Décision
Jurisprudence
Doctrine
Réglementation
À propos
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
S'abonner
-->
Browsing Category
Décision
60 articles
[description d ela catégorie décisions]
Les limites du secret d’affaires – Recommandations du PFPDT en matière de transparence
Le PFPDT recommande l’accès complet au rapport d’expertise élaboré par la PostCom au sujet d’une entreprise de livraison, alors que cette dernière refusait les propositions de caviardage, soulevant notamment la protection du secret d’affaires.
Recyclé en violation de sécurité
L’autorité espagnole de protection des données estime que la Direction générale de la police commet une violation de la sécurité des données en recyclant des documents internes en blocs-notes accessibles au public.
Caractère répétitif d’une demande de droit d’accès
Toute personne peut demander au responsable du traitement si des données la concernant sont traitées. Mais à quel intervalle une demande de droit d’accès peut-elle être formulée sans être considérée comme excessive ? Une demande effectuée à un rythme trimestriel ne satisfait pas la condition de répétition excessive.
Applications de rencontre : la vie intime l’est-elle réellement ?
Le PFPDT émet des recommandations pour que l’application de rencontre Once remédie à des violations relatives à la transparence, aux modalités de suppression de comptes utilisateurs, à la sécurité ainsi qu’à la sous-traitance à l’étranger.
Lusha : l’extension de navigateur facilitant l’extension d’un business
La formation restreinte de la Commission nationale de l’informatique et des libertés a rendu une décision de non-lieu s’agissant de l’extension de navigateur appartenant à la société Lusha Systems Inc pour non-applicabilité du RGPD. Elle a néanmoins développé des aspects intéressants relatifs à la responsabilité de traitement.
Cookies walls : Le consentement jugé invalide si l’alternative payante offre plus de contenu
L’Agence danoise de protection des données estime que le consentement n’est pas libre si l’alternative payante offre plus de contenu à l’internaute. Elle considère également que les cookies à des fins statistiques doivent bénéficier d’un consentement séparé.
L’utilisation de ChatGPT temporairement restreinte en Italie : une décision motivée par la pizza hawaïenne ou les pâtes au ketchup ?
Le Président de l’autorité italienne de protection des données, le Garante per la protezione dei dati personali, a pris une décision le 30 mars 2023 qui limite temporairement le traitement de données personnelles par le service « ChatGPT » d’OpenAI.
Contenu de l’information sur le licenciement d’un employé à l’interne
Un employeur peut informer son personnel de la rupture du contrat d’un employé, mais ne devrait pas mentionner quelle partie a résilié le contrat ou le caractère immédiat du licenciement.
La mise en place de mesures de sécurité techniques et organisationnelles :
not just a checklist !
Le Conseil de l’Hôpital de la région d’Uppsala se voit imposer une amende administrative de SEK 1’600’000 par l’autorité suédoise de protection des données pour violation des exigences de la sécurité des données. En cause, la transmission par courriel de données médicales à des destinataires situés dans des pays tiers, ainsi que le stockage de données sensibles sur l’application de messagerie électronique Microsoft Outlook.
CAPTCHA : une mesure de sécurité suffisante ?
L’utilisation d’un CAPTCHA et de restrictions de transmission ainsi que l’engagement d’une équipe de professionnels par un réseau social ne sont pas des mesures appropriées pour éviter le web scraping automatisé.
Effacement du profil d’un employé après son départ
Suivant la fin des rapports de travail, l’employeur doit effacer les coordonnées comme le nom, la fonction et la photographie de son ex-employé figurant sur son site Internet dans les meilleurs délais.
Encore un géant (Meta) condamné pour traitement illicite de données personnelles d’enfants
À la suite de la décision contraignante du Comité européen de la protection des données, l’Autorité irlandaise de protection des données condamne Meta Irlande à une amende administrative pour traitement illicite de données personnelles d’enfants.
Intérêt légitime de l’avocat au traitement de données dans une procédure judiciaire
Un cabinet d’avocats pouvait s’appuyer sur un intérêt légitime suffisant pour produire les données personnelles d’une personne concernée comme preuve dans une procédure judiciaire. Cet intérêt l’emportait sur l’intérêt de la personne concernée à garder ses données confidentielles.
