Browsing Category

Jurisprudence

114 articles

[Description catégorie jurisprudence]

Géolocalisation des taxis : approbation de normes cantonales par le Tribunal fédéral

Le Tribunal fédéral confirme sa jurisprudence et valide les mesures de géolocalisation des taxis et VTC à Genève lors d’un contrôle abstrait de la loi et du règlement sur les taxis et voitures de transport avec chauffeur (LTVTC/GE et RTVTC/GE). Il estime que ces mesures respectent les exigences légales et constitutionnelles, tout en garantissant une protection suffisante de la sphère privée des professionnels concernés.

Économiser sur le DPO a un prix

Le DPO, même désigné pour un groupe d’entreprises, doit être associé précocement aux questions relatives à la protection des données personnelles et doit disposer des ressources nécessaires à l’exercice de ses fonctions.

L’accès aux données personnelles, et c’est tout ?

La personne concernée n’a pas le droit d’accéder à la copie des documents dans lesquels ses données personnelles sont contenues, la transmission d’un tableau récapitulatif étant en principe suffisante. Dans des circonstances exceptionnelles, un accès aux documents peut néanmoins être octroyé.

Cher réseau, …

La Cour de justice du canton de Genève a ordonné à une ex-employée de modifier les informations relatives à un ancien poste figurant sur son profil LinkedIn.

Obtenir l’effacement de données d’une plateforme d’évaluation, plus difficile qu’il n’y paraît

Le droit général à l’effacement des données d’une personne morale, de même que la suppression de certains commentaires négatifs sur une plateforme d’évaluation, supposent la prise en compte de l’ensemble des intérêts en présence, en particulier l’intérêt des consommateurs à l’information.

La protection des données au secours de l’ayant droit économique

Le RGPD protège aussi les données bancaires de personnes morales lorsque l’ayant droit économique s’oppose au transfert des données au Department of Justice.

Les données de géolocalisation des agents de police genevoise : pas de conservation au-delà de 24 heures

Un logiciel qui permet de conserver les données de géolocalisations de policiers en service pendant 100 jours n’est pas conforme aux exigences de restrictions des droits fondamentaux (art. 36 Cst).

Un communiqué de presse pas si anonyme que ça….

L’entité qui publie un communiqué de presse sur une personne non nommée divulgue néanmoins des données personnelles si cette personne peut être identifiée par des informations supplémentaires, à condition que cet appariement de données constitue un « moyen susceptible d’être raisonnablement mis en œuvre ».

Vente aux enchères de données personnelles à des fins publicitaires et respect du RGPD

La CJUE retient qu’une chaîne composée d’une combinaison de lettres et de caractères qui capte les préférences des utilisateurs est une donnée personnelle au sens du RGPD.

Pas de transparence sur la solidarité fiscale entre époux

Le Tribunal fédéral valide le rejet de deux demandes d’informations qui occasionnent une charge de travail manifestement disproportionnée. En particulier, il est reproché aux demanderesses d’avoir allégué, sans l’avoir étayé, qu’un logiciel permet d’identifier les documents pertinents.

Conflits familiaux, family office et LPD : une requête en droit d’accès jugée abusive

Le droit d’accès au sens de la LPD est exercé de manière abusive lorsqu’une personne l’invoque à l’encontre d’un family office pour obtenir des informations concernant un trust et la situation financière de son père

Je veux y accéder, ça me concerne !

Le Tribunal fédéral a rendu le 6 octobre 2023 une décision (ATF 8C_723/2022) confirmant sa jurisprudence du 19 septembre 2014 (ATF 140 V 464) relative à la finalité du droit d’accès consacré par la LPD. Cette décision nous permet de revenir sur les points d’attention à avoir dans le cadre de la réponse à une demande d’accès ainsi que de comparer ce qui est fait chez nos voisins dans l’UE.

Quel dédommagement pour la photographie d’un rapport médical ?

La CJUE se prononce sur la réparation du dommage moral résultant du traitement de données personnelles concernant la santé et met en évidence la présomption de faute de l’art. 82 RGPD.

