Sur ce point, peu de choses changent par rapport à l’actuelle loi sur la protection des données. Toutefois, en tant qu’entrepreneur, il ne vous appartient plus de juger si la protection des données dans un État tiers est adéquate ou non. En effet, il incombe désormais au Conseil fédéral d’établir une liste des pays qui présentent un niveau de protection des données adéquat. La communication de données personnelles vers des pays figurant sur cette liste est autorisée.
Selon la législation suisse, il suffit que des données personnelles soient transmises ou rendues accessibles. Toutefois, il n’est pas nécessaire - comme le prévoit le RGPD - que les données soient transférées à l’étranger en vue de leur traitement ultérieur. Cela signifie que toute communication de données personnelles à l’étranger devrait faire l’objet d’un examen préalable même si aucun traitement ultérieur n’a lieu à l’étranger.
Y a-t-il des exceptions?
Si vous souhaitez transférer des données personnelles vers un État ne figurant pas sur la liste du Conseil fédéral, la loi prévoit différentes manières de garantir malgré tout une protection adéquate des données. Il peut s’agir par exemple de directives d’entreprise contraignantes, de clauses type de protection des données ou de contrats, qui doivent toutefois être préalablement communiqués au PFPDT ou approuvés par lui.
La loi prévoit encore d’autres exceptions comme le consentement explicite de la personne concernée. Si une personne consent à ce que vous transmettiez ses données à l’étranger, nous vous conseillons de consigner son assentiment par écrit.