Décision
Jurisprudence
Doctrine
Réglementation
À propos
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
S'abonner
-->
Browsing Category
Décision
74 articles
[description d ela catégorie décisions]
L’anonymisation, une fausse bonne idée ?
La CNIL observe et retient le caractère non anonyme des données de santé traitées par une société spécialisée dans l’édition et la vente de logiciels de gestion à destination de professionnels de la santé. Il en résulte des manquements à l’obligation d’effectuer les formalités préalables dans le domaine de la santé, à savoir de formuler une demande d’autorisation auprès de la CNIL ou lui adresser une déclaration de conformité à l’un de ses référentiels, ainsi qu’à l’obligation de traiter les données de manière licite, lesquels sont lourdement sanctionnés.
Contours des notions de « responsables de traitement conjoints » et de « sous-traitant »
La demande de décision préjudicielle porte sur l’interprétation des notions de « responsables conjoints » et de « sous-traitant » (art. 4 points 2 et 7 et art. 26 par. 1 RGPD) ainsi que des conditions pour admettre l’imposition d’une amende administrative aux « responsables de traitement » (art. 83 par. 1 RGPD).
Usage de l’intelligence artificielle dans un call center
L’Autorité de protection des données danoise s’est penchée sur le cas de l’utilisation d’un logiciel d’IA pour enregistrer et retranscrire les conversations téléphoniques d’une assurance avec ses assurés. Si l’usage d’un tel logiciel est autorisé, un soin particulier doit être accordé à la récolte du consentement de la personne concernée.
Data Privacy Framework
À l’occasion d’un communiqué de presse publié le 14 août 2024, le Conseil fédéral a approuvé le Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF) et arrêté son en vigueur au 15 septembre 2024. Selon cette décision, les entreprises américaines participant au Swiss‑U.S. DPF garantissent un niveau adéquat de protection des données en vertu de la LPD, de sorte que les données personnelles peuvent être transférées aux entreprises américaines participantes sans avoir à conclure de clauses contractuelles types adoptées par la Commission Européenne (SCC) et sans qu’il soit nécessaire de procéder à une analyse d’impact du transfert de données.
Quand des
buzzwords
conduisent à une fraude à l’investissement
L’action intentée par la SEC contre Ilit Raz de Joonko Diversity Inc. démontre que l’utilisation trompeuse de buzzwords comme « intelligence artificielle » pour lever des fonds peut entraîner des poursuites.
Mauvaise utilisation du pixel Meta : fuite de données bancaires et lourde amende pour une banque
Pixel Meta : l’autorité suédoise de protection des données (IMY) sanctionne une banque pour une fuite de données bancaires causée par la mauvaise configuration du pixel Metal sur son site web et application d’e‑banking.
Les résultats et les suites de l’enquête administrative dans l’affaire Xplain
L’affaire Xplain a mis en évidence toutes les difficultés liées à la gestion d’un projet informatique complexe mené entre différents acteurs publics et privés. Plusieurs leçons ont pu être tirées pouvant certainement s’appliquer à d’autres situations comparables, quels que soient les acteurs concernés. Tour d’horizon des erreurs commises et des mesures ayant été prises
Enquête contre Digitec Galaxus : les recommandations du Préposé sont justifiables, mais sont-elles justes ?
Le Préposé estime que l’obligation d’ouvrir un compte client pour procéder à un achat viole le principe de proportionnalité et recommande à Digitec Galaxus plusieurs modifications de sa déclaration de protection des données. La présente contribution analyse les différentes recommandations du Préposé d’un œil critique et tire des enseignements à la lumière de la nouvelle loi sur la protection des données.
«
AI Washing
» comme un sentiment de déjà-vu
La SEC engage les premières poursuites pour « AI washing » contre deux sociétés américaines. Cette affaire nous informe notamment sur les attentes de la SEC en matière de communications promotionnelles en lien avec l’intelligence artificielle. Cette problématique, bien que se déroulant aux États-Unis, peut se présenter en Suisse. Dès lors, il est intéressant d’explorer différentes pistes de réflexion pour lutter contre le « AI washing » en Suisse.
Enregistrement de numéros de téléphone : usage et finalités
L’enregistrement des numéros de téléphones pour une utilisation secondaire à des fins politiques – et ceci sans le consentement des personnes concernées – viole le principe de légitimité du traitement.
