Pour la préposée fribourgeoise, le Swiss-US Data Privacy Framework n’est pas un blanc-seing à l’externalisation
Depuis la mi-septembre 2024, les Etats-Unis figurent sur la liste suisse des pays offrant un niveau de protection des données adéquat. La préposée à la protection des données rappelle toutefois que les règles d'externalisation des données inscrites dans la loi cantonale sur la protection des données restent valables.
C'est officiel depuis le 15 septembre 2024: les Etats-Unis sont considérés par la Suisse comme un pays offrant un niveau de protection des données adéquat. Un mois plus tôt, le Conseil fédéral avait déjà décidé d'inscrire les Etats-Unis sur la liste des pays concernés. Cette décision est motivée par un nouveau cadre de protection des données, le Swiss-US Data Privacy Framework, mais elle est également liée à l'introduction d'une Cour chargée du contrôle de la protection des données.
Toutefois, pour les organisations qui souhaitent par exemple stocker leurs données dans le cloud d'une entreprise américaine, peu de choses ont changé. C'est du moins l'avis de l'Autorité cantonale de la transparence, de la protection des données et de la médiation. Dans un communiqué, la préposée à la protection des données parle d'«effets limités sur les mesures d’externalisation».
«Le transfert des données personnelles de la Suisse vers ces entreprises aux États-Unis peut être admis», indiquent l'autorité. Mais en cas d'externalisation, les conditions de protection des données doivent être respectées.
La préposée à la protection des données renvoie à cet égard à la loi cantonale sur la protection des données (LPrD ) et aux dispositions qui y sont ancrées en matière d'externalisation des données. «Les mesures prévues par les articles 18-21 de la loi du 12 octobre 2023 sur la protection des données (LPrD ; RSF 17.1) ne changent pas. Elles doivent continuer à être respectées. Le traitement de données personnelles, y compris de données sensibles, peut être externalisé aux conditions posées par la LPrD. Ainsi, malgré cette décision d’adéquation du Conseil fédéral, un organe public soumis à la LPrD doit, lors d’une externalisation vers une entreprise certifiée aux États-Unis, veiller au respect des exigences légales énumérées aux articles 18 à 21 LPrD», précisent le communiqué de l'Autorité cantonale de la transparence, de la protection des données et de la médiation.
