Reconnaissance par la Suisse d’Etats garantissant un niveau de protection des données adéquat

Conformément à la LPD en vigueur dès le 1er septembre 2023, le Conseil fédéral est chargé de décider si un Etat, un territoire, un secteur spécifique d'un Etat ou une organisation internationale offre un niveau de protection des données adéquat. La tâche d'évaluer le caractère adéquat du niveau de protection incombe à l'Office fédéral de la justice.

L’art. 8 OPDo définit plusieurs critères qui devront être en particulier pris en compte dans les évaluations, à savoir :

a. les engagements internationaux, notamment en matière de protection des données ;
b. l'état de droit et le respect des droits humains ;
c. la législation applicable, notamment en matière de protection des données, de même que sa mise en œuvre et la jurisprudence y relative ;
d. la garantie effective des droits des personnes concernées et des voies de droit ;
e. le fonctionnement effectif d’une ou de plusieurs autorités indépendantes chargées de la protection des données, disposant de pouvoirs et de compétences suffisants.

L’annexe 1 à l’OPDo contient la liste des Etats qui disposent d'un niveau de protection des données adéquat. Cette liste, qui a force obligatoire, est reproduite ci-après sous forme de tableau.

A noter que sous le régime de la LPD en vigueur jusqu’en août 2023, le Préposé fédéral à la protection des données et à la transparence (PFPDT) avait établi une liste indicative des Etats qui offraient un niveau adéquat de protection des données, mais il incombait toujours à l'exportateur de données d'évaluer si et de s'assurer que les données étaient protégées de manière adéquate dans un Etat tiers. Ce n’est plus le cas avec le nouveau régime.

Liste des Etats, territoires, secteurs déterminés dans un Etat et organismes internationaux dans lesquels un niveau de protection adéquat des données est garanti

Etat, territoire, secteur déterminé dans un Etat ou organisme international

Informations complémentaires / documentation

Allemagne*

 

Andorre***

 

Argentine***

 

Autriche*

 

Belgique*

 

Bulgarie***

 

Canada***

Un niveau de protection adéquat est réputé garanti lorsque la loi fédérale canadienne du 13 avril 2000 sur la protection des renseignements personnels et les documents électroniques ou lorsqu’une loi essentiellement similaire adoptée par une province canadienne s’applique dans le domaine privé. La loi fédérale s’applique aux renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales, que celles-ci relèvent d’organisations telles que des associations, des sociétés de personnes, des personnes individuelles ou des organisations syndicales ou d’entreprises fédérales telles que des installations, des ouvrages, des entreprises ou des secteurs d’activité qui relèvent de la compétence législative du Parlement canadien. Les provinces du Québec, de la Colombie-Britannique et de l’Alberta ont adopté des lois essentiellement similaires à la loi fédérale ; l’Ontario, le Nouveau-Brunswick, Terre-Neuve-et-Labrador et la Nouvelle-Écosse ont adopté des lois essentiellement similaires à la loi fédérale dans le domaine des renseignements sur la santé. Dans toutes les provinces du Canada, la loi fédérale s’applique à tous les renseignements personnels recueillis, utilisés ou communiqués par les entreprises fédérales, y compris les renseignements personnels au sujet des employés de celles-ci. La loi fédérale s’applique également aux renseignements personnels qui circulent d’une province ou d’un pays à l’autre dans le cadre d’activités commerciales.

Chypre***

 

Croatie***

 

Danemark*

 

Espagne*

 

Estonie*

 

Finlande*

 

France*

 

Gibraltar***

 

Grèce*

 

Guernsey***

 

Hongrie*

 

Île de Man***

 

Îles Féroé***

 

Irlande***

 

Island*

 

Israël***

 

Italie*

 

Jersey***

 

Lettonie*

 

Liechtenstein*

 

Lituanie*

 

Luxembourg*

 

Malte*

 

Monaco***

 

Norvège*

 

Nouvelle-Zélande***

 

Pays-Bas*

 

Pologne*

 

Portugal*

 

Tchéquie*

 

Roumanie***

 

Royaume-Uni**

 

Slovaquie*

 

Slovénie*

 

Suède*

 

Uruguay***

 

États-Unis***

Un niveau de protection adéquat est réputé garanti pour les données personnelles traitées par les organisations certifiées conformément aux principes du cadre de protection des données entre la Suisse et les États-Unis[1], en vertu des garanties octroyées par le décret exécutif 14086 du 7 octobre 2022[2], par le règlement du 7 octobre 2022 sur la cour d'examen en matière de protection des données du procureur général des États-Unis[3], par la directive 126 de la communauté du renseignement (procédures de mise en œuvre pour le mécanisme de recours en matière de renseignement selon le décret exécutif 14086) établie par le bureau de la directrice du renseignement national le 6 décembre 2022[4] et par la désignation de la Suisse le 7 juin 2024 en tant qu'État bénéficiant du mécanisme de recours à deux niveaux comprenant l'accès à la cour d'examen en matière de protection des données[5].

[1] Les principes sont disponibles à l'adresse suivante:
www.dataprivacyframework.gov/s/framework-text?tabset-c1491=3

[2] Le décret exécutif 14086 est disponible à l'adresse suivante:
www.state.gov/executive-order-14086-policy-and-procedures/

[3] Le règlement est disponible à l'adresse suivante:
www.federalregister.gov/documents/2022/10/14/2022-22234/data-protection-review-court

[4] La directive est disponible à l'adresse suivante:
www.dni.gov/files/documents/ICD/ICD_126-Implementation-Procedures-for-SIGINT-Redress-Mechanism.pdf

[5] La désignation est disponible à l'adresse suivante:
www.justice.gov/opcl/media/1355326/dl?inline

* L'évaluation du niveau de protection adéquat inclut les transferts de données selon la Directive (UE) 2016/680 (Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du 4.5.2016, p. 89).

** L'évaluation du niveau de protection adéquat inclut les transferts de données en vertu d'une décision d'exécution de la Commission européenne constatant le caractère adéquat du niveau de protection des données selon la Directive (UE) 2016/680.

*** L'évaluation du niveau de protection adéquat n'inclut pas les transferts de données dans le cadre de la coopération prévue par la Directive (UE) 2016/680.

Tableau : état au 15 septembre 2024

Communiqués

Dernière modification 15.09.2024

Début de la page