Contours des notions de « responsables de traitement conjoints » et de « sous-traitant » La demande de décision préjudicielle porte sur l’interprétation des notions de « responsables conjoints » et de « sous-traitant » (art. 4 points 2 et 7 et art. 26 par. 1 RGPD) ainsi que des conditions pour admettre l’imposition d’une amende administrative aux « responsables de traitement » (art. 83 par. 1 RGPD). Extraterritorial Scope of EU Digital Strategy The new regulations of the EU digital strategy, above all the AI Act, Digital Services Act, Data Act and Digital Markets Act, may also impact companies outside the EEA. Swiss companies, in particular, need to prepare for compliance. The flowcharts attached to this article will help guide you through the process. Économiser sur le DPO a un prix Le DPO, même désigné pour un groupe d’entreprises, doit être associé précocement aux questions relatives à la protection des données personnelles et doit disposer des ressources nécessaires à l’exercice de ses fonctions. Recension : Consentement aux traitements de données en cabinet médical Frédéric Erard/Livio di Tria, Consentement aux traitements de données en cabinet médical. Ni libre, ni éclairé, ni nécessaire ? Jusletter 23 septembre 2024. Disponible à cette adresse. Swissprivacy x Jusletter L’équipe de Swissprivacy a le plaisir d’annoncer son partenariat avec la Jusletter pour son édition spéciale « Protection des données ». Usage de l’intelligence artificielle dans un call center L’Autorité de protection des données danoise s’est penchée sur le cas de l’utilisation d’un logiciel d’IA pour enregistrer et retranscrire les conversations téléphoniques d’une assurance avec ses assurés. Si l’usage d’un tel logiciel est autorisé, un soin particulier doit être accordé à la récolte du consentement de la personne concernée. Dark patterns : wait & see Le Conseil fédéral a présenté son rapport « Dark patterns. Documenter la nébuleuse ». La présente contribution a vocation à en restituer les grandes lignes sous l’angle de la LPD et offre un survol de la pratique relative aux dark patterns dans le cadre des bannières cookies au sein de l’Union européenne, ainsi qu’un aperçu de la situation outre-Atlantique. L’accès aux données personnelles, et c’est tout ? La personne concernée n’a pas le droit d’accéder à la copie des documents dans lesquels ses données personnelles sont contenues, la transmission d’un tableau récapitulatif étant en principe suffisante. Dans des circonstances exceptionnelles, un accès aux documents peut néanmoins être octroyé. 31e Rapport d’activités du PFPDT – Un survol (Partie 1 : Protection des données) Le 31e rapport annuel du PFPDT permet de plonger dans les activités de cette autorité, de passer en revue les différentes décisions importantes rendues ainsi que les travaux effectués. Data Privacy Framework À l’occasion d’un communiqué de presse publié le 14 août 2024, le Conseil fédéral a approuvé le Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF) et arrêté son en vigueur au 15 septembre 2024. Selon cette décision, les entreprises américaines participant au Swiss‑U.S. DPF garantissent un niveau adéquat de protection des données en vertu de la LPD, de sorte que les données personnelles peuvent être transférées aux entreprises américaines participantes sans avoir à conclure de clauses contractuelles types adoptées par la Commission Européenne (SCC) et sans qu’il soit nécessaire de procéder à une analyse d’impact du transfert de données. Cher réseau, … La Cour de justice du canton de Genève a ordonné à une ex-employée de modifier les informations relatives à un ancien poste figurant sur son profil LinkedIn. Quand des buzzwords conduisent à une fraude à l’investissement L’action intentée par la SEC contre Ilit Raz de Joonko Diversity Inc. démontre que l’utilisation trompeuse de buzzwords comme « intelligence artificielle » pour lever des fonds peut entraîner des poursuites. Obtenir l’effacement de données d’une plateforme d’évaluation, plus difficile qu’il n’y paraît Le droit général à l’effacement des données d’une personne morale, de même que la suppression de certains commentaires négatifs sur une plateforme d’évaluation, supposent la prise en compte de l’ensemble des intérêts en présence, en particulier l’intérêt des consommateurs à l’information. Mauvaise