La protection des données en Suisse est désormais reconnue dans l’UE. La Commission européenne a jugé lundi la législation suisse sur la protection des données équivalente au Règlement général sur la protection des données, comme elle l’a fait pour celle de dix autres pays tiers. Cette décision revêt une grande importance pour la place économique de la Suisse et sa compétitivité.
L’examen de l’équivalence de la protection des données a permis de conclure que les données à caractère personnel transférées de l’UE vers la Suisse «continuent de bénéficier de garanties appropriées en matière de protection des données», écrit la Commission européenne dans un communiqué.
Outre la Suisse, Andorre, l’Argentine, le Canada, les Iles Féroé, Guernesey, l’Ile de Man, Israël, Jersey, la Nouvelle-Zélande et l’Uruguay ont également reçu une réponse positive. Dans tous ces pays et territoires, les données pourront «continuer à circuler librement», a-t-on ajouté à Bruxelles.
L’examen des règles de protection des données dans les onze pays et territoires a en outre montré qu’il existait suffisamment de mécanismes de surveillance et de recours efficaces, indique la Commission européenne qui est tenue de réexaminer les décisions d’équivalence à intervalles réguliers.
Blocage
La Commission européenne aurait voulu décider bien plus tôt de l’équivalence de la protection des données en Suisse et dans d’autres pays tiers. Le nouveau Règlement de base sur la protection des données est en effet en vigueur depuis mai 2016 et s’applique, après une période de transition, depuis mai 2018 dans tous les pays de l’UE.
Le fait que la reconnaissance de l’équivalence par l’UE ait pris autant de temps n’a toutefois rien à voir avec les relations entre la Suisse et l’UE. On doit ce retard aux recours d’un juriste et activiste autrichien de la protection des données, Max Schrems, auprès de la Cour de justice de l’UE contre les accords de protection des données entre l’UE et les Etats-Unis.
L’autorité bruxelloise voulait attendre les décisions de la Cour de justice avant de se prononcer sur l’équivalence de la protection des données dans d’autres Etats tiers. Celles-ci sont tombées l’été dernier. La voie était donc libre.
Important pour la Suisse
Cette reconnaissance d’équivalence est importante pour la Suisse. Sans elle, les entreprises helvétiques auraient en effet des charges administratives nettement plus élevées et cela pourrait aussi entraîner des désavantages concurrentiels.
En Suisse, la nouvelle loi sur la protection des données est en vigueur depuis le 1er septembre dernier. Elle est conçue de manière à être compatible avec la protection des données de l’UE.
La transmission transfrontière de données de l’UE ou de l’EEE sans obstacle administratif est cruciale pour la place économique de la Suisse et la compétitivité du pays, écrit l’Office fédéral de la justice (OFJ) lundi dans un communiqué. L’UE étant le plus grand partenaire commercial de la Suisse, les entreprises suisses ont besoin que la coopération soit fluide et qu’elle ne se heurte pas à des contraintes supplémentaires.
Elle avait été adoptée par les Chambres fédérales à l’automne 2020, après trois ans de débats plutôt houleux, notamment à propos de l’analyse automatisée des données personnelles. Par exemple l’évaluation de la manière dont chacun navigue sur les différents sites de boutiques en ligne dans le but de leur adresser des recommandations d’achat ciblées.
Au final, les voix de l’UDC, du PLR et d’une grande partie du Centre se sont imposées face à celles du PS, des Vert.e.s et des Vert-libéraux qui demandaient des règles plus strictes. La majorité bourgeoise s’est opposée à un tel «Swiss finish», craignant des conséquences négatives pour l’économie suisse.
La Suisse détermine également quels Etats garantissent un niveau de protection des données adéquat conformément à sa réglementation. Elle a reconnu comme adéquat le niveau de protection des données des Etats membres de l’UE et de l’EEE. Le Conseil fédéral publie la liste de ces Etats en annexe de l’ordonnance sur la protection des données. La liste est publique, et elle est juridiquement contraignante pour les responsables du traitement de données.