Accueil – swissprivacy.law

La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques

La Cour de Justice du canton de Genève a rendu un arrêt le 26 mars 2025 au sujet des dispositions pénales de la nouvelle LPD. Cet arrêt figure parmi les premiers du genre après l’entrée en vigueur de la nouvelle LPD en septembre 2023.

La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD

Une autorité est disposée à ordonner au responsable du traitement ou sous-traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite et ce, sans qu’une demande n’a été présentée à cet effet par la personne concernée.

2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse

Le Conseil fédéral a récemment ouvert une seconde consultation relative à la révision partielle des ordonnances liées à la Loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Sous couvert de clarifier les définitions des fournisseurs et de leurs obligations, le projet cherche à largement étendre les obligations de rétention de données aux fournisseurs de service de communication dérivés en Suisse.

Recension : Protection des données, « litera B »

Recension de Sandra Husi-Stämpfli, Anne-Sophie Morand, Ursula Sury, Livio di Tria, David Dias Matos, Protection des données, « litera B », Genève/Zürich 2024, Schulthess Éditions Romandes.

La nouvelle obligation d’annonce des cyberattaques

L’obligation d’annonce des cyberattaques, introduite par les articles 74a et seq. de la Loi sur la sécurité de l’information (LSI) et précisée par la nouvelle ordonnance sur la cybersécurité (OCyS), entrera en vigueur le 1 avril 2025.

La Suisse signe la Convention du Conseil de l’Europe sur l’intelligence artificielle

Le Conseiller fédéral Albert Rösti signera aujourd’hui à Strasbourg la Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle. Par cet acte, la Suisse rejoint les États signataires d’un premier instrument juridiquement contraignant au niveau international visant à encadrer le développement et l’utilisation de l’IA dans le respect des droits fondamentaux

La Commission européenne définit ce qu’elle entend par système d’IA

La Commission européenne a publié en février 2025 ses lignes directrices sur la définition des systèmes d’IA. Celle-ci s’articule autour de sept caractéristiques plus ou moins précises visant à distinguer les systèmes d’IA des logiciels traditionnels.

Algorithmes et décisions automatisées : un secret possible, mais une explication obligatoire

La société de credit scoring doit expliquer à la personne concernée la procédure et les principes concrètement appliqués pour établir son profil de solvabilité. En outre, le secret d’affaires de la société ne s’oppose pas à la communication des informations à l’autorité ou au tribunal.

TikTok : La souveraineté des données à l’agenda américain

Dans l’arrêt TikTok v. Garland, la Cour Suprême des Etats-Unis conclut à l’unanimité que l’interdiction par le Congrès du réseau social TikTok ne cherchait pas à restreindre un type de contenu en particulier, mais répondait à la nécessité de légiférer sur les risques liés à un accès aux données personnelles des Américains par le Gouvernement chinois.

Transfers of personal data upon foreign authorities’ requests – the EDPB’s guidelines

The EDPB has published guidelines on art. 48 GDPR often used in the context of transfers of personal data to foreign authorities. The guidelines aim at clarifying the conditions for such a transfer to be lawful.

4,75 millions d’euros d’amende pour Netflix, entre transparence et simplicité il faut choisir

Selon l’Autorité néerlandaise de protection des données, entre 2018 et 2020, Netflix n’a pas fourni à ses utilisateurs suffisamment d’informations sur le traitement de leurs données personnelles.

Le PFPDT guide les responsables du traitement quant à leur devoir d’informer des violations de la sécurité des données

Une violation de la sécurité des données peut imposer au responsable du traitement d’en informer tant le PFPDT que les personnes concernées. Le guide du PFPDT précise la vision de l’autorité quant à l’application de ce devoir d’informer.

Le Conseil fédéral révèle sa feuille de route pour l’intelligence artificielle en Suisse

Le Conseil fédéral a révélé le 12 février 2025 sa feuille de route pour l’intelligence artificielle en Suisse. Fidèle à son approche pragmatique, il mise sur une régulation sectorielle et différenciée, évitant ainsi toute inflation législative qui pourrait freiner l’innovation. L’objectif est clair : préserver l’attractivité économique du pays tout en assurant un encadrement proportionné des risques liés à l’IA.

