Actualités

Règlement européen sur la protection des données (RGPD): nouvelle situation juridique pour les exportateurs suisses

Le Règlement général de l’Union européenne sur la protection des données (RGPD) régit le traitement des données à caractère personnel dans l’UE depuis 2018. Un arrêt de la Cour européenne de justice étend désormais sa portée aux données à caractère personnel de citoyens de l’UE transférées vers des pays tiers. Les PME suisses peuvent déjà être concernées lors dopérations de paiement effectuées par des prestataires internationaux ou de l’utilisation de services cloud.

datenschutz

Cet arrêt règle le litige opposant M. Schrems et le commissaire irlandais à la protection des données à Facebook Ireland concernant le transfert de ses données personnelles par Facebook Ireland à Facebook Inc. aux États-Unis. Il s’ensuit que les autorités compétentes des États membres peuvent interdire ou suspendre les flux de données vers des pays tiers. La sanction (amende) n’a pas encore fixée.

Points essentiels:

  • Le RGPD s’applique dans un pays tiers, dès lors que les services de renseignement de l’Etat tiers ont accès aux données, à des fins de sécurité nationale ou de défense. Au sens du RGPD, tous les pays en dehors de l’UE et de l’EEE sont considérés comme des «pays tiers», c’est-à-dire que les données à caractère personnel ne peuvent pas être transférées vers ces pays sans autres formalités. Le Royaume-Uni pourrait également être inclus dans ces pays à compter du 1er janvier 2021.
  • L’accord «Bouclier de protection des données UE-États-Unis» (Privacy Shield) a été invalidé avec effet immédiat, la Cour ayant annulé la décision de la Commission européenne qui reconnaissait une protection adéquate au Privacy Shield,.
  • Les clauses contractuelles types de la Commission européenne restent valables et seront, le cas échéant complétées par des mesures supplémentaires. Il appartient, dès lors, à l’exportateur de données de vérifier, au cas par cas, si le droit du pays tiers assure une protection appropriée des données à caractère personnel au regard du droit de l’UE. 

Les données de cartes de crédits utilisées sur des boutiques en lignes et les données stockées dans un cloud font partie des données à caractère personnel transférées vers des pays tiers.

Que signifient les décisions de la Cour de justice de l'Union européenne pour la Suisse?

La CJUE ne se prononce pas pour la Suisse. Mais, pour les entreprises suisses exportatrices, cela signifie qu’elles doivent identifier et documenter les transferts de données à caractère personnel de Suisse ou d’Europe vers des pays tiers non assortis d’une décision constatant le caractère adéquat de la protection, comme avant l’accord «Safe Harbor». En outre, il faut vérifier si tous les transferts de données respectent un niveau de sécurité équivalent à celui de l’UE, mais également s’il est possible d’accéder aux centres de données, et ce, tout au long de la chaîne d’approvisionnement.

Il faut déterminer si les transferts de données sont fondés uniquement sur le Privacy Shield ou les SCC ou si un autre dispositif juridique s’applique. Une infraction peut conduire les autorités de contrôle à infliger une amende pouvant atteindre 250 000 CHF, adressée au CEO, ainsi qu’une inscription au casier judiciaire qui ne peut être effacée avant 20 ans.

Partager
Comment souhaitez-vous être contacté ?

Partenaire Premium

Partenaires stratégiques

Partenaire institutionnel

Programme officiel