Fast and furious law enforcement access to digital evidence : The E‑Evidence-package and its implications for Switzerland The recently adopted E‑Evidence package will allow law enforcement authorities in EU member states to directly request data from a service provider in another EU member state. This article provides an overview of the new EU-wide rules and discusses potential implications for Switzerland. Décisions judiciaires cantonales et fédérales : Quelle durée de conservation ? Combien de temps les tribunaux conservent-ils les décisions judiciaires ? Cette contribution a pour but d’exposer sont les durées de conservation de décisions judiciaires prévues dans certains cantons suisses (VD, BE, FR, ZH, GE) et au niveau fédéral. Elle met en lumière des écarts importants sur la précision des bases légales et sur l’interprétation du principe de proportionnalité. Obligation de conservation généralisée et indifférenciée La CJUE a jugé que la législation bulgare était contraire au droit de l’UE, dans la mesure où elle prévoit une obligation pour les fournisseurs de services de communication de conserver de manière généralisée et indifférenciée les données relatives au trafic et des données de localisation, à des fins de lutte préventive contre la criminalité, pendant une durée de 6 mois et sans que la personne concernée ne dispose de droit d’information ou de recours à l’enconte de l’accès auxdites données par les autorités de poursuite pénales. Citius, Altius, Fortius : Des données dopées Quelles sont les implications au niveau de la protection des données d’une publication en ligne de la violation des règles anti-dopage par un athlète ? C’est en substance la question préjudicielle à laquelle l’avocate générale Tamara Ćapeta répond en vue de l’arrêt de fond de la CJUE. Les limites du secret d’affaires – Recommandations du PFPDT en matière de transparence Le PFPDT recommande l’accès complet au rapport d’expertise élaboré par la PostCom au sujet d’une entreprise de livraison, alors que cette dernière refusait les propositions de caviardage, soulevant notamment la protection du secret d’affaires. Rétrospective sur les attaques d’hacktivisme en Suisse Le Centre national pour la cybersécurité (NCSC) publie son rapport semestriel couvrant la période de janvier à juin 2023. Il y traite principalement d’attaques relevant d’hacktivisme et parcourt les différentes annonces reçues et la situation relative aux cybermenaces. Qualification juridique et force exécutoire d’un accord de médiation en matière de transparence La Chambre administrative de la Cour de justice du Canton de Genève retient que l’accord de médication en matière de transparence selon la LIPAD doit être qualifié de contrat de droit administratif et est de ce fait exécutoire. Recension : Première édition du Petit Commentaire de la Loi fédérale sur la protection des données Yaniv Benhamou/Bertil Cottier (édit.), Petit commentaire, Loi fédérale sur la protection des données, Helbing Lichtenhahn, 2023. La licéité du traitement : inapplicabilité des présomptions légales ? Dans le cadre d’une procédure de recouvrement, une mairie a communiqué, à tort, des données personnelles sur la base d’une présomption aisément clarifiable/réfragable, ce qui constitue un traitement illicite selon l’Autorité de protection des données d’Andalousie. Clearview AI c. ICO : le tribunal a‑t‑il étendu ou restreint le champ d’application du RGPD ? Dans un arrêt concernant la société Clearview AI, un tribunal britannique détaille les contours de l’application extraterritoriale du RGPD en cas de « suivi du comportement ». S’il arrive à la conclusion que le RGPD britannique ne s’applique pas à cette affaire, l’effet extraterritorial du RGPD en ressort néanmoins renforcé. La primauté du droit à la preuve face à la protection des données La Cour de cassation française déploie une méthodologie permettant de mettre en balance le droit à la protection des données de tiers et le droit à la preuve d’une employée considérant avoir subi une inégalité salariale. Les sanctions américaines et l’assurance cyberattaque L’assureur qui veut s’opposer au paiement de la prestation d’assurance suite à une cyberattaque, en invoquant les sanctions américaines, doit prouver que la cyberattaque a servi les intérêts d’une entité visée par ces sanctions et qu’il risque ainsi concrètement