utilisation du pixel Meta : fuite de données bancaires et lourde amende pour une banque Pixel Meta : l’autorité suédoise de protection des données (IMY) sanctionne une banque pour une fuite de données bancaires causée par la mauvaise configuration du pixel Metal sur son site web et application d’e‑banking. La protection des données au secours de l’ayant droit économique Le RGPD protège aussi les données bancaires de personnes morales lorsque l’ayant droit économique s’oppose au transfert des données au Department of Justice. Les données de géolocalisation des agents de police genevoise : pas de conservation au-delà de 24 heures Un logiciel qui permet de conserver les données de géolocalisations de policiers en service pendant 100 jours n’est pas conforme aux exigences de restrictions des droits fondamentaux (art. 36 Cst). Les résultats et les suites de l’enquête administrative dans l’affaire Xplain L’affaire Xplain a mis en évidence toutes les difficultés liées à la gestion d’un projet informatique complexe mené entre différents acteurs publics et privés. Plusieurs leçons ont pu être tirées pouvant certainement s’appliquer à d’autres situations comparables, quels que soient les acteurs concernés. Tour d’horizon des erreurs commises et des mesures ayant été prises WHO Guidelines on AI in Health : Impacts on privacy and regulatory considerations The WHO released various guidelines and recommendations regarding the use of artificial intelligence for health. Among the covered topics, data protection is regularly addressed. These aspects will be developed in this contribution. Un communiqué de presse pas si anonyme que ça…. L’entité qui publie un communiqué de presse sur une personne non nommée divulgue néanmoins des données personnelles si cette personne peut être identifiée par des informations supplémentaires, à condition que cet appariement de données constitue un « moyen susceptible d’être raisonnablement mis en œuvre ». Vente aux enchères de données personnelles à des fins publicitaires et respect du RGPD La CJUE retient qu’une chaîne composée d’une combinaison de lettres et de caractères qui capte les préférences des utilisateurs est une donnée personnelle au sens du RGPD. La nouvelle identité électronique étatique suisse Après avoir été rejetée aux urnes le 7 mars 2021, la réglementation sur l’identité électronique renaît de ses cendres avec une nouvelle approche qui donne le rôle principal à l’État comme exploitant d’une infrastructure de confiance et comme émetteur de l’e‑ID. La nouvelle infrastructure permet également aux acteurs publics et privé d’émettre d’autres justificatifs électroniques. Le nouveau projet de loi est actuellement entre les mains du Parlement fédéral. Le secteur du cloud computing au prisme du droit de la concurrence Le secteur du cloud computing soulève des préoccupations en matière de droit de la concurrence. En 2023, deux études menées par les autorités françaises et anglaises ont mis en évidence certaines pratiques jugées problématiques des fournisseurs de services cloud. Pas de transparence sur la solidarité fiscale entre époux Le Tribunal fédéral valide le rejet de deux demandes d’informations qui occasionnent une charge de travail manifestement disproportionnée. En particulier, il est reproché aux demanderesses d’avoir allégué, sans l’avoir étayé, qu’un logiciel permet d’identifier les documents pertinents. Enquête contre Digitec Galaxus : les recommandations du Préposé sont justifiables, mais sont-elles justes ? Le Préposé estime que l’obligation d’ouvrir un compte client pour procéder à un achat viole le principe de proportionnalité et recommande à Digitec Galaxus plusieurs modifications de sa déclaration de protection des données. La présente contribution analyse les différentes recommandations du Préposé d’un œil critique et tire des enseignements à la lumière de la nouvelle loi sur la protection des données. Conflits familiaux, family office et LPD : une requête en droit d’accès jugée abusive Le droit d’accès au sens de la LPD est exercé de manière abusive lorsqu’une personne l’invoque à l’encontre d’un family office pour obtenir des informations concernant un trust et la situation financière de son père Je veux y accéder, ça me concerne ! Le Tribunal fédéral a rendu le 6 octobre 2023 une décision (ATF 