Conformément à la LPD en vigueur dès le 1er septembre 2023, le Conseil fédéral est chargé de décider si un Etat, un territoire, un secteur spécifique d'un Etat ou une organisation internationale offre un niveau de protection des données adéquat. La tâche d'évaluer le caractère adéquat du niveau de protection incombe à l'Office fédéral de la justice.
L’art. 8 OPDo définit plusieurs critères qui devront être en particulier pris en compte dans les évaluations, à savoir :
a. les engagements internationaux, notamment en matière de protection des données ;
b. l'état de droit et le respect des droits humains ;
c. la législation applicable, notamment en matière de protection des données, de même que sa mise en œuvre et la jurisprudence y relative ;
d. la garantie effective des droits des personnes concernées et des voies de droit ;
e. le fonctionnement effectif d’une ou de plusieurs autorités indépendantes chargées de la protection des données, disposant de pouvoirs et de compétences suffisants.
L’annexe 1 à l’OPDo contient la liste des Etats qui disposent d'un niveau de protection des données adéquat. Cette liste, qui a force obligatoire, est reproduite ci-après sous forme de tableau.
A noter que sous le régime de la LPD en vigueur jusqu’en août 2023, le Préposé fédéral à la protection des données et à la transparence (PFPDT) avait établi une liste indicative des Etats qui offraient un niveau adéquat de protection des données, mais il incombait toujours à l'exportateur de données d'évaluer si et de s'assurer que les données étaient protégées de manière adéquate dans un Etat tiers. Ce n’est plus le cas avec le nouveau régime.
Liste des Etats, territoires, secteurs déterminés dans un Etat et organismes internationaux dans lesquels un niveau de protection adéquat des données est garanti
Etat, territoire, secteur déterminé dans un Etat ou organisme international |
Informations complémentaires / documentation |
|---|---|
Allemagne* |
|
Andorre*** |
|
Argentine*** |
|
Autriche* |
|
Belgique* |
|
Bulgarie*** |
|
Canada*** |
Un niveau de protection adéquat est réputé garanti lorsque la loi fédérale canadienne du 13 avril 2000 sur la protection des renseignements personnels et les documents électroniques ou lorsqu’une loi essentiellement similaire adoptée par une province canadienne s’applique dans le domaine privé. La loi fédérale s’applique aux renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales, que celles-ci relèvent d’organisations telles que des associations, des sociétés de personnes, des personnes individuelles ou des organisations syndicales ou d’entreprises fédérales telles que des installations, des ouvrages, des entreprises ou des secteurs d’activité qui relèvent de la compétence législative du Parlement canadien. Les provinces du Québec, de la Colombie-Britannique et de l’Alberta ont adopté des lois essentiellement similaires à la loi fédérale ; l’Ontario, le Nouveau-Brunswick, Terre-Neuve-et-Labrador et la Nouvelle-Écosse ont adopté des lois essentiellement similaires à la loi fédérale dans le domaine des renseignements sur la santé. Dans toutes les provinces du Canada, la loi fédérale s’applique à tous les renseignements personnels recueillis, utilisés ou communiqués par les entreprises fédérales, y compris les renseignements personnels au sujet des employés de celles-ci. La loi fédérale s’applique également aux renseignements personnels qui circulent d’une province ou d’un pays à l’autre dans le cadre d’activités commerciales. |
Chypre*** |
|
Croatie*** |
|
Danemark* |
|
Espagne* |
|
Estonie* |
|
Finlande* |
|
France* |
|
Gibraltar*** |
|
Grèce* |
|
Guernsey*** |
|
Hongrie* |
|
Île de Man*** |
|
Îles Féroé*** |
|
Irlande*** |
|
Island* |
|
Israël*** |
|
Italie* |
|
Jersey*** |
|
Lettonie* |
|
Liechtenstein* |
|
Lituanie* |
|
Luxembourg* |
|
Malte* |
|
Monaco*** |
|
Norvège* |
|
Nouvelle-Zélande*** |
|
Pays-Bas* |
|
Pologne* |
|
Portugal* |
|
Tchéquie* |
|
Roumanie*** |
|
Royaume-Uni** |
|
Slovaquie* |
|
Slovénie* |
|
Suède* |
|
Uruguay*** |
|
* L'évaluation du niveau de protection adéquat inclut les transferts de données selon la Directive (UE) 2016/680 (Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du 4.5.2016, p. 89).
** L'évaluation du niveau de protection adéquat inclut les transferts de données en vertu d'une décision d'exécution de la Commission européenne constatant le caractère adéquat du niveau de protection des données selon la Directive (UE) 2016/680.
*** L'évaluation du niveau de protection adéquat n'inclut pas les transferts de données dans le cadre de la coopération prévue par la Directive (UE) 2016/680.
Tableau : état au 1er septembre 2023
Dernière modification 22.06.2023
