Public Clouds Confédération, la saga continue Quatre, c’est le nombre d’arrêts rendus dans une même affaire à propos de l’utilisation par l’administration fédérale de services cloud proposés par des fournisseurs étrangers. Aucun de ces arrêts n’a toutefois encore tranché la question au fond. Il faudra pour cela attendre le prochain arrêt du Tribunal administratif fédéral. Faute présumée du responsable de traitement en cas de cyberattaque Les questions préjudicielles posées par la Cour suprême administrative bulgare à la CJUE visent à déterminer les conditions dans lesquelles une réparation du préjudice moral peut être obtenue par la personne concernée dont les données ont été publiées sur Internet suite à une cyberattaque. Écoles closes et clauses d’ouverture La CJUE estime que le traitement de données personnelles lors de cours à distance relève du champ d’application du RGPD. Elle juge également que l’utilisation d’une clause d’ouverture par un État membre doit respecter les conditions et limites du droit européen, ainsi qu’avoir un contenu propre et spécifique. Nouvelle cyberstratégie nationale : objectif de protection contre les cybermenaces Le Conseil fédéral et les cantons ont adopté la nouvelle cyberstratégie nationale le 5 avril 2023 pour protéger la Suisse contre les cybermenaces. La stratégie et sa mise en œuvre seront en vigueur jusqu’à leur examen dans cinq ans. La proposition de règlement EHDS : nouvel instrument de l’Union à fort potentiel La Proposition de règlement EHDS élaborée par la Commission européenne ouvre la voie à un nouveau cadre de gouvernance pour les données de santé. Le cadre juridique sectoriel qui y est défini a pour ambition de créer un nouvel environnement de traitement sécurisé paneuropéen et de mettre en place des règles communes pour faciliter les utilisations primaire et secondaire de données de santé électroniques. Droit à l’intégrité numérique : une réponse dans l’air du temps ? La Confédération et quelques cantons envisagent d’intégrer au sein de leur Constitution un droit à l’intégrité numérique. Encore inconnu en Suisse, ce concept reste largement indéterminé. Il est cependant dans l’air du temps. Mais s’agit-il d’une bonne réponse ? Automatisation et systèmes de gestion des risques au sein des administrations fiscales cantonales Les procédures fiscales sont progressivement automatisées. L’application de systèmes de gestion des risques basés sur des algorithmes engendrera, en Suisse, des défis du point de vue constitutionnel et en matière du droit de la protection des données. Zulässigkeit der Speicherung von Daten aus öffentlichen Registern durch eine Kreditauskunftei unter der DSGVO Die Speicherung von Daten aus öffentlichen Registern durch eine Kreditauskunftei wie die SCHUFA ist nicht rechtmässig, sobald die fraglichen Daten nach Ablauf der gesetzlichen Speicherfrist aus den öffentlichen Registern gelöscht worden sind. Während der gesetzlichen Speicherfrist kann die parallele Speicherung durch eine Wirtschaftsauskunftei rechtmässig sein … Collecte et conservation des données restreintes dans le cadre de la prévention contre les abus de marché Dans une affaire de délits d’initiés, l’Autorité française des marchés financiers a obtenu des données personnelles sur la base de règles nationales imposant aux opérateurs de services de communications électroniques, une obligation de conservation généralisée et indifférenciée de données d’une durée d’une année. La CJUE se prononce sur la compatibilité de ces règles. Identificare i fondamenti giuridici del trattamento nel RGPD : una vera sfida ! Il caso delle fondazioni umanitarie In un contesto internazionale sempre più complesso, le fondazioni umanitarie trattano molti dati, compresi dati sensibili. Dal punto di vista del GDPR, esse devono basare il loro trattamento sugli articoli 6 e 9 del GDPR. Questo articolo analizza il rapporto tra queste due disposizioni in relazione a un caso reale di una fondazione con sede nel Liechstenstein e presenta … Lusha : l’extension de navigateur facilitant l’extension d’un business La formation restreinte de la Commission nationale de l’informatique et des libertés a rendu une décision de non-lieu s’agissant de l’extension de navigateur appartenant à la société Lusha Systems Inc pour non-applicabilité du RGPD. Elle a néanmoins développé des aspects intéressants relatifs à la responsabilité