L’accès aux pratiques en matière d’asile : pas de secret

Les pratiques en matière d’asile du Secrétariat d’État aux migrations relèvent de la notion de « document officiel » dont l’accès ne peut être légitimement restreint sur la base de simples affirmations suggérant que les exceptions prévues à l’art. 7 LTrans entrent en jeu.

Droit d’accès : les SIG doivent transmettre le contrat de vente d’actions par lequel ils ont acquis les actions d’Ennova SA

Ennova SA accomplit des tâches publiques et les actions que les SIG détiennent dans cette société font partie du patrimoine administratif de l’État. Le contrat de vente d’actions par lequel les SIG ont acquis cette participation contient donc des renseignements relatifs à l’accomplissement d’une tâche publique et est donc soumis au droit d’accès institué par la LIPAD.

Les amendes du RGPD : la faute est-elle nécessaire pour imposer une sanction ?

Dans deux arrêts rendus le même jour, la CJUE se penche sur la marge de manœuvre des États membres pour imposer des amendes administratives ainsi que sur la nécessité d’une violation fautive.

La caméra de surveillance a‑t-elle pris une décision individuelle automatisée ?

L’algorithme d’une caméra de surveillance, qui décide lui-même de ne plus notifier les propriétaires d’une maison des mouvements devant leur domicile, ne rend pas de décision individuelle automatisée faute d’effets significatifs.

Levée du secret médical : si l’avocat sait, le client doit aussi savoir

L’autorité de levée du secret professionnel peut, après avoir pesé les intérêts en présence, autoriser l’accès au dossier médical d’une personne décédée pour évaluer l’existence de prétentions en responsabilité civile contre l’hôpital. En revanche, l’autorité ne peut pas limiter la levée du secret uniquement en faveur du conseil juridique d’un proche en lui interdisant de communiquer le contenu du dossier médical au proche.

Pas de transparence pour l’or importé en Suisse

Le secret fiscal constitue une lex specialis au principe de la transparence.

La CJUE serre la vis au traitement des données par les sociétés de fourniture de renseignements commerciaux 

La CJUE a rendu deux arrêts de principe sur les activités des sociétés qui fournissent des renseignements commerciaux. Elle juge notamment que ces sociétés ne peuvent pas conserver les données provenant de registres publics plus longtemps que leur durée de publication officielle et que l’attribution d’un score de solvabilité constitue déjà une décision individuelle automatisée.

Obligation de conservation généralisée et indifférenciée

La CJUE a jugé que la législation bulgare était contraire au droit de l’UE, dans la mesure où elle prévoit une obligation pour les fournisseurs de services de communication de conserver de manière généralisée et indifférenciée les données relatives au trafic et des données de localisation, à des fins de lutte préventive contre la criminalité, pendant une durée de 6 mois et sans que la personne concernée ne dispose de droit d’information ou de recours à l’enconte de l’accès auxdites données par les autorités de poursuite pénales.

Citius, Altius, Fortius : Des données dopées

Quelles sont les implications au niveau de la protection des données d’une publication en ligne de la violation des règles anti-dopage par un athlète ? C’est en substance la question préjudicielle à laquelle l’avocate générale Tamara Ćapeta répond en vue de l’arrêt de fond de la CJUE.

Qualification juridique et force exécutoire d’un accord de médiation en matière de transparence

La Chambre administrative de la Cour de justice du Canton de Genève retient que l’accord de médication en matière de transparence selon la LIPAD doit être qualifié de contrat de droit administratif et est de ce fait exécutoire.

La licéité du traitement : inapplicabilité des présomptions légales ?

Dans le cadre d’une procédure de recouvrement, une mairie a communiqué, à tort, des données personnelles sur la base d’une présomption aisément clarifiable/réfragable, ce qui constitue un traitement illicite selon l’Autorité de protection des données d’Andalousie.

Clearview AI c. ICO : le tribunal a‑t-il étendu ou restreint le champ d’application du RGPD ?

Dans un arrêt concernant la société Clearview AI, un tribunal britannique détaille les contours de l’application extraterritoriale du RGPD en cas de « suivi du comportement ». S’il arrive à la conclusion que le RGPD britannique ne s’applique pas à cette affaire, l’effet extraterritorial du RGPD en ressort néanmoins renforcé.