Le long chemin de la transparence dans le cadre de l’acquisition de Credit Suisse par UBS
Le 29 novembre 2023, le PFPDT a publié neuf recommandations sur des demandes d’accès liées à l’acquisition de Credit Suisse par UBS. En substance, l’autorité recommande de différer l’accès aux documents dont la communication pourrait entraîner une entrave importante à la formation de l’opinion et de la volonté de la commission d’enquête parlementaire (CEP), jusqu’à la fin des travaux en cours.
Une action civile à la suite d’une cyberattaque
À la suite d’une cyberattaque ayant touché SolarWinds Corp., la SEC a déposé une action civile contre la société qui aurait trompé les investisseurs sur ses pratiques en matière de cybersécurité. Cette action civile met en évidence, d’une part, les mauvaises pratiques adoptées par la société, et d’autre part, l’importance accrue que la SEC porte sur les informations en matière de cybersécurité que les sociétés publient à l’attention des investisseurs.
Adéquation en faveur de la Suisse : la décision tant attendue
La Commission rend ses conclusions suite à la réévaluation des décisions d’adéquation rendues sous l’empire de la Directive 95/46/CE, décidant en bloc de l’adéquation de 11 pays, dont la Suisse.
Courriel sur la réforme des retraites : détournement de finalité et communication à caractère politique selon la CNIL
Suite à un courriel adressé aux agents de la fonction publique concernant la réforme des retraites, la CNIL a formulé un rappel à l’ordre contre le Ministère de la Transformation et de la Fonction publique et le Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique. La CNIL leur reproche d’avoir utilisé un fichier administratif à des fins politiques.
Les limites du secret d’affaires – Recommandations du PFPDT en matière de transparence
Le PFPDT recommande l’accès complet au rapport d’expertise élaboré par la PostCom au sujet d’une entreprise de livraison, alors que cette dernière refusait les propositions de caviardage, soulevant notamment la protection du secret d’affaires.
Recyclé en violation de sécurité
L’autorité espagnole de protection des données estime que la Direction générale de la police commet une violation de la sécurité des données en recyclant des documents internes en blocs-notes accessibles au public.
Caractère répétitif d’une demande de droit d’accès
Toute personne peut demander au responsable du traitement si des données la concernant sont traitées. Mais à quel intervalle une demande de droit d’accès peut-elle être formulée sans être considérée comme excessive ? Une demande effectuée à un rythme trimestriel ne satisfait pas la condition de répétition excessive.
Applications de rencontre : la vie intime l’est-elle réellement ?
Le PFPDT émet des recommandations pour que l’application de rencontre Once remédie à des violations relatives à la transparence, aux modalités de suppression de comptes utilisateurs, à la sécurité ainsi qu’à la sous-traitance à l’étranger.
Lusha : l’extension de navigateur facilitant l’extension d’un business
La formation restreinte de la Commission nationale de l’informatique et des libertés a rendu une décision de non-lieu s’agissant de l’extension de navigateur appartenant à la société Lusha Systems Inc pour non-applicabilité du RGPD. Elle a néanmoins développé des aspects intéressants relatifs à la responsabilité de traitement.
Cookies walls : Le consentement jugé invalide si l’alternative payante offre plus de contenu
L’Agence danoise de protection des données estime que le consentement n’est pas libre si l’alternative payante offre plus de contenu à l’internaute. Elle considère également que les cookies à des fins statistiques doivent bénéficier d’un consentement séparé.
L’utilisation de ChatGPT temporairement restreinte en Italie : une décision motivée par la pizza hawaïenne ou les pâtes au ketchup ?
Le Président de l’autorité italienne de protection des données, le Garante per la protezione dei dati personali, a pris une décision le 30 mars 2023 qui limite temporairement le traitement de données personnelles par le service « ChatGPT » d’OpenAI.
Contenu de l’information sur le licenciement d’un employé à l’interne
Un employeur peut informer son personnel de la rupture du contrat d’un employé, mais ne devrait pas mentionner quelle partie a résilié le contrat ou le caractère immédiat du licenciement.
La mise en place de mesures de sécurité techniques et organisationnelles :
not just a checklist !