de traitement. Le DPO et ses multiples casquettes face aux conflits d’intérêts Un DPO ne peut pas se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens d’un traitement de données personnelles. Un conflit d’intérêts ne peut être déterminé qu’au cas par cas sur la base d’une appréciation de l’ensemble des circonstances pertinentes. La communication de données à des partis politiques par le Contrôle des habitants des communes vaudoises Les élections fédérales de 2023 ont lieu le 22 octobre 2023. Afin de favoriser le débat démocratique, les citoyens et citoyennes du canton de Vaud pourraient recevoir des partis politiques de la publicité politique au sein de leur boîte aux lettres. Une pratique peu connue, mais licite, reposant sur une communication du Contrôle des habitants aux partis politiques vaudois. Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées : comment mettre en œuvre cette obligation ? La CJUE a tranché que le droit d’accès permet à la personne concernée de demander au responsable du traitement qu’il lui indique l’identité des destinataires auxquelles des données sont communiquées. Les auteurs proposent plusieurs pistes de réflexion destinées dans la mise en œuvre de cette nouvelle obligation que la jurisprudence a tiré du RGPD. Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées : une analyse sous l’angle du droit suisse La CJUE est d’avis que le droit d’accès permet de solliciter du responsable du traitement qu’il lui indique l’identité des destinataires auxquelles des données sont ou ont été communiquées. Après une interprétation s’inspirant d’un pluralisme pragmatique, les auteurs sont d’avis qu’une solution identique devrait en principe prévaloir à l’aune de la nLPD. Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées Lorsque des données personnelles sont communiquées à des destinataires, le responsable du traitement doit fournir à la personne concernée, sur sa demande, l’identité des destinataires. Ce n’est que lorsqu’il n’est pas (encore) possible d’identifier ces destinataires que celui-ci peut se limiter à indiquer uniquement les catégories de destinataires. Cookies walls : Le consentement jugé invalide si l’alternative payante offre plus de contenu L’Agence danoise de protection des données estime que le consentement n’est pas libre si l’alternative payante offre plus de contenu à l’internaute. Elle considère également que les cookies à des fins statistiques doivent bénéficier d’un consentement séparé. Recension : 20 ans de transparence à Genève Joséphine Boillat/Stéphane Werly (édit.), 20 ans de transparence à Genève, Collection sui generis, Zurich 2023. Disponible en open access. L’utilisation de ChatGPT temporairement restreinte en Italie : une décision motivée par la pizza hawaïenne ou les pâtes au ketchup ? Le Président de l’autorité italienne de protection des données, le Garante per la protezione dei dati personali, a pris une décision le 30 mars 2023 qui limite temporairement le traitement de données personnelles par le service « ChatGPT » d’OpenAI. Les procès-verbaux des séances des Municipalités vaudoises sont-ils publics ? L’art. 64 al. 2 de la Loi vaudoise sur les communes institue le secret des débats des Municipalités et interdit la communication des procès-verbaux de ses séances à des tiers. Cette exception ne concerne néanmoins que les comptes rendus des séances des Municipalités, soit la transcription des débats, sans porter sur les décisions des Municipalités contenues dans les procès-verbaux, lesquelles restent soumises à la Loi vaudoise sur l’information. Contenu de l’information sur le licenciement d’un employé à l’interne Un employeur peut informer son personnel de la rupture du contrat d’un employé, mais ne devrait pas mentionner quelle partie a résilié le contrat ou le caractère immédiat du licenciement. L’administration publique responsable dans l’utilisation de services en nuage Le Comité européen de la protection des données émet des points d’attention pour responsabiliser les administrations publiques et leur permettre d’assurer la protection des données lorsqu’elles recourent à des services en nuage. Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ? Une déléguée à la protection des données recourt contre son licenciement au motif que la résiliation est contraire au droit allemand de la protection des données. L’affaire monte à la Cour de justice de l’Union européenne qui doit déterminer si sa législation interne d’un État membre peut prévoir des conditions plus strictes sur le licenciement du délégué que ce qui est prévu par le RGPD. La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist ! Le Conseil de l’Hôpital de la région d’Uppsala se voit imposer une amende administrative de SEK 1’600’000 par l’autorité suédoise de protection des données pour violation des exigences de la sécurité des données. En cause, la transmission par courriel de données médicales à des destinataires situés dans des pays tiers, ainsi que le stockage de données sensibles sur l’application de messagerie électronique Microsoft Outlook. Collecte et conservation des données relatives aux pratiques sexuelles d’un donneur de sang potentiel en violation de la CEDH Les données reflétant l’orientation sexuelle, collectées et conservées dans un but de sécurité transfusionnelle doivent êtres exactes, mises à jour, adéquates, pertinentes et non excessives par rapport aux finalités du traitement. Leur durée de conservation ne doit pas excéder celle qui est nécessaire. Pas de qualité pour recourir d’un canton dans un litige lié au principe de transparence Le Tribunal fédéral estime que le Conseil d’État de Schaffhouse ne disposait pas de la qualité pour recourir contre une décision permettant la consultation de ses dossiers. Ce dernier ne remplit pas les critères établis par la jurisprudence permettant aux collectivités publiques de recourir sur la base de l’art. 89 LTF. Protection des données et archivage : la fin de la quadrature du cercle ? Tandis que la législation sur la protection des données exige la suppression des données personnelles qui ne sont plus nécessaires au regard des finalités du traitement, celle sur l’archivage demande, au contraire, qu’elles soient conservées en faveur des générations futures. Comment concilier dès lors ces deux principes ? Relations contractuelles et notion de responsabilité du traitement Le Tribunal administratif fédéral d’Autriche estime à raison que les relations contractuelles ne sont pas décisives pour établir la notion de responsabilité du traitement. Le devoir de formation et de surveillance de l’employeur sous l’angle de la nLPD De façon générale, tout employeur traite de nombreuses données personnelles dans le cadre de ses activités opérationnelles. Avec l’entrée en vigueur le 1er septembre 2023 de la nouvelle Loi fédérale sur la protection des données, les obligations de l’employeur en la matière vont s’accroître. Il incombera notamment aux employeurs d’assurer la formation des employés sur ces aspects. Recension : Données personnelles ou données anonymes – où tracer les limites (et pourquoi) ? Alexandre Jotterand, Jusletter 15 août 2022. Disponible à cette adresse. CAPTCHA : une mesure de sécurité suffisante ? L’utilisation d’un CAPTCHA et de restrictions de transmission ainsi que l’engagement d’une équipe de professionnels par un réseau social ne sont pas des mesures appropriées pour éviter le web scraping automatisé. Déréférencement d’un contenu inexact et charge de la preuve La personne qui fait une demande de déréférencement doit établir l’inexactitude manifeste des informations. S’il y parvient, le moteur de recherche doit supprimer le contenu de la recherche. La mise en balance à effectuer lors de la réception d’une telle demande diffère toutefois lorsqu’il est question de supprimer un résultat d’une recherche d’image. Recension : Recherche biomédicale et Open Data Frédéric Erard/Mathilde Heusghem/Clément Parisato, Recherche biomédicale et Open Data, Jusletter 30 janvier 2023. Disponible en open access. Garantie contractuelle de confidentialité et principe de transparence L’autorité doit adopter une pratique restrictive quand elle garantit la confidentialité d’un document officiel. Elle risque sinon de vider de son sens le principe de la transparence. Le principe de transparence primeet une clause de confidentialité ne saurait y déroger. Transmissions de données sensibles entre assureurs LAMal et LCA d’un même groupe Nonobstant l’organisation commune de deux assureurs appartenant à un même groupe, un assureur-maladie social fournissant des prestations au sens de la LAMal ne peut se voir imputer la connaissance de données sensibles relatives à l’un.e de ses assuré.e.s, recueillies par un assureur complémentaire