d’être réprimandé par l’autorité américaine compétente. Le simple fait que le type de logiciel utilisé pour la cyberattaque en question soit habituellement déployé par un groupe de cyberpirates sous sanction (in casu Evil Corp) ne suffit pas pour refuser le paiement de la prestation d’assurance. Protection des données et intelligence artificielle : une gouvernance indispensable Cette contribution s’efforce de tirer un parallèle entre les grands principes régissant la protection des données personnelles et les exigences prévues par la Proposition UE de Règlement sur l’IA, en particulier en ce qui a trait à la gouvernance devant entourer le développement et la mise en œuvre de tels systèmes. Big Data, un outil d’influence en période électorale Grâce à l’usage du Big Data et des algorithmes dans les campagnes électorales et de votation, il devient possible d’influencer le comportement des électeurs et le résultat d’un suffrage. Cela soulève la question du droit à l’autodétermination des individus mais aussi des peuples. Prélèvement de l’impôt ecclésiastique, prédication et baptême – protection des données Une corporation ecclésiastique a demandé l’accès aux données personnelles du registre du contrôle des habitants pour les communes du canton de Fribourg. Le Tribunal cantonal a analysé pour chaque donnée demandée, si son accès lui est nécessaire pour accomplir ses tâches de prélèvement de l’impôt ecclésiastique, de prédication et de baptême. 20 ans d’utilisation de la LIPAD par les journalistes Comment les journalistes utilisent la loi genevoise sur la transparence ? À l’occasion des 20 ans de la LIPAD, nous analysons la prise en main de cet outil d’enquête à Genève. Nous recensons aussi des conseils et bonnes pratiques dans l’utilisation de ces lois par les médias. L’accès aux données d’examen L’heure de la rentrée académique sonne comme le début d’une nouvelle aventure, mais elle équivaut également à l’heure des examens. Au sein de ce périple académique, trois questions cruciales émergent, dévoilant les enjeux juridiques entourant l’accès aux données des examens. Recension : Nouvelle édition spéciale de la Jusletter sur la protection des données Weblaw lance une nouvelle édition spéciale de la Jusletter consacrée à la thématique de la protection des données. Réutilisation de données personnelles – Les limitations de la directive vie privée et communications électroniques La Cour statue sur l’utilisation ultérieure de données collectées sur la base de l’art. 15 directive 2002/58/CE qui prévoit des exceptions au principe de confidentialité des communications. Cette utilisation avait donné lieu à la révocation des fonctions d’un procureur du parquet lituanien. Recension : Première édition du Commentaire romand de la Loi fédérale sur la protection des données Philippe Meier/Sylvain Métille (édit.), Commentaire romand. Loi fédérale sur la protection des données, Helbing Lichtenhan, Bâle 2023. TikTok : une analyse technique helvétique des risques de sécurité Suite aux interdictions d’utilisation de TikTok à du personnel de l’UE, le nouvel Institut national suisse pour les tests de cybersécurité a publié les résultats de ses tests techniques sur l’application, recommandant de considérer son utilisation avec précaution. Lignes directrices du Conseil de l’Europe pour concilier lutte contre le blanchiment de capitaux et protection des données Le Conseil de l’Europe a adopté des lignes directrices destinées à fournir une orientation sur la manière d’intégrer les règles de la Convention 108 modernisée dans le domaine de la lutte contre le blanchiment d’argent et le financement du terrorisme. Une nouvelle loi adaptée aux défis de l’ère numérique La suppléante du Préposé fédéral à la protection des données et à la transparence (PFPDT) revient sur l’entrée en vigueur de la nouvelle Loi fédérale sur la protection des données Recension : Onlinekommentar de la Loi fédérale sur la protection des données Thomas Steiner/Anne-Sophie Morand/Daniel Hürlimann (éd.), Onlinekommentar de la Loi fédérale sur la protection des données (OK-LPD). Recyclé en violation de sécurité L’autorité espagnole de protection des données estime que la Direction générale de la police commet une violation de la sécurité des données en recyclant des documents internes en blocs-notes accessibles au public. Rezension : Erstauflage des Orell