La primauté du droit à la preuve face à la protection des données

La Cour de cassation française déploie une méthodologie permettant de mettre en balance le droit à la protection des données de tiers et le droit à la preuve d’une employée considérant avoir subi une inégalité salariale.

Les sanctions américaines et l’assurance cyberattaque

L’assureur qui veut s’opposer au paiement de la prestation d’assurance suite à une cyberattaque, en invoquant les sanctions américaines, doit prouver que la cyberattaque a servi les intérêts d’une entité visée par ces sanctions et qu’il risque ainsi concrètement d’être réprimandé par l’autorité américaine compétente. Le simple fait que le type de logiciel utilisé pour la cyberattaque en question soit habituellement déployé par un groupe de cyberpirates sous sanction (in casu Evil Corp) ne suffit pas pour refuser le paiement de la prestation d’assurance.

Prélèvement de l’impôt ecclésiastique, prédication et baptême – protection des données

Une corporation ecclésiastique a demandé l’accès aux données personnelles du registre du contrôle des habitants pour les communes du canton de Fribourg. Le Tribunal cantonal a analysé pour chaque donnée demandée, si son accès lui est nécessaire pour accomplir ses tâches de prélèvement de l’impôt ecclésiastique, de prédication et de baptême.

Réutilisation de données personnelles – Les limitations de la directive vie privée et communications électroniques

La Cour statue sur l’utilisation ultérieure de données collectées sur la base de l’art. 15 directive 2002/58/CE qui prévoit des exceptions au principe de confidentialité des communications. Cette utilisation avait donné lieu à la révocation des fonctions d’un procureur du parquet lituanien.

Publicité ciblée : sous quelle forme le consentement est-il suffisant ?

La CJUE estime que la publicité ciblée mise en place par Meta ne peut se fonder sur le consentement que lorsque celui-ci est spécifique au type de traitement concerné.

Clarification on the qualification of a processing, a processor, a controller and the associated responsibility

The preliminary ruling from May 4, 2023, is a welcome clarification of different articles of the GDPR, the European Court of Justice being given an opportunity to bring valuable information on the interpretation of the notions of processing, controller and processor, as well as the application of the mechanism of administrative fines provided by the art. 83.

Des données personnelles pseudonymisées transférées à un tiers deviennent-elles anonymes ?

La notion de données personnelles est aussi importante que ses contours sont débattus. Une récente décision du Tribunal de l’Union européenne (T‑557/20) apporte des éclaircissements importants sur cette notion et son application dans le cadre de transferts de données sous une forme pseudonymisée à un tiers qui ne dispose pas de la clé permettant de déchiffrer les données.

Public Clouds Confédération, la saga continue

Quatre, c’est le nombre d’arrêts rendus dans une même affaire à propos de l’utilisation par l’administration fédérale de services cloud proposés par des fournisseurs étrangers. Aucun de ces arrêts n’a toutefois encore tranché la question au fond. Il faudra pour cela attendre le prochain arrêt du Tribunal administratif fédéral.

Faute présumée du responsable de traitement en cas de cyberattaque

Les questions préjudicielles posées par la Cour suprême administrative bulgare à la CJUE visent à déterminer les conditions dans lesquelles une réparation du préjudice moral peut être obtenue par la personne concernée dont les données ont été publiées sur Internet suite à une cyberattaque.

Écoles closes et clauses d’ouverture

La CJUE estime que le traitement de données personnelles lors de cours à distance relève du champ d’application du RGPD. Elle juge également que l’utilisation d’une clause d’ouverture par un État membre doit respecter les conditions et limites du droit européen, ainsi qu’avoir un contenu propre et spécifique.

Zulässigkeit der Speicherung von Daten aus öffentlichen Registern durch eine Kreditauskunftei unter der DSGVO

Die Speicherung von Daten aus öffentlichen Registern durch eine Kreditauskunftei wie die SCHUFA ist nicht rechtmässig, sobald die fraglichen Daten nach Ablauf der gesetzlichen Speicherfrist aus den öffentlichen Registern gelöscht worden sind. Während der gesetzlichen Speicherfrist kann die parallele Speicherung durch eine Wirtschaftsauskunftei rechtmässig sein …

Collecte et conservation des données restreintes dans le cadre de la prévention contre les abus de marché

Dans une affaire de délits d’initiés, l’Autorité française des marchés financiers a obtenu des données personnelles sur la base de règles nationales imposant aux opérateurs de services de communications électroniques, une obligation de conservation généralisée et indifférenciée de données d’une durée d’une année. La CJUE se prononce sur la compatibilité de ces règles.

