Weblaw lance une nouvelle édition spéciale de la Jusletter consacrée à la thématique de la protection des données.
L’assureur qui veut s’opposer au paiement de la prestation d’assurance suite à une cyberattaque, en invoquant les sanctions américaines, doit prouver que la cyberattaque a servi les intérêts d’une entité visée par ces sanctions et qu’il risque ainsi concrètement d’être réprimandé par l’autorité américaine compétente. Le simple fait que le type de logiciel utilisé pour la cyberattaque en question soit habituellement déployé par un groupe de cyberpirates sous sanction (in casu Evil Corp) ne suffit pas pour refuser le paiement de la prestation d’assurance.
Le Centre national pour la cybersécurité (NCSC) publie son rapport semestriel couvrant la période de janvier à juin 2023. Il y traite principalement d’attaques relevant d’hacktivisme et parcourt les différentes annonces reçues et la situation relative aux cybermenaces.
Suite aux interdictions d’utilisation de TikTok à du personnel de l’UE, le nouvel Institut national suisse pour les tests de cybersécurité a publié les résultats de ses tests techniques sur l’application, recommandant de considérer son utilisation avec précaution.
Le PFPDT émet des recommandations pour que l’application de rencontre Once remédie à des violations relatives à la transparence, aux modalités de suppression de comptes utilisateurs, à la sécurité ainsi qu’à la sous-traitance à l’étranger.
Le 11 mai 2023, Le NCSC a publié son rapport semestriel pour la période de juillet à décembre 2022, dont le thème prioritaire porte sur la cybersécurité des PME.
Le Conseil fédéral et les cantons ont adopté la nouvelle cyberstratégie nationale le 5 avril 2023 pour protéger la Suisse contre les cybermenaces. La stratégie et sa mise en œuvre seront en vigueur jusqu’à leur examen dans cinq ans.
Le Comité européen de la protection des données émet des points d’attention pour responsabiliser les administrations publiques et leur permettre d’assurer la protection des données lorsqu’elles recourent à des services en nuage.
L’utilisation d’un CAPTCHA et de restrictions de transmission ainsi que l’engagement d’une équipe de professionnels par un réseau social ne sont pas des mesures appropriées pour éviter le web scraping automatisé.
Le Contrôleur européen de la protection des données salue la proposition de loi sur la cyber-résilience. Il estime cependant que la protection des données personnelles devrait être mieux intégrée.
La législation sur les services numériques (Digital Services Act) est en vigueur dans l’Union européenne depuis le 16 novembre 2022. Qu’implique-t-elle ?
Le 3 novembre 2022, le Centre national pour la cybersécurité publie son rapport semestriel pour la période de janvier à juin 2022, dont le thème prioritaire porte sur la dimension cybernétique des conflits armés et les attaques perpétrées dans ce contexte.
À la suite de la décision contraignante du Comité européen de la protection des données, l’Autorité irlandaise de protection des données condamne Meta Irlande à une amende administrative pour traitement illicite de données personnelles d’enfants.
Le laboratoire d’analyses médicales qui fournit l’accès en ligne aux résultats de patients sur un site utilisant un protocole « http » et non « https » viole son obligation de sécurité.
La sécurité publique s’oppose à la divulgation de rapport(s) de tests de sécurité sur les vulnérabilités d’une plateforme servant au traitement de demandes de permis de construire et de dossiers de construction (art. 16 al. 2 let. b LInfo).
LinkedIn doit continuer à accorder à une société d’analyse de données partenaire l’accès aux profils publics de ses utilisateurs.
Le 5 mai 2022, le NCSC a publié son troisième rapport semestriel (Rapport semestriel 2021/II « Sécurité de l’information. Situation en Suisse et sur le plan international »). Le thème prioritaire porte sur les attaques contre la chaîne d’approvisionnement des produits informatiques.
La police cantonale fribourgeoise est légitimée à contacter un individu dont le numéro de téléphone a été obtenu dans diverses dénonciations déposées par ce dernier en vue de convenir d’une date d’audition suite au dépôt d’une plainte contre lui dans une autre affaire.
L’autorité norvégienne de protection des données a condamné fin 2021 la société américaine Grindr, à la tête de la plus importante application de rencontres pour la communauté gay, bisexuelle, transsexuelle et queer, pour avoir traité et communiqué des données concernant la vie et l’orientation sexuelle à des tiers en violation des art. 6 par. 1 et art. 9 par. 1 RGPD.
Pour faire face à l’augmentation de cyberincidents ces dernières années, le Conseil fédéral a, à l’occasion de sa séance du 12 janvier 2022, ouvert une procédure de consultation relative à l’introduction d’une obligation de signaler les cyberattaques contre les infrastructures critiques. La consultation court jusqu’au 14 avril 2022.
Le 2 novembre 2021, le NCSC a publié son second rapport semestriel (Rapport semestriel 2021/1 intitulé « Sécurité de l’information. Situation en Suisse et sur le plan international »). Le thème prioritaire choisi concerne les vulnérabilités des systèmes informatiques.
Le 9 avril 2021, l’Autorité de protection des données néerlandaise (Autoriteit Persoonsgegevens, AP) a condamné TikTok Inc. à une amende de 750 000 euros pour ne pas avoir satisfait à son obligation d’information auprès de mineurs (art. 12 RGPD).
Dans une décision prononcée le 18 octobre 2021, l’Information Commissioner’s Office anglais (ICO) a sanctionné l’association HIV Scotland pour ne pas avoir pris les mesures de sécurité adéquates (32 par. 1 et 2 RGPD) et violé le principe de la sécurité des données (art. 5 par. 1 let. f RGPD).
Le 28 juillet 2021, le Comité européen de la protection des données a rendu une décision contraignante pour régler un litige opposant l’Autorité de protection des données irlandaise à d’autres autorités de contrôle européennes concernées par des violations du RGPD commises par WhatsApp Irlande. L’Autorité de protection des données irlandaise avait ouvert une enquête (own-voliation inquiry) en 2018 pour examiner si la société satisfaisait correctement à ses obligations d’information.