Füssli Kommentars zum Schweizerischen Datenschutzgesetz Adrian Bieri / Julian Powell (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz, Zürich 2023. Caractère répétitif d’une demande de droit d’accès Toute personne peut demander au responsable du traitement si des données la concernant sont traitées. Mais à quel intervalle une demande de droit d’accès peut-elle être formulée sans être considérée comme excessive ? Une demande effectuée à un rythme trimestriel ne satisfait pas la condition de répétition excessive. Publicité ciblée : sous quelle forme le consentement est-il suffisant ? La CJUE estime que la publicité ciblée mise en place par Meta ne peut se fonder sur le consentement que lorsque celui-ci est spécifique au type de traitement concerné. Le Valais se met en conformité avec le droit supérieur en matière de protection des données Le Grand Conseil valaisan a adopté le texte relatif à la modification partielle de la Loi cantonale sur l’information du public, la protection des données et l’archivage. Ce nouveau texte doit permettre à l’État du Valais d’être en conformité avec la Convention 108+ et la Directive UE 2016/680 et devrait entrer en vigueur dans les prochains mois. Applications de rencontre : la vie intime l’est-elle réellement ? Le PFPDT émet des recommandations pour que l’application de rencontre Once remédie à des violations relatives à la transparence, aux modalités de suppression de comptes utilisateurs, à la sécurité ainsi qu’à la sous-traitance à l’étranger. Comment obtenir une certification au Data Privacy Framework ? Le Swiss-US Data Privacy Framework, qui est le pendant suisse du EU-US Data Privacy Framework, est effectif depuis le 17 juillet 2023. Nous analysons brièvement dans cette contribution quelles sont les conditions que doivent remplir les sociétés américaines pour être affiliées au Data Privacy Framework. Clarification on the qualification of a processing, a processor, a controller and the associated responsibility The preliminary ruling from May 4, 2023, is a welcome clarification of different articles of the GDPR, the European Court of Justice being given an opportunity to bring valuable information on the interpretation of the notions of processing, controller and processor, as well as the application of the mechanism of administrative fines provided by the art. 83. Recension : Protection des données en entreprise François Charlet, Protection des données en entreprise, Collection Guide Pratique/Helbing Lichtenhahn, Bâle 2023. Le EU‑U.S. Data Privacy Framework déploie (enfin!) ses effets Mettant fin à une attente de plus d’une année, la Commission européenne a décidé le 10 juillet 2023 que les États-Unis garantissent un niveau de protection adéquat pour les données personnelles transférées de l’UE vers les entreprises américaines qui adhèreront au EU‑U.S. Data Privacy Framework Adéquation UE – États-Unis : le retour ? Point de situation et analyse de la Résolution du Parlement européen Dans le cadre du projet d’adéquation transatlantique, le Parlement européen a rendu une résolution relevant les nombreux problèmes et risques liés au cadre juridique étatsuniens. Il invite la Commission à ne pas adopter la décision. Le Conseil d’Etat fribourgeois met un coup d’accélérateur en matière de protection des données Le Conseil d’Etat fribourgeois a adopté et transmis au Grand Conseil fribourgeois le projet de révision totale de la loi sur la protection des données. La future loi constitue un des étalons essentiels de la numérisation sur le plan cantonal et communal. Le PFPDT présente son 30e rapport d’activités 2022/2023 Le 27 juin 2023, le PFPDT a publié son 30e rapport d’activités pour la période 2022 à 2023. Celui-ci marque un tournant dès lors que le nouveau droit suisse de la protection des données entre en vigueur le 1er septembre 2023. Rapport semestriel du Centre national pour la cybersécurité : cybersécurité des PME Le 11 mai 2023, Le NCSC a publié son rapport semestriel pour la période de juillet à décembre 2022, dont le thème prioritaire porte sur la cybersécurité des PME. Législation européenne – application extraterritoriale et souveraineté suisse Depuis quelques années, de nombreuses juridictions tentent de réguler Internet et les services l’utilisant. Qu’il s’agisse de problématiques de concurrence, de poursuite pénale, de protection des