8C_723/2022) confirmant sa jurisprudence du 19 septembre 2014 (ATF 140 V 464) relative à la finalité du droit d’accès consacré par la LPD. Cette décision nous permet de revenir sur les points d’attention à avoir dans le cadre de la réponse à une demande d’accès ainsi que de comparer ce qui est fait chez nos voisins dans l’UE. Regards croisés sur la Loi 25 : un pas vers la conformité européenne pour le Québec ? L’adoption de la Loi 25 représente un pas significatif vers la conformité européenne en matière de protection des données. Quelles sont les modifications clés introduites par cette réforme ? Le Québec pourrait-il se voir reconnaître une décision d’adéquation de la Commission européenne vis-à-vis du droit européen ? Les systèmes de protection de données au Canada et en Suisse Les approches en matière de protection des données personnelles diffèrent d’un pays à l’autre. Cette étude comparative se penchera sur les subtilités de ces approches, cherchant à répondre à la question centrale suivante : les cadres législatifs canadiens et suisses présentent-ils davantage de similitudes ou de différences ? Le registre des activités de traitement, un outil de pilotage essentiel Pour beaucoup, le registre des activités de traitement n’est autre qu’un inventaire à la Prévert long et fastidieux, que l’on dépoussière de temps à autre, au cas où il viendrait à l’idée d’un régulateur ou d’une autorité de contrôle de venir fouiner. Et pourtant, le registre des activités de traitement constitue une mine d’or s’il est bâti et maintenu correctement et peut même s’avérer être un outil de pilotage précieux, non seulement pour le DPO, mais pour l’organisation tout entière. Lumière donc sur ce dispositif mal aimé de la protection des données. Quel dédommagement pour la photographie d’un rapport médical ? La CJUE se prononce sur la réparation du dommage moral résultant du traitement de données personnelles concernant la santé et met en évidence la présomption de faute de l’art. 82 RGPD. L’accès aux pratiques en matière d’asile : pas de secret Les pratiques en matière d’asile du Secrétariat d’État aux migrations relèvent de la notion de « document officiel » dont l’accès ne peut être légitimement restreint sur la base de simples affirmations suggérant que les exceptions prévues à l’art. 7 LTrans entrent en jeu. « AI Washing » comme un sentiment de déjà-vu La SEC engage les premières poursuites pour « AI washing » contre deux sociétés américaines. Cette affaire nous informe notamment sur les attentes de la SEC en matière de communications promotionnelles en lien avec l’intelligence artificielle. Cette problématique, bien que se déroulant aux États-Unis, peut se présenter en Suisse. Dès lors, il est intéressant d’explorer différentes pistes de réflexion pour lutter contre le « AI washing » en Suisse. Enregistrement de numéros de téléphone : usage et finalités L’enregistrement des numéros de téléphones pour une utilisation secondaire à des fins politiques – et ceci sans le consentement des personnes concernées – viole le principe de légitimité du traitement. Champ d’application technique de la directive ePrivacy : le CEPD présente ses lignes directrices Le Comité européen de la protection des données a présenté son projet de lignes directrices sur l’interprétation du champ d’application de l’art. 5 par. 3 de la directive ePrivacy. Droit d’accès : les SIG doivent transmettre le contrat de vente d’actions par lequel ils ont acquis les actions d’Ennova SA Ennova SA accomplit des tâches publiques et les actions que les SIG détiennent dans cette société font partie du patrimoine administratif de l’État. Le contrat de vente d’actions par lequel les SIG ont acquis cette participation contient donc des renseignements relatifs à l’accomplissement d’une tâche publique et est donc soumis au droit d’accès institué par la LIPAD. Les amendes du RGPD : la faute est-elle nécessaire pour imposer une sanction ? Dans deux arrêts rendus le même jour, la CJUE se penche sur la marge de manœuvre des États membres pour imposer des amendes administratives ainsi que sur la nécessité d’une violation fautive. La caméra de surveillance a‑t‑elle pris une décision individuelle automatisée ? L’algorithme d’une caméra de surveillance, qui décide lui-même de ne plus notifier les propriétaires d’une maison des mouvements