Les sites internet utilisant un protocole « http » à bannir
Le laboratoire d’analyses médicales qui fournit l’accès en ligne aux résultats de patients sur un site utilisant un protocole « http » et non « https » viole son obligation de sécurité.
Géolocalisation permanente de véhicules de location : la CNIL sanctionne
Le 21 juillet 2022, la CNIL a prononcé une sanction de EUR 175’000 à l’encontre de la société Ubeeqo International pour divers manquements au RGPD, en particulier concernant ses pratiques en matière de géolocalisation quasi permanente de véhicules de location.
Une annonce de départ d’un employé se transforme en communication à des tiers
L’Autorité de protection des données belge a estimé que le fait de discuter de données relatives à la santé d’une personne concernée lors d’une réunion du personnel où elle était absente et, par conséquent, d’inclure les données dans le procès-verbal de la réunion était incompatible avec la finalité du traitement initial (gestion du personnel) et qu’il n’existait aucune autre base juridique sur laquelle s’appuyer.
Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
Dans une prise de position publiée le 13 juin 2022, le Préposé fédéral à la protection des données et à la transparence a estimé que le recours aux services cloud M365 de Microsoft serait susceptible de violer la Loi fédérale sur la protection des données.
Fuite de données hautement sensibles : amende salée pour le sous-traitant
À la suite d’une fuite massive de données médicales hautement sensibles, la CNIL sanctionne, par décision du 15 avril 2022, la société Dedalus Biologie pour manquement à ses obligations de protection des données en qualité de sous-traitant.
Le droit d’accès à l’origine de ses données personnelles
Le droit d’accès permet aux personnes qui l’exercent d’obtenir notamment toute information disponible quant à leur source. L’Autorité danoise de protection des données précise cette composante du droit d’accès dans une décision concernant l’inscription à une newsletter.
Web scraping de profils publics sur LinkedIn
LinkedIn doit continuer à accorder à une société d’analyse de données partenaire l’accès aux profils publics de ses utilisateurs.
Verbatim
d’un entretien téléphonique du Président de la Confédération
Le verbatim d’un échange téléphonique entre le Président de la Confédération et un homologue étranger n’est pas soumis à la Loi sur la transparence (art. 2 al. 1 let. a LTrans a contrario) même dans l’hypothèse où un tel document existait.
L’étude d’avocats victime d’une cyberattaque
Une cyberattaque réussie contre une étude d’avocats peut attirer l’attention de l’autorité compétente que la confidentialité des données n’est pas respectée.
Droit d’accès et justification d’identité
Un responsable du traitement de données peut-il automatiquement demander à la personne qui exerce son droit d’accès de lui fournir une copie de sa carte d’identité ? Les autorités de protection des données d’Espagne et de Belgique rappellent les règles applicables dans deux récentes décisions.
La réutilisation de données publiques à des fins de recherche
Une récente décision de l’Autorité belge de protection des données sanctionnant une ONG et l’un de ses chercheurs dans le cadre d’une étude liée à « l’affaire Benalla » illustre les règles applicables à la réutilisation de données personnelles à des fins de recherche (non médicale), tant du point de vue du RGPD que de la législation suisse.
Quelques photos sur internet suffisent à créer un gabarit biométrique – Mise en demeure de Clearview AI
Dans une décision de mise en demeure rendue à l’encontre de la société américaine Clearview AI, la CNIL a constaté que la commercialisation d’un logiciel de reconnaissance faciale développé sur la base de photographies librement accessibles ne repose pas sur une base juridique et est donc illicite.
Logiciel Pegasus : fedpol doit communiquer sur l’(in)existence d’un contrat avec NSO Group
Le PFPDT recommande à l’Office fédéral de la police (fedpol) de communiquer sur l’existence ou l’inexistence d’un contrat conclu avec NSO Group qui commercialise le logiciel espion Pegasus.
Application de rencontre et communication illicite de données à des fins publicitaires
L’autorité norvégienne de protection des données a condamné fin 2021 la société américaine Grindr, à la tête de la plus importante application de rencontres pour la communauté gay, bisexuelle, transsexuelle et queer, pour avoir traité et communiqué des données concernant la vie et l’orientation sexuelle à des tiers en violation des art. 6 par. 1 et art. 9 par. 1 RGPD.