Le Conseil de l’Hôpital de la région d’Uppsala se voit imposer une amende administrative de SEK 1’600’000 par l’autorité suédoise de protection des données pour violation des exigences de la sécurité des données. En cause, la transmission par courriel de données médicales à des destinataires situés dans des pays tiers, ainsi que le stockage de données sensibles sur l’application de messagerie électronique Microsoft Outlook.
CAPTCHA : une mesure de sécurité suffisante ?
L’utilisation d’un CAPTCHA et de restrictions de transmission ainsi que l’engagement d’une équipe de professionnels par un réseau social ne sont pas des mesures appropriées pour éviter le web scraping automatisé.
Effacement du profil d’un employé après son départ
Suivant la fin des rapports de travail, l’employeur doit effacer les coordonnées comme le nom, la fonction et la photographie de son ex-employé figurant sur son site Internet dans les meilleurs délais.
Encore un géant (Meta) condamné pour traitement illicite de données personnelles d’enfants
À la suite de la décision contraignante du Comité européen de la protection des données, l’Autorité irlandaise de protection des données condamne Meta Irlande à une amende administrative pour traitement illicite de données personnelles d’enfants.
Intérêt légitime de l’avocat au traitement de données dans une procédure judiciaire
Un cabinet d’avocats pouvait s’appuyer sur un intérêt légitime suffisant pour produire les données personnelles d’une personne concernée comme preuve dans une procédure judiciaire. Cet intérêt l’emportait sur l’intérêt de la personne concernée à garder ses données confidentielles.
Les sites internet utilisant un protocole « http » à bannir
Le laboratoire d’analyses médicales qui fournit l’accès en ligne aux résultats de patients sur un site utilisant un protocole « http » et non « https » viole son obligation de sécurité.
Géolocalisation permanente de véhicules de location : la CNIL sanctionne
Le 21 juillet 2022, la CNIL a prononcé une sanction de EUR 175’000 à l’encontre de la société Ubeeqo International pour divers manquements au RGPD, en particulier concernant ses pratiques en matière de géolocalisation quasi permanente de véhicules de location.
Une annonce de départ d’un employé se transforme en communication à des tiers
L’Autorité de protection des données belge a estimé que le fait de discuter de données relatives à la santé d’une personne concernée lors d’une réunion du personnel où elle était absente et, par conséquent, d’inclure les données dans le procès-verbal de la réunion était incompatible avec la finalité du traitement initial (gestion du personnel) et qu’il n’existait aucune autre base juridique sur laquelle s’appuyer.
Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
Dans une prise de position publiée le 13 juin 2022, le Préposé fédéral à la protection des données et à la transparence a estimé que le recours aux services cloud M365 de Microsoft serait susceptible de violer la Loi fédérale sur la protection des données.
Fuite de données hautement sensibles : amende salée pour le sous-traitant
À la suite d’une fuite massive de données médicales hautement sensibles, la CNIL sanctionne, par décision du 15 avril 2022, la société Dedalus Biologie pour manquement à ses obligations de protection des données en qualité de sous-traitant.
Le droit d’accès à l’origine de ses données personnelles
Le droit d’accès permet aux personnes qui l’exercent d’obtenir notamment toute information disponible quant à leur source. L’Autorité danoise de protection des données précise cette composante du droit d’accès dans une décision concernant l’inscription à une newsletter.
Web scraping de profils publics sur LinkedIn
LinkedIn doit continuer à accorder à une société d’analyse de données partenaire l’accès aux profils publics de ses utilisateurs.
Verbatim
d’un entretien téléphonique du Président de la Confédération
Le verbatim d’un échange téléphonique entre le Président de la Confédération et un homologue étranger n’est pas soumis à la Loi sur la transparence (art. 2 al. 1 let. a LTrans a contrario) même dans l’hypothèse où un tel document existait.
L’étude d’avocats victime d’une cyberattaque
Une cyberattaque réussie contre une étude d’avocats peut attirer l’attention de l’autorité compétente que la confidentialité des données n’est pas respectée.
Droit d’accès et justification d’identité
Un responsable du traitement de données peut-il automatiquement demander à la personne qui exerce son droit d’accès de lui fournir une copie de sa carte d’identité ? Les autorités de protection des données d’Espagne et de Belgique rappellent les règles applicables dans deux récentes décisions.
