Lorsqu’un responsable du traitement situé en Suisse communique à l’étranger des données personnelles (p. ex. à son sous-traitant informatique dont les serveurs servant à l’hébergement cloud sont situés en Irlande), les art. 16 et suivants de la LPD qui régissent la communication de données personnelles à l’étranger s’appliquent. Le principe est qu’il est possible pour le responsable du traitement de communiquer des données à l’étranger si le Conseil fédéral a constaté que l’État dans lequel les données sont transférées dispose d’une législation assurant un niveau de protection adéquat (art. 16 al. 1 LPD). Le Conseil fédéral publie une liste des États qui disposent, selon lui, d’une législation assurant un niveau de protection adéquat (art. 8 al. 1 OPDo et Annexe 1). En font notamment partie les pays membres de l’Espace économique européen (EEE).
À l’inverse, lorsqu’un responsable du traitement situé au sein de l’EEE communique à l’étranger des données personnelles (p. ex. à son prestataire financier situé en Suisse), les art. 44 et suivants RGPD s’appliquent. Le principe est le même qu’en droit suisse, mais il appartient à la Commission européenne de rendre une décision d’adéquation. La Suisse est au bénéfice d’une telle décision d’adéquation depuis le 26 juillet 2000.
Les décisions d’adéquation rendues tant par la Suisse que par la Commission européenne sont des instruments vivants pouvant être suspendus, modifiés ou retirés si le niveau adéquat de protection n’est plus garanti. La Commission européenne est sur ce point tenue de les réexaminer au minimum tous les quatre ans.
La Commission européenne a publié le 15 janvier 2024 son rapport officiel concernant le premier réexamen du fonctionnement des décisions d’adéquation. La Commission européenne a constaté que onze pays assurent un niveau de protection adéquat, à savoir l’Andorre, l’Argentine, le Canada, les Îles Féroé, Guernesey, l’Île de Man, Israël, Jersey, la Nouvelle-Zélande, l’Uruguay et la Suisse. En conséquence, les transferts de données de l’EEE vers ces pays peuvent avoir lieu sans exigences supplémentaires.
La décision de la Commission européenne en faveur de la Suisse est une excellente nouvelle. Elle reconnaît d'une part le solide travail accompli ces dernières années par le législateur suisse en matière de protection des données. Elle apporte d'autre part une précieuse tranquillité d'esprit à l'économie en garantissant la continuité des flux de données transfrontaliers.
De manière pragmatique, la décision de la Commission européenne en faveur de la Suisse ne devrait nécessiter aucune adaptation pour les entreprises, pour autant qu’il s’agisse uniquement de flux de données entre l’EEE et la Suisse. Dans le cas d’une communication de données dans un pays ne disposant pas d’une législation assurant un niveau de protection adéquat, il est nécessaire de mettre en place des mesures assurant un niveau de protection adéquat, comme le recours aux clauses contractuelles standards de la Commission européenne.