Le DPO et ses multiples casquettes face aux conflits d’intérêts

Un DPO ne peut pas se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens d’un traitement de données personnelles. Un conflit d’intérêts ne peut être déterminé qu’au cas par cas sur la base d’une appréciation de l’ensemble des circonstances pertinentes.

Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées

Lorsque des données personnelles sont communiquées à des destinataires, le responsable du traitement doit fournir à la personne concernée, sur sa demande, l’identité des destinataires. Ce n’est que lorsqu’il n’est pas (encore) possible d’identifier ces destinataires que celui-ci peut se limiter à indiquer uniquement les catégories de destinataires.

Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?

Une déléguée à la protection des données recourt contre son licenciement au motif que la résiliation est contraire au droit allemand de la protection des données. L’affaire monte à la Cour de justice de l’Union européenne qui doit déterminer si sa législation interne d’un État membre peut prévoir des conditions plus strictes sur le licenciement du délégué que ce qui est prévu par le RGPD.

Collecte et conservation des données relatives aux pratiques sexuelles d’un donneur de sang potentiel en violation de la CEDH

Les données reflétant l’orientation sexuelle, collectées et conservées dans un but de sécurité transfusionnelle doivent êtres exactes, mises à jour, adéquates, pertinentes et non excessives par rapport aux finalités du traitement. Leur durée de conservation ne doit pas excéder celle qui est nécessaire.

Pas de qualité pour recourir d’un canton dans un litige lié au principe de transparence

Le Tribunal fédéral estime que le Conseil d’État de Schaffhouse ne disposait pas de la qualité pour recourir contre une décision permettant la consultation de ses dossiers. Ce dernier ne remplit pas les critères établis par la jurisprudence permettant aux collectivités publiques de recourir sur la base de l’art. 89 LTF.

Protection des données et archivage : la fin de la quadrature du cercle ?

Tandis que la législation sur la protection des données exige la suppression des données personnelles qui ne sont plus nécessaires au regard des finalités du traitement, celle sur l’archivage demande, au contraire, qu’elles soient conservées en faveur des générations futures. Comment concilier dès lors ces deux principes ?

Relations contractuelles et notion de responsabilité du traitement

Le Tribunal administratif fédéral d’Autriche estime à raison que les relations contractuelles ne sont pas décisives pour établir la notion de responsabilité du traitement.

Déréférencement d’un contenu inexact et charge de la preuve

La personne qui fait une demande de déréférencement doit établir l’inexactitude manifeste des informations. S’il y parvient, le moteur de recherche doit supprimer le contenu de la recherche. La mise en balance à effectuer lors de la réception d’une telle demande diffère toutefois lorsqu’il est question de supprimer un résultat d’une recherche d’image.

Garantie contractuelle de confidentialité et principe de transparence

L’autorité doit adopter une pratique restrictive quand elle garantit la confidentialité d’un document officiel. Elle risque sinon de vider de son sens le principe de la transparence. Le principe de transparence primeet une clause de confidentialité ne saurait y déroger.

Transmissions de données sensibles entre assureurs LAMal et LCA d’un même groupe

Nonobstant l’organisation commune de deux assureurs appartenant à un même groupe, un assureur-maladie social fournissant des prestations au sens de la LAMal ne peut se voir imputer la connaissance de données sensibles relatives à l’un.e de ses assuré.e.s, recueillies par un assureur complémentaire privé soumis à la LCA, à moins que l’assuré.e …

Un licenciement fondé sur les données GPS conforme à la CEDH ?

L’art. 8 CEDH est respecté lorsque l’employeur se fonde sur les données d’un GPS pour licencier un employé qui indiquait de faux kilométrages parcourus avec sa voiture de fonction, alors qu’il savait que sa voiture contenait un GPS.

Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?