L’intérêt légitime au sens de l’art. 6 par. 1 let. f RGPD : un examen en trois étapes

Pour fonder un traitement de données personnelles sur un intérêt légitime (art. 6 par. 1 let. f RGPD), le responsable du traitement doit vérifier que le traitement soit nécessaire pour réaliser cet intérêt – qui peut tout à fait être un intérêt commercial –, puis pondérer les intérêts en présence.

Recension : Générateur de visages crée par l’intelligence artificielle

David Knabe, Générateur de visages crée par l’intelligence artificielle : analyse en droit suisse de la protection des données personnelles et en droit civil. Disponible en open access.

Normes lucernoises de surveillance policière : surveiller c’est risqué !

Le Tribunal fédéral admet partiellement un recours contre l’introduction de mesures de surveillance prévues par la révision de la loi sur la police lucernoise du 27 janvier 1988. Il abroge deux dispositions : l’une autorisant la recherche automatique de véhicules, et l’autre organisant l’intégration du canton de Lucerne dans un réseau de systèmes d’information de police reliant la Confédération et les cantons.

Dark patterns à l’œuvre ?

L’Oberlandsgericht de Cologne se prononce sur la question de l’utilisation de bannières de cookies recueillant le consentement des utilisateurs pour des cookies non essentiels sans option de refus dès la première couche de la bannière.

Swiss-US Data Privacy Framework : un premier pas vers une approche plus pragmatique ?

L’entrée en force du Swiss‑U.S. DPF a offert un cadre juridique plus solide aux entreprises et organismes publics suisses utilisant des services cloud américains. Les auteurs de cette contribution argumentent qu’au-delà des cas de transferts « directs » de données personnelles à des entreprises américaines certifiées (soit le scénario expressément visé par le Swiss‑U.S. DPF), la reconnaissance de ce mécanisme a une portée plus large et assure une sécurité juridique dans d’autres situations.

Transparence et caviardage — un exercice délicat

Le Tribunal fédéral est d’avis que la transmission d’un procès-verbal du Comité de la Caisse de pension de l’État de Genève contenant les noms des membres de ce dernier n’est pas nécessairement constitutive d’une atteinte à la sphère privée.

La technologie au service des escroqueries par téléphone

Le 7 novembre 2024, l’OFCS a publié dans un rapport son analyse des escroqueries par téléphone signalées ces derniers mois dans le domaine cyber.

31e Rapport d’activités du PFPDT – Un survol (Partie 2 : Transparence)

La seconde partie du rapport 2023/2024 du PFPDT revient sur les activités de transparence, en revenant sur des statistiques de demandes d’accès, les médiations effectuées, les interventions sur le plan du processus législatif et les dispositions spéciales ayant eu un impact sur l’application de la LTrans.

Adresse e‑mail professionnelle et licenciement : ne pas traîner pour couper le cordon

Garder active une adresse e‑mail professionnelle d’un employé après son départ expose l’entreprise à des sanctions. C’est ce qu’estime la Chambre Contentieuse de l’APD belge qui s’est prononcée sur le cas d’un employé dont le traitement de l’adresse électronique a perduré cinq mois après son départ. Une décision qui donne également des pistes pratiques sur la gestion des données au sein des ressources humaines.

La nouvelle LIPAD — Comment se préparer à sa mise en œuvre ?

Le Grand Conseil genevois a adopté le 3 mai 2024 la révision de la LIPAD. Elle a pour but d’aligner la législation genevoise sur les évolutions technologiques et les standards en matière de protection des données apportés par, entre autres, le RGPD et la nouvelle LPD. De ce fait, la systématique de la LIPAD se rapproche de plus en plus du droit fédéral, tout en gardant quelques particularités propres qui sont détaillées dans la présente contribution.

La nouvelle LIPAD – Tour d’horizon des nouveautés

Commerçants en ligne, prudence ?

Les commerçants en ligne doivent faire preuve de prudence à double titre. D’une part, leurs traitements de données personnelles peuvent être dénoncés par leurs concurrents. D’autre part, la CJUE interprète largement la notion de données sensibles (art. 9 par. 1 RGPD).

