Contact
  • Etude
  • Equipe

    Notre Equipe

    Christophe Wilhelm

    Philippe Gilliéron

    Sandra Gerber

    Steve Gomes

    Yanick Corminboeuf

    Léa Wyssbrod

    Manon Berney

    Olten Abreu

    Voir tous
  • Compétences

    Pôle de droit commercial

    Droit des sociétés

    Droit de la société anonyme

    Transmission d’entreprise

    Restructuration d’entreprise

    Litiges en droit commercial

    Pôle de droit des contrats

    Droit des contrats

    Droit du travail

    Droit du bail

    Litiges en droit des contrats

    Pôle de droit de la construction et de droit de l’immobilier

    Rédaction de contrats

    Litige en droit de la construction

    Transactions immobilières

    Aménagement du territoire

    Police des constructions

    Pôle de propriété intellectuelle et de protection des données

    Protection des données

    Propriété intellectuelle

    Tech & Data

    Voir tous
  • Actualités
Contact
Data et confidentialité

Transférer des données personnelles aux Etats-Unis : vers une solution impossible à mettre en œuvre ?

Depuis le 16 juillet 2020, le transfert des données personnelles vers un pays ne présentant pas un niveau de protection adéquat, dont les Etats-Unis, est sujet à caution et nécessite de procéder à un examen des risques liés à un tel transfert. Ne pas le faire peut ainsi être considéré comme une violation tant du RGPD que de la Loi fédérale sur la protection des données. Comment convient-il de procéder à un tel examen ?


Pour aider les entreprises à agir en conformité de ces nouvelles exigence, la Commission Européenne a proposé le 12 novembre 2020 une nouvelle version des Clauses Modèles. Actuellement soumise à une période de commentaires publics jusqu’au 10 décembre 2020, cette nouvelle version devrait être la seule acceptable un an après avoir été publiée au Journal Officiel, soit selon toute vraisemblance durant le premier trimestre 2022.


Nouvelle version des Clauses Modèles


Cette nouvelle version prévoit en particulier que les parties signant la Clause Modèle doivent garantir que la législation du pays vers lequel les données sont transférées respecte les droits fondamentaux des citoyens. Le résultat de cette appréciation doit être documenté. Elle repose en particulier sur les critères suivants :


  • Les lois applicables dans le pays vers lequel les données sont transférées permettent-elles de garantir le respect des droits fondamentaux des citoyens, notamment en ce qui a trait à la législation applicable en matière de surveillance ?
  • Quels sont les types de données transférées ? S’agit-il uniquement de données de connexions ou des données de consommateurs sont-elles également concernées ?
  • Ces transferts sont-ils épisodiques ou sont-ils fréquents et réguliers ?
  • Quel est l’objet du traitement ?
  • La société amenée à traiter ces données a-t-elle fait l’objet de demandes de la part des autorités exigeant la divulgation de ces données ? Si oui, à combien de reprises ?
  • La prise en compte de toute mesure de sauvegarde prise en sus de la Clause Modèle, notamment sur le plan technique et organisationnel, que ce soit en cours de transfert ou au moment du traitement par l’entité vers laquelle ces données ont été transférées.


Cette évaluation n’est pas à prendre à la légère, puisqu’elle est susceptible de devoir être remise aux autorités en cas de requête de leur part.


Recommandations


A supposer que cette approche prônée par la nouvelle version de la Clause Modèle demeure dans le texte final, les sociétés devront ainsi mener un travail considérable de mise en conformité. Ce travail peut être décomposé en les étapes suivantes :


  • Procéder tout d’abord à un inventaire des transferts de données personnelles ayant lieu (que ce soit du reste à des sociétés affiliées ou des entités tierces).
  • Vérifier ensuite la base sur laquelle repose ces différents transferts. Lorsque ces données sont exportées vers un pays bénéficiant d’un niveau adéquat de protection ou à destination d’une entité soumise au RGPD, de plus amples démarches ne devraient pas être nécessaires. A supposer que tel ne soit pas le cas, et quelle que soit la base légale envisagée, il conviendra alors de procéder aux démarches suivantes :
  • Procéder à une appréciation documentée des risques liés au transfert de ces données, de manière conforme à ce qu’exige la Clause Modèle précitée. La Recommandation 01/2020 publiée au mois de novembre 2020 pourra également fournir une base utile de travail en la matière.
  • Si cet examen aboutit à la conclusion que certains risques existent bel et bien, documenter les mesures additionnelles envisagées pour y remédier.
  • Enfin, procéder de manière périodique à une réévaluation des risques pour s’assurer que l’appréciation initialement faite demeure adéquate.


Conclusion


Que faut-il penser du nouveau système proposé qui, en soi, apparaît conforme aux nouvelles exigences posées par la Cour de Justice ?


  • Ce processus est particulièrement lourd, puisqu’il exige de toute société opérant un transfert vers un pays ne bénéficiant pas d’un niveau adéquat de protection – et Dieu sait s’ils sont nombreux – de procéder à une appréciation des risques liés à un tel transfert.
  • Ce processus doit être suivi pour chaque transfert et chaque fournisseur. Si certains outils se mettent en place pour aider les sociétés à apprécier la réglementation applicable en matière de surveillance au sein des différents pays, ils ne suffisent pas à procéder à une telle évaluation, qui doit avoir lieu au regard de nombreux autres critères nécessitant une approche propre à chaque cas de figure.
  • Le travail de mise en conformité pour documenter ces appréciations de risques va être considérable en 2021, au point que l’on peut se demander s’il apparaît réaliste, en particulier, mais pas uniquement, pour les PME, qui se verront dans l’obligation de bénéficier d’un soutien externe pour ce faire et de dégager des budgets dans une situation économique d’ores et déjà particulièrement difficile.
  • Toute absence de mise en conformité sera susceptible d’être sanctionnée par les autorités compétentes.


Wilhelm Gilliéron Avocats SA se tient à votre entière disposition pour vous aider à assurer votre mise en conformité de la manière la plus efficiente possible.

Vous avez des questions par rapport à la problématique abordée dans cet article ?

Contactez-nous

Dernières actualités de Wilhelm Gilliéron Avocats

image_pdf

Notre étude d'avocats à Lausanne

Nos avocats aiment et comprennent le droit des affaires, sur le plan suisse et sur le plan international. Ils sont très réactifs et portent les affaires de leurs clients aux fins d’y trouver la meilleure solution juridique et pratique. Ils sont au bénéfice d’une expérience internationale de plusieurs années en droit des affaires. Ils maîtrisent plusieurs langues étrangères et disposent de correspondants dans le monde entier.

Restons connectés

LINKEDIN

NEWSLETTER

Contact

Avenue de Rumine 13
Case Postale
CH – 1001 Lausanne
+41 21 711 71 00
info@wg-avocats.ch

©2024 Wilhelm Gilliéron Avocats SA – Politique en matière de confidentialité – Réalisation Mediago