L’échange de données personnelles entre la Suisse et des entreprises américaines certifiées basées aux États-Unis devrait être sécurisé depuis la mi-septembre. Ce n’est pas le Préposé fédéral à la protection des données et à la transparence (PFPDT) qui le dit, mais le Conseil fédéral. Il a signé un nouveau cadre de protection des données (le Swiss-US Data Privacy Framework), dont le contenu est vite résumé, puisqu’il s’agit d’une copie du traité que l’Union européenne avait conclu avec les États-Unis en 2023. Les attentes de l’économie ont contraint la Suisse à agir, explique Tobias Naef, préposé à la protection des données de la ville de Winterthour.
Dans le nouveau traité, le Conseil fédéral ajoute les États-Unis à la liste des États garantissant un niveau de protection des données adéquat. Selon l’Office fédéral de la justice, «grâce au Swiss-US Data Privacy Framework, des données personnelles pourront être transférées de la Suisse vers des entreprises certifiées aux États-Unis sans qu’il soit nécessaire d’obtenir de garanties supplémentaires». Or, de nombreux juristes spécialisés dans la protection des données sont loin d’être aussi enthousiastes.
En 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le deuxième accord Privacy Shield entre l’Union européenne et les États-Unis, qui réglementait le transfert de données personnelles des entreprises européennes vers les États-Unis. Cet accord avait succédé en 2016 à l’accord Safe Harbor.
Comme pour le premier accord, la CJUE a surtout critiqué l’accès aux données offert aux services de renseignement américains. Les deux accords ont fait l’objet de deux arrêts, dénommés Schrems I et Schrems II, suite à une plainte déposée par le militant autrichien pour la protection des données Max Schrems.
En 2020, Adrian Lobsiger, le préposé fédéral à la protection des données, s’est aligné à l’arrêt Schrems II de la CJUE en concluant que le cadre du Privacy Shield n’offrait pas un niveau de protection des données adéquat pour les transferts de données de la Suisse vers les États-Unis, même s’il garantissait certains droits aux personnes se trouvant en Suisse.
Il avait déjà critiqué dans un rapport les mécanismes du Privacy Shield. Aux États-Unis, aucun droit ne peut être directement invoqué par les personnes suisses concernées par le traitement de données. Certes, une possibilité de médiation visant le contrôle du traitement des données est ouverte, mais elle se limite à l’examen par une tierce personne du traitement. Un procédé opaque échappant au contrôle.
Incompatibilité avec la loi suisse
Le PFPDT a en outre critiqué le fait que les compétences du médiateur vis-à-vis des services de renseignement américains n’aient pas été établies. L’absence de garanties en cas d’atteinte aux droits fondamentaux est incompatible avec la loi suisse sur la protection des données.
Interpellé sur le nouveau cadre de protection des données entre la Suisse et les États-Unis, Adrian Lobsiger renvoie ses interlocuteurs au Conseil fédéral et à l’Office fédéral de la justice. Le PFPDT n’est pas autorisé à commenter la décision du Conseil fédéral, car le Parlement lui a retiré cette compétence: depuis l’entrée en vigueur de la nouvelle loi sur la protection des données fin septembre 2023, la compétence d’évaluer l’adéquation de la protection des données des États et des organisations étrangers revient au Conseil fédéral.
Durant la procédure de consultation, le Parti pirate a critiqué le fait que le transfert de cette compétence au Conseil fédéral pourrait conduire à des décisions motivées par des considérations politiques. Cette critique est tombée dans l’oreille d’un sourd au Parlement. La Suisse fait aujourd’hui comme l’Union européenne, où l’exécutif décide, avec la Commission européenne, du niveau de protection des données d’un État tiers. Bruno Baeriswyl, expert indépendant en matière de protection des données à Zurich, déclare également que «la discussion sur l’adéquation est toujours, du point de vue du pouvoir exécutif, un débat de politique économique».
Selon Adrian Lobsiger, il existe en Europe un système harmonisé pour l’échange transfrontalier de données. Les informations peuvent être échangées au-delà des frontières dès lors qu’elles sont déclarées équivalentes. Aucun État tiers dont la législation en matière de protection des données a été déclarée adéquate par l’Union européenne ne s’écartera de cette ligne, afin de ne pas déstabiliser le système. Selon le PFPDT, «ce parallélisme est nécessaire, tant du point de vue juridique que du point de vue de la politique économique».
Le PFPDT souligne toutefois que le nouveau cadre de protection des données ne pose pas de principe d’équivalence de la protection des données par rapport aux États-Unis en tant que pays. «L’exportation des données n’est considérée comme adéquate que pour les entreprises certifiées aux États-Unis».
Bruno Baeriswyl confirme ces propos: le cadre juridique aux États-Unis, qui «ne correspond guère à notre compréhension des droits fondamentaux en Europe», reste le même. Le cadre de protection des données n’y change rien. Selon lui, l’accord-cadre représente surtout des «économies en matière de bureaucratie», avec un «recours en justice boiteux». Sur le plan du contenu, il ne diffère guère du précédent Swiss-US Privacy Shield. Bruno Baeriswyl doute qu’il permette d’atteindre un niveau de protection des données équivalent. «Le nouveau cadre mise fortement sur l’autocertification des entreprises. Cela signifie qu’elles ont simplement à déclarer respecter la protection des données».
La plus grande menace pour la protection des données aux États-Unis est le Foreign Intelligence Surveillance Act. Cette loi autorise les services secrets américains à surveiller de manière quasi illimitée les communications électroniques en dehors des États-Unis. Cela leur permet de collecter, d’utiliser et de diffuser le contenu des communications électroniques de sociétés internet telles que Google, Meta ou Microsoft. La CJUE avait déjà critiqué cette situation dans les arrêts Schrems.
Une surveillance «pratiquement illimitée»
Fin avril dernier, les États-Unis ont réaffirmé le maintien de ces surveillances. Le président américain Joe Biden a signé une loi en ce sens. Aux États-Unis, la surveillance par les services secrets bénéficie d’un large soutien, tous partis confondus. Les données des étrangers restent moins bien protégées que celles des nationaux.
Il n’est donc pas surprenant que Max Schrems critique également l’accord actuel entre l’Union européenne et les États-Unis: «Le prétendu nouvel accord transatlantique sur la protection des données constitue en grande partie une copie de l’accord Privacy Shield, qui a échoué». Devant la CJUE, il ne suffit pas d’affirmer que quelque chose est nouveau, robuste ou efficace. Sur la page web de son ONG Noyb, Schrems souligne que nous aurions besoin d’une modification de la législation américaine en matière de surveillance, mais que tel n’est pas le cas pour l’heure.
C’est également ce que déplore Tobias Naef: «La surveillance pratiquement illimitée des personnes en dehors des États-Unis continue de se dérouler. Sans garantie des voies de droit, il n’y a pas de fuite de données vers les États-Unis qui soit conforme aux droits fondamentaux».