Géolocalisation des taxis : approbation de normes cantonales par le Tribunal fédéral

Le Tribunal fédéral confirme sa jurisprudence et valide les mesures de géolocalisation des taxis et VTC à Genève lors d’un contrôle abstrait de la loi et du règlement sur les taxis et voitures de transport avec chauffeur (LTVTC/GE et RTVTC/GE). Il estime que ces mesures respectent les exigences légales et constitutionnelles, tout en garantissant une protection suffisante de la sphère privée des professionnels concernés.

L’anonymisation, une fausse bonne idée ?

La CNIL observe et retient le caractère non anonyme des données de santé traitées par une société spécialisée dans l’édition et la vente de logiciels de gestion à destination de professionnels de la santé. Il en résulte des manquements à l’obligation d’effectuer les formalités préalables dans le domaine de la santé, à savoir de formuler une demande d’autorisation auprès de la CNIL ou lui adresser une déclaration de conformité à l’un de ses référentiels, ainsi qu’à l’obligation de traiter les données de manière licite, lesquels sont lourdement sanctionnés.

Contours des notions de « responsables de traitement conjoints » et de « sous-traitant »

La demande de décision préjudicielle porte sur l’interprétation des notions de « responsables conjoints » et de « sous-traitant » (art. 4 points 2 et 7 et art. 26 par. 1 RGPD) ainsi que des conditions pour admettre l’imposition d’une amende administrative aux « responsables de traitement » (art. 83 par. 1 RGPD).

Extraterritorial Scope of EU Digital Strategy

The new regulations of the EU digital strategy, above all the AI Act, Digital Services Act, Data Act and Digital Markets Act, may also impact companies outside the EEA. Swiss companies, in particular, need to prepare for compliance. The flowcharts attached to this article will help guide you through the process.

Économiser sur le DPO a un prix

Le DPO, même désigné pour un groupe d’entreprises, doit être associé précocement aux questions relatives à la protection des données personnelles et doit disposer des ressources nécessaires à l’exercice de ses fonctions.

Recension : Consentement aux traitements de données en cabinet médical

Frédéric Erard/Livio di Tria, Consentement aux traitements de données en cabinet médical. Ni libre, ni éclairé, ni nécessaire ? Jusletter 23 septembre 2024. Disponible à cette adresse.

Swissprivacy x Jusletter

L’équipe de Swissprivacy a le plaisir d’annoncer son partenariat avec la Jusletter pour son édition spéciale « Protection des données ».

Usage de l’intelligence artificielle dans un call center

L’Autorité de protection des données danoise s’est penchée sur le cas de l’utilisation d’un logiciel d’IA pour enregistrer et retranscrire les conversations téléphoniques d’une assurance avec ses assurés. Si l’usage d’un tel logiciel est autorisé, un soin particulier doit être accordé à la récolte du consentement de la personne concernée.

Dark patterns : wait & see

Le Conseil fédéral a présenté son rapport « Dark patterns. Documenter la nébuleuse ». La présente contribution a vocation à en restituer les grandes lignes sous l’angle de la LPD et offre un survol de la pratique relative aux dark patterns dans le cadre des bannières cookies au sein de l’Union européenne, ainsi qu’un aperçu de la situation outre-Atlantique.

L’accès aux données personnelles, et c’est tout ?

La personne concernée n’a pas le droit d’accéder à la copie des documents dans lesquels ses données personnelles sont contenues, la transmission d’un tableau récapitulatif étant en principe suffisante. Dans des circonstances exceptionnelles, un accès aux documents peut néanmoins être octroyé.

31e Rapport d’activités du PFPDT – Un survol (Partie 1 : Protection des données)

Le 31e rapport annuel du PFPDT permet de plonger dans les activités de cette autorité, de passer en revue les différentes décisions importantes rendues ainsi que les travaux effectués.