La réutilisation de données publiques à des fins de recherche
Une récente décision de l’Autorité belge de protection des données sanctionnant une ONG et l’un de ses chercheurs dans le cadre d’une étude liée à « l’affaire Benalla » illustre les règles applicables à la réutilisation de données personnelles à des fins de recherche (non médicale), tant du point de vue du RGPD que de la législation suisse.
Quelques photos sur internet suffisent à créer un gabarit biométrique – Mise en demeure de Clearview AI
Dans une décision de mise en demeure rendue à l’encontre de la société américaine Clearview AI, la CNIL a constaté que la commercialisation d’un logiciel de reconnaissance faciale développé sur la base de photographies librement accessibles ne repose pas sur une base juridique et est donc illicite.
Logiciel Pegasus : fedpol doit communiquer sur l’(in)existence d’un contrat avec NSO Group
Le PFPDT recommande à l’Office fédéral de la police (fedpol) de communiquer sur l’existence ou l’inexistence d’un contrat conclu avec NSO Group qui commercialise le logiciel espion Pegasus.
Application de rencontre et communication illicite de données à des fins publicitaires
L’autorité norvégienne de protection des données a condamné fin 2021 la société américaine Grindr, à la tête de la plus importante application de rencontres pour la communauté gay, bisexuelle, transsexuelle et queer, pour avoir traité et communiqué des données concernant la vie et l’orientation sexuelle à des tiers en violation des art. 6 par. 1 et art. 9 par. 1 RGPD.
Accès aux contrats d’acquisitions des vaccins contre le COVID-19 ? Oui, mais …
L’accès aux contrats d’acquisition des vaccins contre le COVID-19 ne compromet plus en janvier 2022 les intérêts de la politique économique du pays (art. 7 al. 1 let. f LTrans), pas plus que ses intérêts diplomatiques (let. d). Avant d’accorder l’accès aux documents requis, l’OFSP doit à présent consulter les fabricants pour déterminer si d’autres exceptions peuvent encore justifier un refus d’accès et ce dans quelle mesure.
L’utilisation d’applications de surveillance d’examen à distance
Dans sa délibération du 11 mai 2021, la Commission Nationale de protection des données portugaise a ordonné à l’Université do Minho la cessation de l’utilisation d’applications de surveillance d’examen à distance. Ces applications sont susceptibles de violer les principes de licéité, de finalité, de minimisation des données et de proportionnalité.
Les données de douze millions de consommateurs en libre accès
Laisser en libre accès sur Internet les données de douze millions de personnes constitue une violation de la sécurité des données (art. 32 RGPD), même s’il n’est pas avéré qu’un accès mal intentionné à ces données a eu lieu
Condamnation de TikTok : devoir d’information et protection des mineurs
Le 9 avril 2021, l’Autorité de protection des données néerlandaise (Autoriteit Persoonsgegevens, AP) a condamné TikTok Inc. à une amende de 750 000 euros pour ne pas avoir satisfait à son obligation d’information auprès de mineurs (art. 12 RGPD).
Une annonce (très) rapide d’une fuite de données ou une amende salée
Le responsable du traitement qui est raisonnablement certain qu’une violation de données a eu lieu doit annoncer la violation à l’autorité compétente dans un délai de 72 heures. Il ne peut pas procéder à des investigations internes avant d’effectuer l’annonce.
Divulgation d’adresses électroniques : l’association HIV Scotland et la nécessité de sécuriser les courriels de masse
Dans une décision prononcée le 18 octobre 2021, l’Information Commissioner’s Office anglais (ICO) a sanctionné l’association HIV Scotland pour ne pas avoir pris les mesures de sécurité adéquates (32 par. 1 et 2 RGPD) et violé le principe de la sécurité des données (art. 5 par. 1 let. f RGPD).
La CNIL rappelle à l’ordre concernant le fichier automatisé des empreintes digitales (FAED)
Dans une décision prononcée le 24 septembre 2021, la CNIL a sanctionné le ministère de l’Intérieur pour sa mauvaise gestion du fichier automatisé des empreintes digitales (FAED).
Transparence de la documentation relative à une substance active
Le fait qu’un produit phytosanitaire fasse l’objet d’une procédure d’homologation pendante ne constitue pas un motif pour restreindre l’accès aux rapports d’essais et d’études déposés à l’appui de l’approbation d’une substance active qu’il contient (en l’espèce : sulfoxaflor) si cette dernière a fait l’objet d’une procédure indépendante et donc d’une décision de l’autorité qui l’a conduite à l’inscrire dans l’Annexe 1 de l’Ordonnance sur les produits phytosanitaires.
