), Aude a aidé de nombreuses entreprises et collectivités à se conformer à ces réglementations strictes et à protéger efficacement les informations sensibles. Outre son expertise en RGPD, Aude s'occupe actuellement de la mise en place de certifications ISO 27001 et HDS (Hébergement de données de santé).

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie