Préposé fédéral à la protection des données et à la
transparence, PFPDT
Transfert de données personnelles dans un pays ne présentant pas le niveau de protection des
données requis, en application de clauses contractuelles types et de contrats types reconnus
27 août 2021
� 1. Les clauses contractuelles types en tant qu’instrument de protection des
données personnelles transférées vers un pays n’assurant pas un niveau de
protection des données adéquat
Selon l’art. 6, al. 1, de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) et
l’art. 16, al. 1, de la version entièrement révisée du 25 septembre 2020 (LPDrév), dont l’entrée en
vigueur est prévue durant le 2e semestre 2022, des données personnelles ne peuvent pas être
transférées vers des États où il n'existe pas de niveau de protection des données adéquat 1. Le
transfert de données vers un tel pays est cependant possible dans certaines circonstances, par
exemple si un niveau de protection adéquat peut être garanti par contrat dans le pays de destination.
Le présent document traite des clauses contractuelles types (Standard Contractual Clauses, SCC),
lesquels constituent l'un des instruments qu'un exportateur de données peut utiliser en vertu du droit
suisse pour garantir contractuellement un transfert de données vers un pays ne disposant pas d'un
niveau de protection des données adéquat. Il convient d'examiner dans chaque cas particulier si les
accords contractuels sont à même d’offrir une protection suffisante des données transférées. A cet
égard, nous renvoyons à notre Guide pour l’examen de la licéité de la communication transfrontière de
données (art. 6, al. 2, let. a, LPD), disponible sur le site du PFPDT.
2. Utilisation de SCC reconnues et obligation d’informer le PFPDT
Aux termes de l’art. 6, al. 3, LPD, quiconque transmet des données en se fondant sur des garanties
contractuelles doit en informer le Préposé à la protection des données et à la transparence (PFPDT).
Une violation délibérée de cette obligation peut entraîner des conséquences pénales 2. Pour remplir
son obligation d’information, l’exportateur de données doit préalablement soumettre au PFPDT les
garanties contractuelles utilisées pour examen. Toutefois, lorsqu’il s’agit de contrats types ou de SCC
établis ou reconnus par le PFPDT, l’obligation prévue à l’art. 6, al. 3, de l’ordonnance sur la LPD est
remplie dès lors que le PFPDT est informé de manière générale. La nouvelle mouture de la LPD
supprime complètement l’obligation d’informer le PFPDT en cas de recours à des SCC reconnues 3.
3. SCC et contrats types reconnus par le PFPDT et leur utilisation ultérieure
Jusqu’à présent, le PFPDT a reconnu les contrats modèles et les clauses contractuelles types suivants
(art. 6, al. 2, let. a, LPD) :
- les clauses contractuelles types de l’UE visées dans la décision de la Commission du 5 février
2010 relative aux clauses contractuelles types pour le transfert de données à caractère
personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE
du Parlement européen et du Conseil (2010/87/UE) ;
- le Swiss Transborder Data Flow Agreement (for outsourcing of data processing) de novembre
2013 (contrat-type pour l'externalisation du traitement des données à l'étranger ; n’existe qu’en
anglais);
- le contrat-type du Conseil de l’Europe visant à assurer une protection équivalente des données
dans le cadre des flux transfrontières de données.
1
Les États ayant une législation assurant un niveau de protection adéquat figurent dans une liste établie par le PFPDT.
2
Art. 34, al. 2, let. a, LPD.
3
Art. 16, al. 2, let. d, LPDrév.
2/7
�Les règles suivantes s’appliquent à tous les contrats et clauses types reconnus jusqu’ici :
Reconnaissance Nouvelle notification Délai transitoire pour les Après échéance du délai
contrats existants transitoire
Ces contrats et clauses Plus possible à compter Utilisation des contrats existants Remplacement par
types ne seront plus du 27 septembre 2021. jusqu’au 1er janvier 2023, pour - nouvelles SCC4
reconnus à compter du 27 autant que le traitement des - contrat sui generis
septembre 2021. données ou le contrat n’ait pas - aucun autre contrat ou
subi de modification essentielle. clause type pour le
moment5
4. Nouvelles SCC figurant dans l’annexe de la Décision d’exécution (UE) 2021/914
La Commission européenne a abrogé avec effet au 27 septembre 2021 les clauses contractuelles
types figurant dans l’annexe de la Décision de la Commission du 5 février 2010 relative aux clauses
contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis
dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil
(2010/87/UE) par la Décision d’exécution (UE) 2021/914 du 4 juin 2021 et les a remplacées par les
clauses contractuelles types figurant dans l’annexe de cette même décision 6.
Le PFPDT reconnaît les nouvelles SCC, qui se réfèrent au Règlement général de l'UE sur la
protection des données (RGPD), y compris leurs modules, sous réserve qu’elles soient modifiées
et complétées si nécessaire dans des cas d’espèce. Pour la sélection des modules appropriés et la
détermination des adaptations et des ajouts nécessaires, il faut procéder comme suit.
4.1 Choix du module applicable au cas d’espèce
Les nouvelles SCC de l’UE étant modulaires, les parties peuvent les adapter à leur scénario de
transfert7. Elles compléteront les clauses générales, toujours applicables, par le module correspondant
à leur situation. Les quatre modules suivants s’appliquent aux différents scénarios :
Module 1 : responsable dans pays sûr -> responsable dans pays sans garanties suffisantes
Module 2 : responsable dans pays sûr -> sous-traitant dans pays sans garanties suffisantes
Module 3 : sous-traitant dans pays sûr -> sous-traitant dans pays sans garanties suffisantes
Module 4 : sous-traitant dans pays sûr -> responsable dans pays sans garanties suffisantes
4.2 Détermination du droit régissant le transfert de données
La transmission de données personnelles de la Suisse vers l’étranger est régie par l’art. 6 LPD. Un tel
transfert peut également être soumis au RGPD, en raison des effets extraterritoriaux qu’il déploie, en
particulier lorsque des données de personnes domiciliées dans l’UE sont (également) transférées 8.
Ces dispositions sont contraignantes, indépendamment des éventuels choix contractuels des parties. Il
faut ainsi distinguer deux cas : dans le premier, le transfert de données ne présente aucun critère de
rattachement au RGPD9 et est soumis uniquement à la LPD. Dans le deuxième cas, le RGPD est
applicable en raison de ses effets extraterritoriaux (art. 3, § 2) et l’exportateur des données est un
4
Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679
du Parlement européen et du Conseil (Décision d’exécution (UE) 2021/914 de la Commission), adaptées pour la Suisse conformément au
ch. 4.
5
Une version remaniée du Swiss Transborder Data Flow Agreement (for outsourcing of data processing) sera publiée ultérieurement. On
ignore encore si le Conseil de l'Europe proposera également une version révisée de son contrat type.
6
Nouvelles SCC. Les anciennes SCC sont applicables pendant 18 mois aux contrats conclus précédemment, à savoir jusqu’au 27 décembre
2022, pour autant que les principes généraux du traitement des données et le contrat n’aient pas subi de modification. Ensuite, l’UE ne les
considérera plus comme des garanties suffisantes au sens de l’art. 46, § 1, RGPD.
La Décision d’exécution (UE) 2021/914 du 4 juin 2021 peut être consultée à l’adresse suivante : EUR-Lex - 32021D0914 - FR - EUR-Lex
(europa.eu)
7
Conformément au considérant (10) de la Décision d’exécution (EU) 2021/914 du 4 juin 2021.
8
Concernant les effets extraterritoriaux du RGPD, voir nos Conseils pratiques concernant le RGPD.
9
Art. 3 RGPD.
3/7
�responsable du traitement ou un sous-traitant soumis à la LPD, par exemple parce qu’il est domicilié
en Suisse.
La distinction de ces deux cas de figure est déterminante pour savoir si les SCC ou leurs modules
doivent ou peuvent être modifiés. Pour les exportations de données auxquelles la LPD est applicable,
les SCC doivent être adaptées aux spécificités de la loi suisse, en particulier afin que leur application
ne porte pas préjudice aux personnes concernées. Les SCC ne peuvent toutefois pas être modifiées
en ce qui concerne les transferts de données soumis au RGPD10. C’est pourquoi les parties doivent
déterminer si la situation concrète relève de la seule LPD ou si le RGPD est également applicable.
Si les transferts de données relèvent à la fois de la LPD et du RGPD, les parties peuvent choisir entre
deux options pour l’adaptation des SCC. Elles peuvent établir deux réglementations distinctes, l’une
s’appliquant aux transferts soumis à la LPD et l’autre aux transferts soumis au RGPD. Elles peuvent
aussi prévoir que tous les transferts seront soumis aux normes du RGPD, celui-ci offrant une
protection adéquate11 aux personnes concernées, qui ne seront donc pas défavorisées. Toutefois,
même dans ce cas de figure, certaines adaptations seront nécessaires, comme nous l’expliquons ci-
après.
10
Clause 2 des nouvelles SCC : Invariabilité des clauses.
11
Art. 6, al. 2, let. a, LPD.
4/7
�4.3 Adaptations des SCC aux cas d’espèce
4.3.1 Vue d’ensemble
Le tableau ci-dessous présente les modifications qui doivent être appliquées aux SCC afin qu’elles
présentent un niveau de protection approprié selon le droit suisse en cas de transfert de données
personnelles de la Suisse vers un pays tiers (art. 6, al. 2, let. a, LPD).
Cas 1 : Cas 2 :
Le transfert de Le transfert de données relève à la fois de la LPD et du
données relève RGPD13
uniquement de la
LPD12 Option 1 : Les parties prévoient Option 2 : Les parties
deux réglementations distinctes adoptent les normes du
pour les transferts qui sont régis RGPD pour tous les transferts
par la LPD et ceux qui sont de données.
régis par le RGPD.
Autorité de surveillance Obligatoirement Surveillance parallèle : PFPDT pour les transferts soumis à la
compétente figurant dans PFPDT LPD ; Autorité de l’UE pour les transferts soumis au RGPD (les
l’annexe I.C conformément à critères applicables au choix de l’autorité figurant dans la clause
la clause 13 13, § a), doivent être respectés).
Droit applicable aux droits Droit suisse ou droit Droit suisse ou droit d’un État Droit d’un État membre de
contractuels selon la d’un État reconnaissant et accordant aux l’UE (module 4 : libre choix)
clause 17 reconnaissant et tiers bénéficiaires des droits
accordant des droits contractuels sur les transferts
aux tiers bénéficiaires de données soumis à la LPD ;
droit d’un État membre de l’UE,
pour les transferts de données
soumis au RGPD (module 4 :
libre choix)
For des litiges entre parties Libre choix Libre choix en cas de litiges Tribunaux d’un État membre
selon la clause 18, § b)14 concernant des transferts de de l’UE (module 4 : libre
données soumis à la LPD ; choix)
tribunal d’un État membre de
l’UE pour les litiges concernant
des transferts de données
soumis au RGPD (module 4 :
libre choix)
Modifications ou ajouts Les SCC doivent comporter une annexe dans laquelle il est précisé que le terme « État
concernant le for des membre de l’UE » ne doit pas être interprété de manière à ce que les personnes
plaintes déposées par une concernées se trouvant en Suisse soient privées de la possibilité de faire valoir leurs droits
personne concernée conformément à la clause 18, § c), dans le pays dans lequel elles ont leur résidence
habituelle, à savoir la Suisse.
Modifications ou ajouts Les SCC doivent Les SCC doivent comporter une
concernant le renvoi au comporter une annexe dans laquelle il est
RGPD annexe dans laquelle précisé que le renvoi au RGPD
il est précisé que le doit être compris comme un
renvoi au RGPD doit renvoi à la LPD pour autant que
être compris comme le transfert de données soit
un renvoi à la LPD. soumis à la LPD.