Data Privacy Framework

À l’occasion d’un communiqué de presse publié le 14 août 2024, le Conseil fédéral a approuvé le Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF) et arrêté son en vigueur au 15 septembre 2024. Selon cette décision, les entreprises américaines participant au Swiss‑U.S. DPF garantissent un niveau adéquat de protection des données en vertu de la LPD, de sorte que les données personnelles peuvent être transférées aux entreprises américaines participantes sans avoir à conclure de clauses contractuelles types adoptées par la Commission Européenne (SCC) et sans qu’il soit nécessaire de procéder à une analyse d’impact du transfert de données.

Cher réseau, …

La Cour de justice du canton de Genève a ordonné à une ex-employée de modifier les informations relatives à un ancien poste figurant sur son profil LinkedIn.

Quand des buzzwords conduisent à une fraude à l’investissement

L’action intentée par la SEC contre Ilit Raz de Joonko Diversity Inc. démontre que l’utilisation trompeuse de buzzwords comme « intelligence artificielle » pour lever des fonds peut entraîner des poursuites.

Obtenir l’effacement de données d’une plateforme d’évaluation, plus difficile qu’il n’y paraît

Le droit général à l’effacement des données d’une personne morale, de même que la suppression de certains commentaires négatifs sur une plateforme d’évaluation, supposent la prise en compte de l’ensemble des intérêts en présence, en particulier l’intérêt des consommateurs à l’information.

Mauvaise utilisation du pixel Meta : fuite de données bancaires et lourde amende pour une banque

Pixel Meta : l’autorité suédoise de protection des données (IMY) sanctionne une banque pour une fuite de données bancaires causée par la mauvaise configuration du pixel Metal sur son site web et application d’e‑banking.

La protection des données au secours de l’ayant droit économique

Le RGPD protège aussi les données bancaires de personnes morales lorsque l’ayant droit économique s’oppose au transfert des données au Department of Justice.

Les données de géolocalisation des agents de police genevoise : pas de conservation au-delà de 24 heures

Un logiciel qui permet de conserver les données de géolocalisations de policiers en service pendant 100 jours n’est pas conforme aux exigences de restrictions des droits fondamentaux (art. 36 Cst).

Les résultats et les suites de l’enquête administrative dans l’affaire Xplain

L’affaire Xplain a mis en évidence toutes les difficultés liées à la gestion d’un projet informatique complexe mené entre différents acteurs publics et privés. Plusieurs leçons ont pu être tirées pouvant certainement s’appliquer à d’autres situations comparables, quels que soient les acteurs concernés. Tour d’horizon des erreurs commises et des mesures ayant été prises

WHO Guidelines on AI in Health : Impacts on privacy and regulatory considerations

The WHO released various guidelines and recommendations regarding the use of artificial intelligence for health. Among the covered topics, data protection is regularly addressed. These aspects will be developed in this contribution.

Un communiqué de presse pas si anonyme que ça….

L’entité qui publie un communiqué de presse sur une personne non nommée divulgue néanmoins des données personnelles si cette personne peut être identifiée par des informations supplémentaires, à condition que cet appariement de données constitue un « moyen susceptible d’être raisonnablement mis en œuvre ».

Vente aux enchères de données personnelles à des fins publicitaires et respect du RGPD

La CJUE retient qu’une chaîne composée d’une combinaison de lettres et de caractères qui capte les préférences des utilisateurs est une donnée personnelle au sens du RGPD.

La nouvelle identité électronique étatique suisse

Après avoir été rejetée aux urnes le 7 mars 2021, la réglementation sur l’identité électronique renaît de ses cendres avec une nouvelle approche qui donne le rôle principal à l’État comme exploitant d’une infrastructure de confiance et comme émetteur de l’e‑ID. La nouvelle infrastructure permet également aux acteurs publics et privé d’émettre d’autres justificatifs électroniques. Le nouveau projet de loi est actuellement entre les mains du Parlement fédéral.

Le secteur du cloud computing au prisme du droit de la concurrence

Le secteur du cloud computing soulève des préoccupations en matière de droit de la concurrence. En 2023, deux études menées par les autorités françaises et anglaises ont mis en évidence certaines pratiques jugées problématiques des fournisseurs de services cloud.