privé soumis à la LCA, à moins que l’assuré.e … Consécration du principe de la gratuité de la transparence L’Assemblée fédérale a finalisé la révision législative consacrant la gratuité de la transparence en déléguant au Conseil fédéral la compétence de prévoir le montant pouvant exceptionnellement être prélevé lors d’une demande de transparence. La novelle entrera en vigueur prochainement. Un licenciement fondé sur les données GPS conforme à la CEDH ? L’art. 8 CEDH est respecté lorsque l’employeur se fonde sur les données d’un GPS pour licencier un employé qui indiquait de faux kilométrages parcourus avec sa voiture de fonction, alors qu’il savait que sa voiture contenait un GPS. Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ? Les sujets traités lors d’une séance d’un exécutif communal vaudois sont des « informations » (art. 8 al. 1 LInfo) publiques. La sollicitation de ces celles-ci pour un mois déterminé est suffisamment précise pour permettre l’identification des documents concernés qui, au besoin, doivent être adaptés. Il peut s’agir des ordres du jour des séances de l’exécutif qui, en principe, ne sont pas des documents internes (art. 9 al. 2 LInfo) ou d’une liste ad hoc. Cyberattaques : vers une nouvelle obligation d’annonce Le 2 décembre 2022, le Conseil fédéral a proposé au Parlement d’introduire une obligation de signaler les cyberattaques dans les 24 heures au Centre national suisse pour la cybersécurité. Les transferts transatlantiques de données personnelles : quo vadis ? Le Président des États-Unis d’Amérique Joe Biden a signé le 7 octobre 2022 un décret présidentiel visant à répondre aux préoccupations soulevées par la Cour de justice de l’Union européenne en matière de transferts transatlantiques de données personnelles. Ce décret présidentiel pose les jalons nécessaires à l’établissement par la Commission européenne d’une décision d’adéquation en faveur des États-Unis d’Amérique. Un projet en ce sens vient d’ailleurs d’être publié par la Commission européenne. Le transfert de données à l’étranger : état des lieux en Suisse Dans le courant de l’été 2021, le PFPDT a publié deux importantes notices relatives au transfert de données dans un pays ne présentant pas le niveau de protection des données requis. Ces publications du PFPDT s’inscrivent en marge de sa décision de reconnaître en Suisse (sous réserve de quelques modifications et compléments) les nouvelles clauses contractuelles types adoptées par la Commission européenne du 4 juin 2021. Sécurité des produits et protection des données : les assurer et les associer, ça coule de source Le Contrôleur européen de la protection des données salue la proposition de loi sur la cyber-résilience. Il estime cependant que la protection des données personnelles devrait être mieux intégrée. Documents officiels et données personnelles : la nécessité d’effectuer une double pesée des intérêts Quelle est la pesée des intérêts in concreto à laquelle doit procéder une autorité saisie d’une demande d’accès à un document officiel contenant des données personnelles ne pouvant être rendues anonymes ? C’est en substance l’un des points que le Tribunal fédéral a dû analyser dans un récent arrêt. Effacement du profil d’un employé après son départ Suivant la fin des rapports de travail, l’employeur doit effacer les coordonnées comme le nom, la fonction et la photographie de son ex-employé figurant sur son site Internet dans les meilleurs délais. L’exactitude et ses différents degrés Dans le but de lutter contre la criminalité organisée, le principe d’exactitude est relativisé. Des données personnelles sont qualifiées d’exactes déjà lorsque l’on est en présence de « soupçons fondés ». La CJUE limite la publicité du registre des bénéficiaires effectifs Un accès par le grand public au registre des bénéficiaires effectifs viole le droit à la protection de la vie privée et le droit à la protection des données personnelles. Retrait du consentement : Mesures à prendre Un abonné de services téléphoniques dont les données figurent dans un annuaire peut s’adresser à n’importe quel responsable du traitement pour retirer son consentement. Le responsable informé devra prendre les mesures nécessaires pour informer les autres responsables de la chaîne auxquels il aurait transmis les données personnelles sur la base de ce consentement. Digital Services Act : quel contrôle