Ajout applicable jusqu’à Les SCC doivent comporter une annexe dans laquelle il est précisé que les clauses
l’entrée en vigueur de la protègent également les données des personnes morales jusqu’à l’entrée en vigueur de la
LPDrév15 LPDrév.
12
Conditions : le RGPD n’est pas applicable (pas de critère de rattachement au sens de l’art. 3 RGPD) ; l’exportateur se trouve en Suisse et
transfère des données dans un pays qui ne présente pas le niveau de protection requis.
13
Conditions : le RGPD s’applique à certains transferts de données en raison de ses effets extraterritoriaux conformément à l’art. 3 RGPD ;
l’exportateur de données est un responsable ou un sous-traitant soumis à la LPD, par exemple parce qu’il se trouve en Suisse, et les
données sont transférées dans un pays qui ne présente pas le niveau de protection requis.
14
À ne pas confondre avec les droits que la personne concernée peut faire valoir au lieu de sa résidence habituelle, voir ligne suivante du
tableau et les explications du ch. 4.3.4
15
Entrée en vigueur prévue durant le 2e semestre 2022.
5/7
�4.3.2 Autorité de surveillance
La compétence de surveillance du PFPDT découle de la LPD. Il est donc autorité de surveillance dans
tous les cas, même si les parties devaient faire un choix différent, et doit être inscrit dans l’annexe I.C à
ce titre.
Le PFPDT doit être inscrit en qualité d’autorité de surveillance unique dans les contrats portant sur des
transferts de données soumis exclusivement à la LPD. La mention explicite d’une autorité de
surveillance de l’UE dans les SCC n’y fait pas obstacle. Lorsque les transferts de données relèvent à la
fois de la LPD et du RGPD, les organes de surveillance sont : le PFPDT pour les transferts de
données soumis à la LPD, et les autorités compétentes de l’UE pour les transferts soumis au RGPD
(compétences parallèles). Les accords contractuels ne concernant pas les autorités de surveillance,
ces règles s’appliquent aussi bien aux contrats conclus selon l’option 1 que selon l’option 2.
Qu’il s’agisse de l’option 1 ou de l’option 2, l’autorité de surveillance inscrite dans l’annexe I.C doit être
le PFPDT pour les traitements de données soumis à la LPD, et une autorité de l’UE pour les
traitements de données soumis au RGPD. Les exigences figurant dans la clause 13 doivent être
respectées. L’inscription d’une autorité de l’UE unique ne correspondrait pas à la réalité et pourrait
conduire à des erreurs et des malentendus lors de l’interprétation et de l’application du contrat.
Le PFPDT surveille exclusivement l’application de la législation suisse en matière de protection des
données. Il peut seulement prendre en compte dans son interprétation et son appréciation globale les
droits contractuels et les dispositions du RGPD.
4.3.3 Droit applicable aux droits contractuels en vertu de la clause 17
Dans la mesure où les faits relèvent de la LPD, les parties peuvent convenir que les droits contractuels
sont régis par la législation suisse, même si le droit d’un État membre de l’UE est explicitement
mentionné dans les SCC. Si ce possibilité est recommandée, les parties sont toutefois libres, selon le
droit suisse, de choisir une autre option, pour autant que les droits des personnes concernées ne s’en
trouvent pas affaiblis. Il faut souligner que le contrat donne à la personne concernée la possibilité, en
sa qualité de tiers bénéficiaire, d’invoquer et de faire appliquer directement certains droits contre les
parties16. Le droit de l’État choisi doit reconnaître et accorder les droits du tiers bénéficiaire pour que
celui-ci puisse effectivement les faire valoir.
Dans le champ d’application du RGPD en revanche, le droit de l’État choisi doit obligatoirement
reconnaître les droits du tiers bénéficiaire. Seul le module 4 laisse la liberté de choix aux parties.