Pas de transparence sur la solidarité fiscale entre époux

Le Tribunal fédéral valide le rejet de deux demandes d’informations qui occasionnent une charge de travail manifestement disproportionnée. En particulier, il est reproché aux demanderesses d’avoir allégué, sans l’avoir étayé, qu’un logiciel permet d’identifier les documents pertinents.

Enquête contre Digitec Galaxus : les recommandations du Préposé sont justifiables, mais sont-elles justes ?

Le Préposé estime que l’obligation d’ouvrir un compte client pour procéder à un achat viole le principe de proportionnalité et recommande à Digitec Galaxus plusieurs modifications de sa déclaration de protection des données. La présente contribution analyse les différentes recommandations du Préposé d’un œil critique et tire des enseignements à la lumière de la nouvelle loi sur la protection des données.

Conflits familiaux, family office et LPD : une requête en droit d’accès jugée abusive

Le droit d’accès au sens de la LPD est exercé de manière abusive lorsqu’une personne l’invoque à l’encontre d’un family office pour obtenir des informations concernant un trust et la situation financière de son père

Je veux y accéder, ça me concerne !

Le Tribunal fédéral a rendu le 6 octobre 2023 une décision (ATF 8C_723/2022) confirmant sa jurisprudence du 19 septembre 2014 (ATF 140 V 464) relative à la finalité du droit d’accès consacré par la LPD. Cette décision nous permet de revenir sur les points d’attention à avoir dans le cadre de la réponse à une demande d’accès ainsi que de comparer ce qui est fait chez nos voisins dans l’UE.

Regards croisés sur la Loi 25 : un pas vers la conformité européenne pour le Québec ?

L’adoption de la Loi 25 représente un pas significatif vers la conformité européenne en matière de protection des données. Quelles sont les modifications clés introduites par cette réforme ? Le Québec pourrait-il se voir reconnaître une décision d’adéquation de la Commission européenne vis-à-vis du droit européen ?

Les systèmes de protection de données au Canada et en Suisse

Les approches en matière de protection des données personnelles diffèrent d’un pays à l’autre. Cette étude comparative se penchera sur les subtilités de ces approches, cherchant à répondre à la question centrale suivante : les cadres législatifs canadiens et suisses présentent-ils davantage de similitudes ou de différences ?

Le registre des activités de traitement, un outil de pilotage essentiel

Pour beaucoup, le registre des activités de traitement n’est autre qu’un inventaire à la Prévert long et fastidieux, que l’on dépoussière de temps à autre, au cas où il viendrait à l’idée d’un régulateur ou d’une autorité de contrôle de venir fouiner. Et pourtant, le registre des activités de traitement constitue une mine d’or s’il est bâti et maintenu correctement et peut même s’avérer être un outil de pilotage précieux, non seulement pour le DPO, mais pour l’organisation tout entière. Lumière donc sur ce dispositif mal aimé de la protection des données.

Quel dédommagement pour la photographie d’un rapport médical ?

La CJUE se prononce sur la réparation du dommage moral résultant du traitement de données personnelles concernant la santé et met en évidence la présomption de faute de l’art. 82 RGPD.

L’accès aux pratiques en matière d’asile : pas de secret

Les pratiques en matière d’asile du Secrétariat d’État aux migrations relèvent de la notion de « document officiel » dont l’accès ne peut être légitimement restreint sur la base de simples affirmations suggérant que les exceptions prévues à l’art. 7 LTrans entrent en jeu.

« AI Washing » comme un sentiment de déjà-vu

La SEC engage les premières poursuites pour « AI washing » contre deux sociétés américaines. Cette affaire nous informe notamment sur les attentes de la SEC en matière de communications promotionnelles en lien avec l’intelligence artificielle. Cette problématique, bien que se déroulant aux États-Unis, peut se présenter en Suisse. Dès lors, il est intéressant d’explorer différentes pistes de réflexion pour lutter contre le « AI washing » en Suisse.

Enregistrement de numéros de téléphone : usage et finalités

L’enregistrement des numéros de téléphones pour une utilisation secondaire à des fins politiques – et ceci sans le consentement des personnes concernées – viole le principe de légitimité du traitement.

Pages : 123456