devant leur domicile, ne rend pas de décision individuelle automatisée faute d’effets significatifs. DORA, le règlement européen sur la résilience opérationnelle numérique du secteur financier Nouvelle pierre à l’édifice numérique européen, DORA vise à renforcer la résilience du secteur financier face aux cybermenaces. Il impose la mise en place de mesures pour gérer les risques liés aux TIC, et de préserver la continuité des services en cas d’incident. Levée du secret médical : si l’avocat sait, le client doit aussi savoir L’autorité de levée du secret professionnel peut, après avoir pesé les intérêts en présence, autoriser l’accès au dossier médical d’une personne décédée pour évaluer l’existence de prétentions en responsabilité civile contre l’hôpital. En revanche, l’autorité ne peut pas limiter la levée du secret uniquement en faveur du conseil juridique d’un proche en lui interdisant de communiquer le contenu du dossier médical au proche. Pas de transparence pour l’or importé en Suisse Le secret fiscal constitue une lex specialis au principe de la transparence. Le sous-traitant, entre hantise et maîtrise La gestion des sous-traitants est un sujet complexe et encore trop souvent négligé par les entreprises. Voici trois moments clés de la gestion des sous-traitants qui permettront d’éviter que les sous-traitants deviennent une hantise. E‑ID : quelles implications pour l’État en cas de recours à la blockchain ? Près de 15 ans après l’avènement de la blockchain – qui a ouvert la voie à de nombreux espoirs et spéculations –, cette technologie peut offrir le moyen de concrétiser le nouveau projet d’identité électronique (e‑ID). Cette contribution vise à présenter les raisons qui mènent à envisager cette technologie, mais aussi ses implications pour l’État, sur la base d’une expérimentation menée dans le Canton de Vaud. Le long chemin de la transparence dans le cadre de l’acquisition de Credit Suisse par UBS Le 29 novembre 2023, le PFPDT a publié neuf recommandations sur des demandes d’accès liées à l’acquisition de Credit Suisse par UBS. En substance, l’autorité recommande de différer l’accès aux documents dont la communication pourrait entraîner une entrave importante à la formation de l’opinion et de la volonté de la commission d’enquête parlementaire (CEP), jusqu’à la fin des travaux en cours. Interfaces de programmation applicatives : Recommandations techniques de la CNIL La CNIL publie des recommandations techniques sur l’utilisation des interfaces de programmation applicatives, indiquant les bonnes pratiques à suivre. Une action civile à la suite d’une cyberattaque À la suite d’une cyberattaque ayant touché SolarWinds Corp., la SEC a déposé une action civile contre la société qui aurait trompé les investisseurs sur ses pratiques en matière de cybersécurité. Cette action civile met en évidence, d’une part, les mauvaises pratiques adoptées par la société, et d’autre part, l’importance accrue que la SEC porte sur les informations en matière de cybersécurité que les sociétés publient à l’attention des investisseurs. Adéquation en faveur de la Suisse : la décision tant attendue La Commission rend ses conclusions suite à la réévaluation des décisions d’adéquation rendues sous l’empire de la Directive 95/46/CE, décidant en bloc de l’adéquation de 11 pays, dont la Suisse. Tour d’horizon des derniers développements : match retour Cette contribution tend à retracer les récents développements particulièrement intenses de ces derniers mois, qui ont notamment impacté divers domaines tels que la transparence, la protection des données, la cybersécurité, l’intelligence artificielle et la transformation numérique de la suisse. Courriel sur la réforme des retraites : détournement de finalité et communication à caractère politique selon la CNIL Suite à un courriel adressé aux agents de la fonction publique concernant la réforme des retraites, la CNIL a formulé un rappel à l’ordre contre le Ministère de la Transformation et de la Fonction publique et le Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique. La CNIL leur reproche d’avoir utilisé un fichier administratif à des fins politiques. La CJUE serre la vis au traitement des données par les sociétés de fourniture de renseignements commerciaux La CJUE a rendu deux arrêts de principe sur les activités des sociétés