consommateurs ou autres, les propositions ne manquent pas et trouvent un intérêt grandissant. L’UE se distingue particulièrement par ses législations qui, le plus souvent, étendent leur champ d’application au-delà de ses frontières et peuvent avoir des répercussions en Suisse. Des données personnelles pseudonymisées transférées à un tiers deviennent-elles anonymes ? La notion de données personnelles est aussi importante que ses contours sont débattus. Une récente décision du Tribunal de l’Union européenne (T‑557/20) apporte des éclaircissements importants sur cette notion et son application dans le cadre de transferts de données sous une forme pseudonymisée à un tiers qui ne dispose pas de la clé permettant de déchiffrer les données. Public Clouds Confédération, la saga continue Quatre, c’est le nombre d’arrêts rendus dans une même affaire à propos de l’utilisation par l’administration fédérale de services cloud proposés par des fournisseurs étrangers. Aucun de ces arrêts n’a toutefois encore tranché la question au fond. Il faudra pour cela attendre le prochain arrêt du Tribunal administratif fédéral. Faute présumée du responsable de traitement en cas de cyberattaque Les questions préjudicielles posées par la Cour suprême administrative bulgare à la CJUE visent à déterminer les conditions dans lesquelles une réparation du préjudice moral peut être obtenue par la personne concernée dont les données ont été publiées sur Internet suite à une cyberattaque. Écoles closes et clauses d’ouverture La CJUE estime que le traitement de données personnelles lors de cours à distance relève du champ d’application du RGPD. Elle juge également que l’utilisation d’une clause d’ouverture par un État membre doit respecter les conditions et limites du droit européen, ainsi qu’avoir un contenu propre et spécifique. Nouvelle cyberstratégie nationale : objectif de protection contre les cybermenaces Le Conseil fédéral et les cantons ont adopté la nouvelle cyberstratégie nationale le 5 avril 2023 pour protéger la Suisse contre les cybermenaces. La stratégie et sa mise en œuvre seront en vigueur jusqu’à leur examen dans cinq ans. La proposition de règlement EHDS : nouvel instrument de l’Union à fort potentiel La Proposition de règlement EHDS élaborée par la Commission européenne ouvre la voie à un nouveau cadre de gouvernance pour les données de santé. Le cadre juridique sectoriel qui y est défini a pour ambition de créer un nouvel environnement de traitement sécurisé paneuropéen et de mettre en place des règles communes pour faciliter les utilisations primaire et secondaire de données de santé électroniques. Droit à l’intégrité numérique : une réponse dans l’air du temps ? La Confédération et quelques cantons envisagent d’intégrer au sein de leur Constitution un droit à l’intégrité numérique. Encore inconnu en Suisse, ce concept reste largement indéterminé. Il est cependant dans l’air du temps. Mais s’agit-il d’une bonne réponse ? Automatisation et systèmes de gestion des risques au sein des administrations fiscales cantonales Les procédures fiscales sont progressivement automatisées. L’application de systèmes de gestion des risques basés sur des algorithmes engendrera, en Suisse, des défis du point de vue constitutionnel et en matière du droit de la protection des données. Zulässigkeit der Speicherung von Daten aus öffentlichen Registern durch eine Kreditauskunftei unter der DSGVO Die Speicherung von Daten aus öffentlichen Registern durch eine Kreditauskunftei wie die SCHUFA ist nicht rechtmässig, sobald die fraglichen Daten nach Ablauf der gesetzlichen Speicherfrist aus den öffentlichen Registern gelöscht worden sind. Während der gesetzlichen Speicherfrist kann die parallele Speicherung durch eine Wirtschaftsauskunftei rechtmässig sein … Collecte et conservation des données restreintes dans le cadre de la prévention contre les abus de marché Dans une affaire de délits d’initiés, l’Autorité française des marchés financiers a obtenu des données personnelles sur la base de règles nationales imposant aux opérateurs de services de communications électroniques, une obligation de conservation généralisée et indifférenciée de données d’une durée d’une année. La CJUE se prononce sur la compatibilité de ces règles. Identificare i fondamenti giuridici del trattamento nel RGPD : una vera sfida ! Il caso delle fondazioni