Le Ministère public central du canton de Vaud soumis au principe de la transparence
Par décision du 17 juin 2021, le Préposé vaudois à l’information a ordonné la transmission d’un document officiel détenu par le Ministère public central du canton de Vaud à un administré. L’affaire met en lumière le principe de la transparence auquel est soumis l’autorité en question dans le cadre de ses activités non juridictionnelles.
Deux courriels au mauvais destinataire peuvent coûter cher
L’envoi d’un courriel à un mauvais destinataire constitue une violation de la sécurité des données s’il contient des données personnelles. Lorsque ces données sont sensibles, on retiendra plus facilement un risque élevé pour la personne concernée par la violation de confidentialité. Il en découle un devoir d’informer l’autorité, voire la personne concernée, selon le RGPD.
L’Europe serre la vis : sanction contre WhatsApp Irlande alourdie
Le 28 juillet 2021, le Comité européen de la protection des données a rendu une décision contraignante pour régler un litige opposant l’Autorité de protection des données irlandaise à d’autres autorités de contrôle européennes concernées par des violations du RGPD commises par WhatsApp Irlande. L’Autorité de protection des données irlandaise avait ouvert une enquête (own-voliation inquiry) en 2018 pour examiner si la société satisfaisait correctement à ses obligations d’information.
Failles dès la conception dans l’affaire mesvaccins.ch
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a émis trois recommandations à l’issue d’une procédure d’établissement des faits à l’encontre de la fondation mesvaccins dans son rapport final publié le 7 septembre 2021. Des failles dans les mesures techniques et organisationnelles sont mises en cause.
La transparence face à l’opacité du calcul des primes d’assurance-maladie
L’OFSP ne peut refuser une demande d’accès aux documents officiels portant sur les hypothèses et prévisions retenues par les assureurs-maladie au motif qu’elle porte sur un volume extraordinairement important d’informations. Il doit identifier si des documents permettant de satisfaire à une telle demande existent et les transmettre. Toute autorité saisie d’une telle demande doit d’abord procéder à ce travail …
Le rapport 2020 de la
Federal Trade Commission
américaine en matière de
Privacy and Data Security
Dans son rapport 2020 sur la privacy and data security, la Federal Trade Commission américaine offre un aperçu de ses récentes décisions en la matière.
Access to one, access to all
Depuis le 1er septembre 2021, l’Office fédéral de l’armement (armasuisse) publie sur son site web les documents officiels auquel l’accès a été accordé à la suite d’une demande fondée sur la LTrans. De fait, la mise en œuvre du principe de la transparence est renforcée.
SocialPass : les recommandations du PFPDT confirment de graves lacunes
Au terme d’une procédure d’établissement des faits longue et difficile, le PFPDT a adressé aux exploitants privés de l’application SocialPass plusieurs recommandations visant notamment à améliorer la sécurité technique de l’application et à limiter de manière proportionnée l’accès des autorités sanitaires cantonales aux données enregistrées de manière centralisée. Comme il ressort du rapport final publié …
Italie : médecin amendé pour un questionnaire contenant des informations liées au VIH
L’autorité de contrôle italienne a rendu une décision dans laquelle elle a condamné un dentiste qui avait refusé de prendre en charge un patient à qui il avait fait remplir un questionnaire contenant une question sur l’existence éventuelle d’une infection au VIH, question à laquelle le patient avait répondu positivement. En l’absence de traitement médical, la collecte de données ne pouvait être justifiée par le motif du diagnostic médical ou de la prise en charge sanitaire.
Comment est votre blanquette ?
Sur la base d’informations révélées par les médias, le Préposé fédéral à la protection des données et à la transparence recommande aux exploitants privés de l’application SocialPass de limiter de manière proportionnée les possibilités d’accès des autorités sanitaires cantonales aux données collectées et enregistrées.
Utilisation des données biométriques des employés
L’autorité italienne de protection des données (GPD) inflige une amende de EUR 30’000.- pour l’utilisation d’un système de gestion du temps de présence basé sur le traitement des données biométriques des employés.
Pages:
1
2
Load More