européen sur l’espace numérique ? La législation sur les services numériques (Digital Services Act) est en vigueur dans l’Union européenne depuis le 16 novembre 2022. Qu’implique-t-elle ? Rapport semestriel du Centre national pour la cybersécurité : cyberespace et conflits armés Le 3 novembre 2022, le Centre national pour la cybersécurité publie son rapport semestriel pour la période de janvier à juin 2022, dont le thème prioritaire porte sur la dimension cybernétique des conflits armés et les attaques perpétrées dans ce contexte. La transparence, exigence essentielle de la confiance environnementale Dans le canton du Valais, la qualité de l’eau (spécifiquement dans le Haut-Valais) fait l’objet d’une foultitude d’interrogations, suite notamment à une pollution massive au mercure, interrogations qui ont engendré des procédures diverses. L’arrêt du Tribunal fédéral concerne l’une de ces procédures. Un « simple mécontentement » n’est pas suffisant pour la réparation d’un dommage moral Faut-il fixer un seuil à partir duquel des dommages-intérêts peuvent être perçus selon l’art. 82 RGPD ? C’est la question préjudicielle à laquelle l’avocat général Campos Sánchez-Bordona répond en vue de l’arrêt du fond de la CJUE. Encore un géant (Meta) condamné pour traitement illicite de données personnelles d’enfants À la suite de la décision contraignante du Comité européen de la protection des données, l’Autorité irlandaise de protection des données condamne Meta Irlande à une amende administrative pour traitement illicite de données personnelles d’enfants. Destinataires ou catégories de destinataires ? La personne concernée par un traitement de données peut-elle contraindre le responsable du traitement à lui communiquer des informations précises sur l’identité des destinataires des données ? Information préalable aux tiers dont les données sont transmises dans une procédure d’assistance administrative ? Un tiers à une procédure d’assistance administrative en matière fiscale n’a pas le droit d’être informé avant la transmission de renseignements incluant ses données personnelles. L’art. 4 al. 3 LAAF prévoit expressément la communication de ces données au sens de l’art. 18a al. 4 let. a LPD et constitue donc une base légale spéciale déliant l’organe fédéral de son devoir d’informer. Intérêt légitime de l’avocat au traitement de données dans une procédure judiciaire Un cabinet d’avocats pouvait s’appuyer sur un intérêt légitime suffisant pour produire les données personnelles d’une personne concernée comme preuve dans une procédure judiciaire. Cet intérêt l’emportait sur l’intérêt de la personne concernée à garder ses données confidentielles. Un droit d’accès à l’identité du dénonciateur ? Si la personne dénoncée rend vraisemblable qu’elle a subi un dommage en raison d’une dénonciation, elle peut disposer d’un intérêt prépondérant à se voir communiquer le nom du dénonciateur, en particulier si ce dernier semble avoir agi dans le but de nuire aux intérêts de la personne dénoncée L’Oberlandesgericht de Karlsruhe confirme la licéité d’un contrat cloud passé entre un organe public et un fournisseur de service américain La Cour d’appel de Karlsruhe a jugé que le seul fait qu’un fournisseur de services cloud soit une filiale d’un groupe américain soumis aux lois américaines ne suffit pas pour conclure à une violation de la protection des données selon le droit européen. Vidéosurveillance, preuves illicites et délit de chauffard Un système de vidéosurveillance privé qui filme une large portion de la route viole la LPD. Les images en découlant constituent donc une preuve illicite recueillie par un particulier. Leur exploitabilité est toutefois admise dans une enquête ouverte pour délit de chauffard (art. 90 al. 3 LCR) dès lors qu’il s’agit d’une infraction grave au sens de l’art. 141 al. 2 CPP. Les sites internet utilisant un protocole « http » à bannir Le laboratoire d’analyses médicales qui fournit l’accès en ligne aux résultats de patients sur un site utilisant un protocole « http » et non « https » viole son obligation de sécurité. L’obligation de déréférencement comme atteinte légitime à la liberté d’expression ? L’obligation à charge d’un éditeur d’un journal en ligne de déréférencer un article porte atteinte à sa liberté d’expression. L’atteinte peut cependant se justifier à l’aune de trois critères. Pages : 1234Load More