La Commission européenne ne se prononce pas encore sur l’équivalence de la législation suisse en matière de protection des données. Elle attend un verdict de la Cour de justice de l’Union européenne (CJUE), qui pourrait avoir une influence sur la question, a annoncé mercredi l’instance à Bruxelles.

Le cas dont le verdict est attendu est appelé «Schrems II», du nom du juriste et grand militant du respect de la vie privée Max Schrem. Cet Autrichien a porté plainte à deux reprises pour des ambiguïtés dans la protection des données. Le jugement est attendu le 16 juillet.

La Cour de justice de l’UE à Luxembourg doit clarifier si les clauses contractuelles types de l’UE et le «Privacy Shield» - soit l’accord entre les Etats-Unis et l’Union européenne - suffisent comme base pour le transfert de données personnelles de citoyens de l’UE vers les Etats-Unis.

Interpellé à Bruxelles au sujet de la Loi fédérale sur la protection des données (LPD), le commissaire européen à la Justice Didier Reynders a ajouté: «Nous n’attendons pas uniquement la décision de la CJUE». Il serait également positif que le Parlement helvétique avance dans la révision de la LPD.

Ces travaux parlementaires sont bien avancés, mais pas tout à fait terminés. Pour cette raison, M. Reynders n’a pas souhaité dire si la LPD remplit ou non les critères d’équivalence de l’UE.

Le commissaire a nié un lien entre cette équivalence et d’autres dossiers: «On ne peut pas lier en général l’accord-cadre Suisse-UE à des décisions dans le domaine de l’équivalence». Selon lui, un accord-cadre pourrait toutefois faciliter l’échange de données.

L’équivalence est un terme susceptible de rappeler des souvenirs désagréables. En juillet 2019, sous la présidence de Jean-Claude Juncker, la Commission européenne avait refusé d’accorder l’équivalence à SIX Swiss Exchange en raison du manque de progrès sur l’accord-cadre.

Pour l’économie suisse, la reconnaissance de la législation en matière de protection des données est extrêmement importante. Sans elle, les entreprises helvétiques devraient assumer de lourdes charges administratives supplémentaires. Des entraves à la compétitivité pourraient également surgir.

Bien que la révision totale de la LPD et la ratification de la nouvelle Convention du Conseil de l’Europe sur la protection des données ne soient pas encore achevées, la Suisse s’attend à ce que sa loi sur la protection des données soit reconnue par l’UE comme équivalente à son Règlement général sur la protection des données (RGPD).

A quelques exceptions près, les données personnelles ne pourraient être transférées en Suisse que si «des garanties appropriées sont prévues pour la protection de ces données». Les PME suisses pourraient également être contraintes d’accepter des clauses supplémentaires standardisées de protection des données élaborées par les services juridiques des grandes entreprises de l’UE.