Bonne nouvelle sur le front de la protection des données
15 août 2024Le 14 août, le gouvernement suisse a décidé que le cadre de protection des données Suisse-États-Unis entrerait en vigueur le 15 septembre 2024 :
https://www.admin.ch/gov/en/start/documentation/media-releases.msg-id-102054.html
Concrètement, cela signifie qu’à partir de cette date, le transfert (y compris l’accès) de données personnelles de la Suisse vers des « organisations certifiées » aux États-Unis sera possible sans la mise en œuvre de garanties supplémentaires (telles que les Clauses contractuelles types (CCN) et une évaluation de l’impact du transfert (EIT)). Néanmoins, il est recommandé d’exiger de l’importateur de données basé aux Etats-Unis qu’il s’engage à maintenir cette auto-certification, qui doit être renouvelée annuellement par les « organisations certifiées ».
La liste des « organisations certifiées » aux États-Unis est disponible à l’adresse suivante : https://www.dataprivacyframework.gov/list. Elle comprend les principaux fournisseurs de services en nuage (Microsoft, Google, Amazon et Salesforce).
Il y a désormais une égalité de traitement avec l’UE : la situation juridique est identique dans la relation « EU-US » (l’équivalent européen du cadre de protection des données Suisse-États-Unis est entré en vigueur en juillet 2023) et dans la relation « CH-US ». Il convient toutefois de noter que le cadre UE-États-Unis de protection des données est attaqué au sein de l’UE et que toute annulation pourrait avoir un effet miroir en Suisse. Il est donc recommandé de continuer à obtenir des engagements en matière de protection des données de la part des importateurs de données basés aux États-Unis.