Accès aux contrats d’acquisitions des vaccins contre le COVID-19 ? Oui, mais …
L’accès aux contrats d’acquisition des vaccins contre le COVID-19 ne compromet plus en janvier 2022 les intérêts de la politique économique du pays (art. 7 al. 1 let. f LTrans), pas plus que ses intérêts diplomatiques (let. d). Avant d’accorder l’accès aux documents requis, l’OFSP doit à présent consulter les fabricants pour déterminer si d’autres exceptions peuvent encore justifier un refus d’accès et ce dans quelle mesure.
L’utilisation d’applications de surveillance d’examen à distance
Dans sa délibération du 11 mai 2021, la Commission Nationale de protection des données portugaise a ordonné à l’Université do Minho la cessation de l’utilisation d’applications de surveillance d’examen à distance. Ces applications sont susceptibles de violer les principes de licéité, de finalité, de minimisation des données et de proportionnalité.
Les données de douze millions de consommateurs en libre accès
Laisser en libre accès sur Internet les données de douze millions de personnes constitue une violation de la sécurité des données (art. 32 RGPD), même s’il n’est pas avéré qu’un accès mal intentionné à ces données a eu lieu
Condamnation de TikTok : devoir d’information et protection des mineurs
Le 9 avril 2021, l’Autorité de protection des données néerlandaise (Autoriteit Persoonsgegevens, AP) a condamné TikTok Inc. à une amende de 750 000 euros pour ne pas avoir satisfait à son obligation d’information auprès de mineurs (art. 12 RGPD).
Une annonce (très) rapide d’une fuite de données ou une amende salée
Le responsable du traitement qui est raisonnablement certain qu’une violation de données a eu lieu doit annoncer la violation à l’autorité compétente dans un délai de 72 heures. Il ne peut pas procéder à des investigations internes avant d’effectuer l’annonce.
Divulgation d’adresses électroniques : l’association HIV Scotland et la nécessité de sécuriser les courriels de masse
Dans une décision prononcée le 18 octobre 2021, l’Information Commissioner’s Office anglais (ICO) a sanctionné l’association HIV Scotland pour ne pas avoir pris les mesures de sécurité adéquates (32 par. 1 et 2 RGPD) et violé le principe de la sécurité des données (art. 5 par. 1 let. f RGPD).
La CNIL rappelle à l’ordre concernant le fichier automatisé des empreintes digitales (FAED)
Dans une décision prononcée le 24 septembre 2021, la CNIL a sanctionné le ministère de l’Intérieur pour sa mauvaise gestion du fichier automatisé des empreintes digitales (FAED).
Transparence de la documentation relative à une substance active
Le fait qu’un produit phytosanitaire fasse l’objet d’une procédure d’homologation pendante ne constitue pas un motif pour restreindre l’accès aux rapports d’essais et d’études déposés à l’appui de l’approbation d’une substance active qu’il contient (en l’espèce : sulfoxaflor) si cette dernière a fait l’objet d’une procédure indépendante et donc d’une décision de l’autorité qui l’a conduite à l’inscrire dans l’Annexe 1 de l’Ordonnance sur les produits phytosanitaires.
Le Ministère public central du canton de Vaud soumis au principe de la transparence
Par décision du 17 juin 2021, le Préposé vaudois à l’information a ordonné la transmission d’un document officiel détenu par le Ministère public central du canton de Vaud à un administré. L’affaire met en lumière le principe de la transparence auquel est soumis l’autorité en question dans le cadre de ses activités non juridictionnelles.
Deux courriels au mauvais destinataire peuvent coûter cher
L’envoi d’un courriel à un mauvais destinataire constitue une violation de la sécurité des données s’il contient des données personnelles. Lorsque ces données sont sensibles, on retiendra plus facilement un risque élevé pour la personne concernée par la violation de confidentialité. Il en découle un devoir d’informer l’autorité, voire la personne concernée, selon le RGPD.