Les sujets traités lors d’une séance d’un exécutif communal vaudois sont des « informations » (art. 8 al. 1 LInfo) publiques. La sollicitation de ces celles-ci pour un mois déterminé est suffisamment précise pour permettre l’identification des documents concernés qui, au besoin, doivent être adaptés. Il peut s’agir des ordres du jour des séances de l’exécutif qui, en principe, ne sont pas des documents internes (art. 9 al. 2 LInfo) ou d’une liste ad hoc.

Documents officiels et données personnelles : la nécessité d’effectuer une double pesée des intérêts

Quelle est la pesée des intérêts in concreto à laquelle doit procéder une autorité saisie d’une demande d’accès à un document officiel contenant des données personnelles ne pouvant être rendues anonymes ? C’est en substance l’un des points que le Tribunal fédéral a dû analyser dans un récent arrêt.

L’exactitude et ses différents degrés

Dans le but de lutter contre la criminalité organisée, le principe d’exactitude est relativisé. Des données personnelles sont qualifiées d’exactes déjà lorsque l’on est en présence de « soupçons fondés ».

La CJUE limite la publicité du registre des bénéficiaires effectifs

Un accès par le grand public au registre des bénéficiaires effectifs viole le droit à la protection de la vie privée et le droit à la protection des données personnelles.

Retrait du consentement : Mesures à prendre

Un abonné de services téléphoniques dont les données figurent dans un annuaire peut s’adresser à n’importe quel responsable du traitement pour retirer son consentement. Le responsable informé devra prendre les mesures nécessaires pour informer les autres responsables de la chaîne auxquels il aurait transmis les données personnelles sur la base de ce consentement.

La transparence, exigence essentielle de la confiance environnementale

Dans le canton du Valais, la qualité de l’eau (spécifiquement dans le Haut-Valais) fait l’objet d’une foultitude d’interrogations, suite notamment à une pollution massive au mercure, interrogations qui ont engendré des procédures diverses. L’arrêt du Tribunal fédéral concerne l’une de ces procédures.

Un « simple mécontentement » n’est pas suffisant pour la réparation d’un dommage moral

Faut-il fixer un seuil à partir duquel des dommages-intérêts peuvent être perçus selon l’art. 82 RGPD ? C’est la question préjudicielle à laquelle l’avocat général Campos Sánchez-Bordona répond en vue de l’arrêt du fond de la CJUE.

Destinataires ou catégories de destinataires ?

La personne concernée par un traitement de données peut-elle contraindre le responsable du traitement à lui communiquer des informations précises sur l’identité des destinataires des données ?

Information préalable aux tiers dont les données sont transmises dans une procédure d’assistance administrative ?

Un tiers à une procédure d’assistance administrative en matière fiscale n’a pas le droit d’être informé avant la transmission de renseignements incluant ses données personnelles. L’art. 4 al. 3 LAAF prévoit expressément la communication de ces données au sens de l’art. 18a al. 4 let. a LPD et constitue donc une base légale spéciale déliant l’organe fédéral de son devoir d’informer.

Un droit d’accès à l’identité du dénonciateur ?

Si la personne dénoncée rend vraisemblable qu’elle a subi un dommage en raison d’une dénonciation, elle peut disposer d’un intérêt prépondérant à se voir communiquer le nom du dénonciateur, en particulier si ce dernier semble avoir agi dans le but de nuire aux intérêts de la personne dénoncée

L’Oberlandesgericht de Karlsruhe confirme la licéité d’un contrat cloud passé entre un organe public et un fournisseur de service américain

La Cour d’appel de Karlsruhe a jugé que le seul fait qu’un fournisseur de services cloud soit une filiale d’un groupe américain soumis aux lois américaines ne suffit pas pour conclure à une violation de la protection des données selon le droit européen.

Vidéosurveillance, preuves illicites et délit de chauffard

Un système de vidéosurveillance privé qui filme une large portion de la route viole la LPD. Les images en découlant constituent donc une preuve illicite recueillie par un particulier. Leur exploitabilité est toutefois admise dans une enquête ouverte pour délit de chauffard (art. 90 al. 3 LCR) dès lors qu’il s’agit d’une infraction grave au sens de l’art. 141 al. 2 CPP.

Pages: 12