Le militant Max Schrems, qui avait obtenu l’invalidation des deux accords précédents, en 2015 puis en 2020, a annoncé dans la foulée son intention de porter de nouveau l’affaire devant la justice. Jamais deux sans trois?
So today @EUJustice is announcing <a href="https://twitter.com/hashtag/SafeHarbor?src=hash&refsrc=twsrc%5Etfw">#SafeHarbor 3.0!
— Max Schrems 🇪🇺 (@maxschrems) July 10, 2023
'After a "Harbor", "Umbrella" and "#PrivacyShield" it's now a "#Framework", but guess what: it is largely a copy of the old principles! #WhatCouldGoWrong
We got our picture ready - more at 15:30 on https://t.co/QnIt9qQJEf! 😉 pic.twitter.com/cw1n0TQblB
En attendant, que va faire la Suisse? Heidi.news s’est entretenu mardi 11 juillet à Berne avec Adrian Lobsiger, préposé fédéral à la protection des données et à la transparence, en présence de sa suppléante, Florence Henguely.
Heidi.news *—* La Commission européenne a validé ce lundi 10 juillet 2023 le transfert de données vers les Etats-Unis. Est-ce que la Suisse va s’aligner sur cette décision d’adéquation?
Adrian Lobsiger — Le Secrétariat d’Etat à l’économie négocie depuis trois ans un cadre réglementaire (framework) similaire avec les Etats-Unis. Je m’attends à ce qu’il soit conclu dans les prochains mois. En l’occurrence, les entreprises américaines devront obtenir une certification pour recevoir des données européennes, comme c’était le cas précédemment avec le Privacy Shield. La différence, c’est que les Etats-Unis pourront également exiger un niveau de protection des données adéquat avec les pays vers lesquels ils envoient des données.
La décision d’ajouter un nouvel Etat dans la liste des pays qui fournissent un niveau de protection des données en adéquation avec les exigences légales suisses appartiendra au Conseil fédéral. Il y a bien entendu des éléments politiques qui entrent en ligne de compte. Mais il ne faut pas se leurrer, à partir du moment où l’Union européenne décide d’échanger des données avec des entreprises américaines, la Suisse a une marge de manœuvre limitée pour suivre une autre voie. Elle transmet de toute façon des données au sein d’Etats membres de l’Union européenne, qui pourront désormais aussi les transmettre aux Etats-Unis.
Le Préposé fédéral à la protection des données n’est pas consulté sur l’opportunité d’adopter ce cadre réglementaire?
Si, nous allons transmettre notre préavis, et il sera de manière générale favorable. Le système de l’échange transfrontalier de données personnelles repose sur une fiction juridique, et c’est particulièrement le cas dans un pays fédéraliste comme la Suisse. Dans notre pays, nous partons du principe que le niveau de protection des données est le même à Zoug qu’à Zurich ou à Genève. C’est la même chose au sein de l’Union européenne. Lorsqu’un pays est ajouté à la liste des Etats qui ont un niveau de protection des données adéquat, il faut le traiter comme tel.
Lire aussi: Bientôt Microsoft 365 partout à Berne? Le Préposé fédéral à la protection des données dit son inquiétude
Vous avez appelé le Conseil fédéral à trouver une solution cloud alternative à Microsoft 365, qui doit être adopté par l’ensemble de l’administration fédérale. Est-ce que ce nouveau cadre négocié avec les Etats-Unis change la donne?
Oui, parce que Microsoft obtiendra une certification qui lui permet d’héberger et de traiter des données européennes sur le sol américain. Je pense néanmoins que la Confédération doit continuer de chercher une alternative pour toutes les informations qui sont du ressort du secret de fonction. Nous collaborons sur des essais pilotes avec des entreprises locales comme Infomaniak, mais la question de la souveraineté numérique est complexe.
Les récentes cyberattaques qui ont touché des prestataires suisses, tels qu’Infopro et Winbiz, ont démontré que ceux qui souhaitent des solutions suisses sont, au moment d’une violation de la sécurité des données, particulièrement critiques à l’encontre de ces mêmes prestataires. Il y a une tension entre souveraineté et sécurité des données. Nous devons soutenir les entreprises locales à atteindre la maturité nécessaire.
Sur le cas Xplain, n’y a-t-il pas matière à s’étonner de la légèreté avec laquelle la Confédération a traité des données sensibles, non?
Nous sommes face au problème de la sous-traitance. La loi oblige le responsable du traitement à s’assurer que les sous-traitants respectent les conditions de la loi sur la protection des données. Il faut accorder une vigilance accrue à l’égard de ces acteurs, être informé de l’ensemble de la chaîne, car certains sous-traitants ont eux-mêmes des sous-traitants, et autoriser cette sous-traitance.