L’Europe serre la vis : sanction contre WhatsApp Irlande alourdie
Le 28 juillet 2021, le Comité européen de la protection des données a rendu une décision contraignante pour régler un litige opposant l’Autorité de protection des données irlandaise à d’autres autorités de contrôle européennes concernées par des violations du RGPD commises par WhatsApp Irlande. L’Autorité de protection des données irlandaise avait ouvert une enquête (own-voliation inquiry) en 2018 pour examiner si la société satisfaisait correctement à ses obligations d’information.
Failles dès la conception dans l’affaire mesvaccins.ch
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a émis trois recommandations à l’issue d’une procédure d’établissement des faits à l’encontre de la fondation mesvaccins dans son rapport final publié le 7 septembre 2021. Des failles dans les mesures techniques et organisationnelles sont mises en cause.
La transparence face à l’opacité du calcul des primes d’assurance-maladie
L’OFSP ne peut refuser une demande d’accès aux documents officiels portant sur les hypothèses et prévisions retenues par les assureurs-maladie au motif qu’elle porte sur un volume extraordinairement important d’informations. Il doit identifier si des documents permettant de satisfaire à une telle demande existent et les transmettre. Toute autorité saisie d’une telle demande doit d’abord procéder à ce travail …
Le rapport 2020 de la
Federal Trade Commission
américaine en matière de
Privacy and Data Security
Dans son rapport 2020 sur la privacy and data security, la Federal Trade Commission américaine offre un aperçu de ses récentes décisions en la matière.
Access to one, access to all
Depuis le 1er septembre 2021, l’Office fédéral de l’armement (armasuisse) publie sur son site web les documents officiels auquel l’accès a été accordé à la suite d’une demande fondée sur la LTrans. De fait, la mise en œuvre du principe de la transparence est renforcée.
SocialPass : les recommandations du PFPDT confirment de graves lacunes
Au terme d’une procédure d’établissement des faits longue et difficile, le PFPDT a adressé aux exploitants privés de l’application SocialPass plusieurs recommandations visant notamment à améliorer la sécurité technique de l’application et à limiter de manière proportionnée l’accès des autorités sanitaires cantonales aux données enregistrées de manière centralisée. Comme il ressort du rapport final publié …
Italie : médecin amendé pour un questionnaire contenant des informations liées au VIH
L’autorité de contrôle italienne a rendu une décision dans laquelle elle a condamné un dentiste qui avait refusé de prendre en charge un patient à qui il avait fait remplir un questionnaire contenant une question sur l’existence éventuelle d’une infection au VIH, question à laquelle le patient avait répondu positivement. En l’absence de traitement médical, la collecte de données ne pouvait être justifiée par le motif du diagnostic médical ou de la prise en charge sanitaire.
Comment est votre blanquette ?
Sur la base d’informations révélées par les médias, le Préposé fédéral à la protection des données et à la transparence recommande aux exploitants privés de l’application SocialPass de limiter de manière proportionnée les possibilités d’accès des autorités sanitaires cantonales aux données collectées et enregistrées.
Utilisation des données biométriques des employés
L’autorité italienne de protection des données (GPD) inflige une amende de EUR 30’000.- pour l’utilisation d’un système de gestion du temps de présence basé sur le traitement des données biométriques des employés.
Google : sanction et compétence de la CNIL confirmées par le Conseil d’État
Dans une décision prononcée le 4 mars 2021, le Juge des référés du Conseil d’État confirme la sanction infligée par la CNIL à l’égard de Google ainsi que la compétence de cette dernière en matière de cookies et l’inapplicabilité du mécanisme du « guichet unique ».
Condamnation de Marriott pour une fuite de données
Dans sa Penalty Notice, l’Information Commissioner’s Office anglais sanctionne le groupe hôtelier Marriott pour n’avoir pas pris les mesures de sécurité adéquate (art. 32 RGPD). Ses manquements ont permis à des pirates d’obtenir les données d’environ 339 millions de clients.
