Dans l’économie numérique actuelle, où les données sont l’actif le plus précieux, le lieu où vos données sont stockées — et le droit auquel elles sont soumises — est devenu tout aussi important que la manière dont elles sont sécurisées. Dans un contexte marqué par des préoccupations croissantes liées à la surveillance, aux ingérences réglementaires et aux normes mondiales incohérentes, le contraste entre les lois américaines et suisses sur la protection des données est plus marqué que jamais. Voici pourquoi la juridiction applicable compte aujourd’hui plus que jamais.

Les États-Unis : lois fragmentées et surveillance globale

Les États-Unis ne disposent pas d’une loi unique et complète en matière de protection des données couvrant tous les types de données personnelles. À la place, un ensemble de réglementations sectorielles s’applique — comme HIPAA (pour la santé), GLBA (finance) et COPPA (protection de l’enfance) — ainsi que des pouvoirs d’exécution conférés à la Federal Trade Commission (FTC) dans le cadre du droit de la consommation américain.

Plus préoccupant encore pour les entreprises internationales comme pour les particuliers, le Cloud Act américain (2018) donne aux autorités américaines le pouvoir d’accéder aux données détenues par des entreprises américaines, sous certaines conditions juridiques spécifiques — même si ces données sont stockées en dehors des États-Unis.

Bien que principalement destiné à la collecte de renseignements étrangers, le Foreign Intelligence Surveillance Act (FISA) permet aux agences de renseignement américaines d’accéder à des données concernant des ressortissants étrangers à des fins de sécurité nationale — sans obligation d’en informer les personnes concernées ni de leur offrir un quelconque recours juridique. La section 702 du FISA, en particulier, a été largement critiquée pour permettre des programmes de surveillance de masse échappant aux garanties offertes par le droit constitutionnel américain.

L’absence d’une norme fédérale américaine en matière de protection des données, combinée à de puissants mécanismes d’accès gouvernementaux comme le Cloud Act et le FISA, a conduit la Cour de justice de l’Union européenne à invalider des accords transatlantiques de transfert de données, comme le Privacy Shield UE–États-Unis, érodant davantage la confiance des citoyens européens dans les services basés aux États-Unis. Un nouveau cadre, le Data Privacy Framework (DPF), a été mis en place en 2023, afin de répondre aux critiques formulées à l’encontre de son prédécesseur. Il convient toutefois de noter que ce nouveau cadre fait lui aussi l’objet d’un examen attentif.

La Suisse : neutre, indépendante et alignée sur le RGPD

Contrairement aux États-Unis, la Suisse a codifié la protection des données dans une loi nationale — la Loi fédérale sur la protection des données (LPD) — qui a été entièrement révisée en 2023 pour s’aligner sur le Règlement général sur la protection des données (RGPD) de l’Union européenne.

La Suisse applique des règles strictes concernant les transferts transfrontaliers de données, en les autorisant uniquement vers des pays considérés comme offrant une protection juridique « adéquate ». Les États-Unis figurent sur cette liste des pays sûrs, mais uniquement pour les entreprises américaines certifiées DPF. Cela signifie qu’il est illégal pour les entreprises suisses de transférer des données personnelles à des prestataires américains sans certification DPF, garanties supplémentaires ou le consentement explicite des personnes concernées.

La protection des données est placée sous la surveillance du Préposé fédéral à la protection des données et à la transparence (PFPDT) — une autorité fédérale indépendante chargée de veiller au respect de la législation sur la protection des données et de traiter les violations. Cette indépendance institutionnelle est une raison essentielle pour laquelle la Suisse continue d’être reconnue pour sa fiabilité numérique et sa neutralité juridique.

Pourquoi cela compte plus que jamais

Lorsque vous confiez vos données à un fournisseur de services, vous les soumettez aussi à l’ordre juridique dont relève ce fournisseur. En Suisse, les données personnelles bénéficient de droits constitutionnels en matière de protection de la vie privée, et d’un contrôle exercé par une autorité fédérale indépendante.

Pour les particuliers et les organisations soucieux de la protection de la vie privée, le choix de la juridiction n’est donc pas une question abstraite — c’est une décision stratégique. Choisir un fournisseur cloud qui n’est pas soumis au droit américain devient de plus en plus essentiel — et ce n’est plus un luxe.