Il découle de ce qui précède que les contrats conclus selon l’option 1 impliquent l’obligation de choisir
le droit d’un État membre pour les transferts de données régis par le RGPD alors que pour les
transferts régis par la LPD, le choix est libre au sens des explications ci-dessus. Tous les contrats
conclus selon l’option 2 doivent opter pour le droit d’un État membre de l’UE.
4.3.4 For des litiges opposant des parties selon la clause 18, § b), et for des poursuites
introduites par les personnes concernées
Les parties sont libres de choisir le for des litiges découlant du contrat lorsque les faits relèvent de la
LPD.
Lorsque les faits relèvent à la fois de la LPD et du RGPD, les parties peuvent choisir librement le for
des litiges découlant du contrat portant sur des transferts de données soumis à la LPD. En ce qui
concerne les transferts de données soumis au RGPD uniquement, les litiges doivent obligatoirement
16
Clause 3 des nouvelles SCC.
6/7
�être tranchés par les juridictions d’un État membre de l’UE17. Lorsqu’il s’agit de contrats conclus selon
l’option 1, les parties ont l’obligation d’élire un for dans un État membre de l’UE en cas d’application du
RGPD alors que le choix est libre en cas d’application de la LPD. Tous les litiges découlant de contrats
conclus selon l’option 2 doivent être tranchés par un tribunal d’un État membre.
Dans tous les cas cités, le for élu n’est cependant pas exclusif. Alors que les parties sont liées à cette
clause juridictionnelle, les personnes concernées, elles, ont toujours la possibilité de faire valoir leurs
droits auprès des juridictions de l’État dans lequel elles ont leur résidence habituelle 18. La clause
18, § c), faisant explicitement référence aux juridictions d’un État membre de l’UE alors que les
personnes concernées viennent généralement de Suisse, il convient de préciser expressément dans
une annexe que la juridiction alternative pour les personnes concernées ayant leur résidence
habituelle en Suisse est un tribunal suisse.
4.3.5 Modifications ou ajouts concernant les références au RGPD
Les nouvelles SCC font référence au RGPD à plusieurs reprises. Or les droits et devoirs découlant de
transferts de données vers l’étranger qui relèvent de la LPD doivent être examinés à la lumière de la loi
suisse. Le PFPDT doit donc, dans l’exercice de sa fonction de surveillance, appliquer la LPD. Il en
découle que les références au RGPD doivent être comprises comme des références à la LPD, ce qui
doit être précisé dans une annexe afin d’éviter tout malentendu dans l’interprétation du contrat et dans
son application.
Les règles suivantes s’appliquent lorsque les faits relèvent à la fois de la LPD et du RGPD. Si les
parties choisissent l’option 1, réglant séparément les transferts de données qui relèvent de la LPD de
ceux qui relèvent du RGPD, le contrat doit être interprété et appliqué à la lumière de la base légale
régissant concrètement chacun des transferts. Cela doit ressortir du contrat. Il faut ainsi ajouter aux
contrats conclus selon l’option 1 une annexe précisant que les références au RGPD doivent être
comprises comme des références à la LPD lorsque les transferts de données sont soumis à la LPD.
Lorsque les parties choisissent l’option 2, tous les transferts de données sont en revanche soumis au
RGPD et aucune précision n’est alors nécessaire.
4.3.6 Annexe des SCC nécessaires jusqu’à l’entrée en vigueur de la LPDrév
Les nouvelles SCC ne protègent que les personnes physiques, conformément au droit européen. La
LPD dans sa version actuelle soumet toutefois également les personnes morales à la protection des
données. Les SCC doivent par conséquent être complétées d’une annexe précisant que le contrat
protège également les personnes morales afin que le niveau de protection requis pour le transfert de
données personnelles à l’étranger (art. 6 LPD) soit respecté. Comme la LPDrév ne protégera plus que
les données des personnes physiques, à l’exclusion de celles des personnes morales, cette précision
ne sera plus nécessaire dès son entrée en vigueur.
17
Clause 2 des nouvelles SCC.
18
Clause 18, § c), des nouvelles SCC.
7/7
