Par une modification non datée sur son site Web, vraisemblablement le 22 octobre 2015, le PFPDT indique que «tant que la Suisse n’a pas renégocié un nouvel accord avec le gouvernement américain, l’accord «U.S.-Swiss Safe Harbor Framework» ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD)».

Cette analyse n’est pas incohérente avec la décision de la CJUE, mais elle est surprenante pour plusieurs raisons :

  • elle a lieu au travers d’une modification du site web ;
  • le PFPDT n’a apparemment pas dénoncé l’accord qui demeure juridiquement valable ;
  • aucune décision judiciaire n’a été rendue ;
  • ce changement de position entre immédiatement en vigueur, alors que l’état de la législation américaine et les conditions de l’accord sont connues depuis longtemps.

Le PFPDT demande aux entreprises concernées de convenir de garanties contractuelles au sens de l’art. 6 al. 2 lit. a LPD d’ici fin janvier 2016, bien qu’il admette que ces clauses standards ne règlent pas le problème d’accès disproportionnés des autorités (soit la raison principale pour laquelle le transfert est illégal).

Il recommande finalement d’informer les personnes concernées lorsque les autorités US accèdent (concrètement) aux données.

Commentaire
Pour les individus concernés, on peut se réjouir que le PFPDT suive le mouvement européen et veuille exiger des USA plus de garanties.

En revanche, les entreprises suisses sont mises dans une situation difficile alors que rien n’obligeait le PFPDT à prendre cette décision aujourd’hui, sans avoir de solution de rechange à proposer.

Il admettait jusqu’à présent que le transfert sur la base du Safe Harbor était légale. C’est sur ses recommandations que de nombreuses entreprises ont pris la décision d’y recourir. Alors que la situation américaine n’a pas changé ces derniers mois, il déclare soudainement que le transfert est illégal. Les moyens de rechange proposés pourraient d’ailleurs bien être déclarés insuffisants par un tribunal, ce qui signifie que les maîtres de fichiers suisses doivent trouver une solution alors que le PFPDT (et ses homologues européens) n’en n’ont pas.

Affaire à suivre…