umanitarie In un contesto internazionale sempre più complesso, le fondazioni umanitarie trattano molti dati, compresi dati sensibili. Dal punto di vista del GDPR, esse devono basare il loro trattamento sugli articoli 6 e 9 del GDPR. Questo articolo analizza il rapporto tra queste due disposizioni in relazione a un caso reale di una fondazione con sede nel Liechstenstein e presenta … Lusha : l’extension de navigateur facilitant l’extension d’un business La formation restreinte de la Commission nationale de l’informatique et des libertés a rendu une décision de non-lieu s’agissant de l’extension de navigateur appartenant à la société Lusha Systems Inc pour non-applicabilité du RGPD. Elle a néanmoins développé des aspects intéressants relatifs à la responsabilité de traitement. Le DPO et ses multiples casquettes face aux conflits d’intérêts Un DPO ne peut pas se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens d’un traitement de données personnelles. Un conflit d’intérêts ne peut être déterminé qu’au cas par cas sur la base d’une appréciation de l’ensemble des circonstances pertinentes. La communication de données à des partis politiques par le Contrôle des habitants des communes vaudoises Les élections fédérales de 2023 ont lieu le 22 octobre 2023. Afin de favoriser le débat démocratique, les citoyens et citoyennes du canton de Vaud pourraient recevoir des partis politiques de la publicité politique au sein de leur boîte aux lettres. Une pratique peu connue, mais licite, reposant sur une communication du Contrôle des habitants aux partis politiques vaudois. Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées : comment mettre en œuvre cette obligation ? La CJUE a tranché que le droit d’accès permet à la personne concernée de demander au responsable du traitement qu’il lui indique l’identité des destinataires auxquelles des données sont communiquées. Les auteurs proposent plusieurs pistes de réflexion destinées dans la mise en œuvre de cette nouvelle obligation que la jurisprudence a tiré du RGPD. Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées : une analyse sous l’angle du droit suisse La CJUE est d’avis que le droit d’accès permet de solliciter du responsable du traitement qu’il lui indique l’identité des destinataires auxquelles des données sont ou ont été communiquées. Après une interprétation s’inspirant d’un pluralisme pragmatique, les auteurs sont d’avis qu’une solution identique devrait en principe prévaloir à l’aune de la nLPD. Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées Lorsque des données personnelles sont communiquées à des destinataires, le responsable du traitement doit fournir à la personne concernée, sur sa demande, l’identité des destinataires. Ce n’est que lorsqu’il n’est pas (encore) possible d’identifier ces destinataires que celui-ci peut se limiter à indiquer uniquement les catégories de destinataires. Cookies walls : Le consentement jugé invalide si l’alternative payante offre plus de contenu L’Agence danoise de protection des données estime que le consentement n’est pas libre si l’alternative payante offre plus de contenu à l’internaute. Elle considère également que les cookies à des fins statistiques doivent bénéficier d’un consentement séparé. Recension : 20 ans de transparence à Genève Joséphine Boillat/Stéphane Werly (édit.), 20 ans de transparence à Genève, Collection sui generis, Zurich 2023. Disponible en open access. L’utilisation de ChatGPT temporairement restreinte en Italie : une décision motivée par la pizza hawaïenne ou les pâtes au ketchup ? Le Président de l’autorité italienne de protection des données, le Garante per la protezione dei dati personali, a pris une décision le 30 mars 2023 qui limite temporairement le traitement de données personnelles par le service « ChatGPT » d’OpenAI. Les procès-verbaux des séances des Municipalités vaudoises sont-ils publics ? L’art. 64 al. 2 de la Loi vaudoise sur les communes institue le secret des débats des Municipalités et interdit la communication des procès-verbaux de ses séances à des tiers. Cette exception ne concerne néanmoins que les comptes rendus des séances des Municipalités, soit la transcription des débats, sans porter sur les décisions des Municipalités contenues dans les procès-verbaux, lesquelles restent soumises à la Loi vaudoise sur l’information. Pages : 12345Load More