Carnet de vaccination électronique : la piqûre de rappel du PFPDT
À la suite d’une enquête menée par un média alémanique dénonçant une violation de la sécurité des données, le Préposé fédéral a suspendu avec effet immédiat les traitements en lien avec la plateforme www.mesvaccins.ch. Si l’analyse par le PFPDT reste à être conduite, d’autres questions en lien avec le carnet de vaccination électronique subsistent, en particulier son déploiement en Europe comme en Suisse.
Le devoir d’informer l’autorité et le principe
nemo tenetur
Selon l’autorité néerlandaise de protection des données, l’obligation de lui transmettre le rapport d’une fuite de données n’est pas contraire au principe nemo tenetur.
Droit d’accès : quelles limites pour l’ancien employé ?
L’Autorité belge de protection des données a confirmé le refus d’une entreprise de donner suite à une demande de droit d’accès formulée par un ancien employé et concernant, entres autres, les logs IT et les courriels le concernant. L’Autorité estime qu’une telle communication représenterait pour l’entreprise une charge de travail disproportionnée et violerait son droit à la protection du secret d’affaire.
La CNIL sanctionne une banque pour des atteintes à la protection des données
Aux termes de sa délibération du 18 novembre 2020 (n° SAN-2020–009) concernant Carrefour Banque (la Banque), la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une décision portant amende de EUR 800’000 en application du Règlement général sur la protection des données (RGPD) et de la loi française dite « informatique et libertés ».
Google condamnée à une amende de 100 millions d’euros par la CNIL
Le 7 décembre 2020, la formation restreinte de la CNIL a prononcé une sanction de 60 millions d’euros à l’encontre de Google LLC et de 40 millions d’euros à l’encontre de Google Ireland Limited pour divers manquements à l’art. 82 de la loi Informatiques et Libertés.
La légalité de la surveillance numérique des examens universitaires à distance
La surveillance d’examens à distance à l’aide d’outils informatiques constitue indubitablement une restriction aux droits fondamentaux des étudiantes et étudiants. Dans cette contribution, le prof. Alexandre Flückiger examine cette problématique très actuelle sous l’angle de la base légale nécessaire pour une telle restriction (art. 36 Cst.).
Divulgation d’un contrat de précommande de vaccins contre le coronavirus
La divulgation d’un contrat de précommande de vaccins contre le coronavirus et de toute correspondance y relative nuirait en l’état aux intérêts économiques de la Suisse (art. 7 al. 1 let. f LTrans), car la Confédération négocie actuellement avec divers acteurs pharmaceutiques pour obtenir un vaccin en doses suffisantes pour la population.
Transparence des listes de présence des commissions parlementaires
La LTrans s’applique aux Services du Parlement (art. 2 al. 1 let. c), mais uniquement pour son administration propre et non pas aux activités administratives qu’elle exerce pour l’Assemblée fédérale. Les listes de présence des commissions parlementaires se rapportent à une activité en lien avec l’Assemblée fédérale, si bien qu’il ne s’agit pas de documents officiels librement accessibles.
British Airways condamnée à une amende de £20’000’000.- pour violation de la sécurité des données
British Airways écope d’une amende de £ 20’000’000.- en raison de la violation de l’intégrité et la confidentialité des données traitées, ainsi qu’en raison de l’absence de mesures techniques et organisationnelles appropriées, ce qui a conduit à une violation de la sécurité des données (data breach).
Application norvégienne de traçage des infections à la Covid-19 : un très mauvais exemple
Nous mettons en ligne, de manière périodique, les contributions d’auteurs externes nous ayant fait l’honneur d’accepter d’accompagner le lancement de Swissprivacy. Nous accueillons cette semaine la contribution de Valentin Conrad, juriste senior auprès de l’École polytechnique fédérale de Lausanne
Le mot de passe insuffisant : une violation de l’art. 32 RGPD
Une société dont le site Internet exige un mot de passe composé d’au moins six caractères sans nécessairement contenir plusieurs types de caractère viole l’art. 32 RGPD.
L’accès à la prise de position interne du SEM relative à une décision du Comité contre la torture
La prise de position interne du SEM relative à la condamnation de sa pratique par le Comité des Nations Unies contre la torture est un document officiel dont l’accès ne peut être refusé au motif qu’il tomberait dans l’exception prévue par l’art. 7 al. 1 let. b LTrans.
Load More
