Où se trouvent les données personnelles de vos clients ?

Où se trouvent les données personnelles de vos clients ?

Cette question n'est pas si anodine qu'elle peut en avoir l'air. En effet, dans un arrêt du 06.102015, la Cour de justice de l'Union européenne (CJUE) a invalidé l'accord de protection des données «Safe Harbor», conclu entre l'Europe et les États-Unis. La CJUE a constaté que le transfert de données personnelles vers les États-Unis sous la forme prévue par l'accord est problématique. Etant donné que la Suisse a conclu un accord identique, le Préposé fédéral à la protection des données (PFPDT) estime que, tant que la Suisse n'a pas renégocié un nouvel accord avec le gouvernement américain, l'accord «U.S.-Swiss Safe Harbor Framework» ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États- Unis compatible avec la loi suisse sur la protection des données (LPD). Dans l'intervalle, le PFPDT recommande, pour l'échange de données personnelles avec des entreprises américaines, de convenir de garanties contractuelles au sens de l'art. 6, al. 2, let. a, LPD. Cet arrêt concerne donc principalement le traitement de données personnelles qui serait effectué à l'étranger, en particulier la sauvegarde de données personnelles sur des serveurs Cloud dont la localisation demeure problématique, en particulier les services offerts par les grandes sociétés, telles que Google ou Amazon.

Pour améliorer le niveau de protection des données, il convient de mettre en œuvre les mesures suivantes:

  • Les personnes dont les données sont transmises aux États- Unis doivent être informées de manière claire et aussi exhaustive que possible des accès possibles des autorités, afin de leur permettre d'exercer leurs droits. Le contrat d'échange de données personnelles devrait prévoir un engagement des parties contractantes dans ce sens.
  • Les parties doivent s'engager à mettre à la disposition des personnes concernées les outils nécessaires à une protection juridique efficace, à exécuter réellement les procédures correspondantes et à accepter les décisions qui en résultent. Le PFPDT demande aux entreprises concernées de procéder aux adaptations contractuelles requises jusqu'à fin janvier 2016. Nous nous tenons cas échéant à disposition pour vous informer des mesures à adopter au sein de votre entreprise pour assurer le respect de ces garanties contractuelles.

 

Carole Aubert