qui fournissent des renseignements commerciaux. Elle juge notamment que ces sociétés ne peuvent pas conserver les données provenant de registres publics plus longtemps que leur durée de publication officielle et que l’attribution d’un score de solvabilité constitue déjà une décision individuelle automatisée. Révision de la loi sur la protection des données du canton de Fribourg Le Grand Conseil du canton de Fribourg a adopté la révision de la Loi sur la protection des données du canton de Fribourg (LPrD) le 12 octobre 2023. La révision s’inspire de la nouvelle loi fédérale, ainsi que de la Convention STE 108 +, du RGPD et de la Directive UE 680/2016. L’objectif de la révision était d’adapter la législation, qui date du 25 novembre 1994, aux développements techniques et sociétaux survenus au cours des 30 dernières années. La LPrD révisée entrera en vigueur le 1er janvier 2024 Souveraineté numérique et Cloud souverain : l’approche concertée des cantons latins Les cantons latins ont entrepris une démarche commune visant à étudier la question de la souveraineté numérique et son impact sur l’utilisation de la technologie Cloud dans les administrations cantonales. Cette contribution fait la synthèse des principaux résultats de ce travail. Fast and furious law enforcement access to digital evidence : The E‑Evidence-package and its implications for Switzerland The recently adopted E‑Evidence package will allow law enforcement authorities in EU member states to directly request data from a service provider in another EU member state. This article provides an overview of the new EU-wide rules and discusses potential implications for Switzerland. Décisions judiciaires cantonales et fédérales : Quelle durée de conservation ? Combien de temps les tribunaux conservent-ils les décisions judiciaires ? Cette contribution a pour but d’exposer sont les durées de conservation de décisions judiciaires prévues dans certains cantons suisses (VD, BE, FR, ZH, GE) et au niveau fédéral. Elle met en lumière des écarts importants sur la précision des bases légales et sur l’interprétation du principe de proportionnalité. Obligation de conservation généralisée et indifférenciée La CJUE a jugé que la législation bulgare était contraire au droit de l’UE, dans la mesure où elle prévoit une obligation pour les fournisseurs de services de communication de conserver de manière généralisée et indifférenciée les données relatives au trafic et des données de localisation, à des fins de lutte préventive contre la criminalité, pendant une durée de 6 mois et sans que la personne concernée ne dispose de droit d’information ou de recours à l’enconte de l’accès auxdites données par les autorités de poursuite pénales. Citius, Altius, Fortius : Des données dopées Quelles sont les implications au niveau de la protection des données d’une publication en ligne de la violation des règles anti-dopage par un athlète ? C’est en substance la question préjudicielle à laquelle l’avocate générale Tamara Ćapeta répond en vue de l’arrêt de fond de la CJUE. Les limites du secret d’affaires – Recommandations du PFPDT en matière de transparence Le PFPDT recommande l’accès complet au rapport d’expertise élaboré par la PostCom au sujet d’une entreprise de livraison, alors que cette dernière refusait les propositions de caviardage, soulevant notamment la protection du secret d’affaires. Rétrospective sur les attaques d’hacktivisme en Suisse Le Centre national pour la cybersécurité (NCSC) publie son rapport semestriel couvrant la période de janvier à juin 2023. Il y traite principalement d’attaques relevant d’hacktivisme et parcourt les différentes annonces reçues et la situation relative aux cybermenaces. Qualification juridique et force exécutoire d’un accord de médiation en matière de transparence La Chambre administrative de la Cour de justice du Canton de Genève retient que l’accord de médication en matière de transparence selon la LIPAD doit être qualifié de contrat de droit administratif et est de ce fait exécutoire. Recension : Première édition du Petit Commentaire de la Loi fédérale sur la protection des données Yaniv Benhamou/Bertil Cottier (édit.), Petit commentaire, Loi fédérale sur la protection des données, Helbing Lichtenhahn, 2023. La licéité du traitement : inapplicabilité des présomptions légales ? Dans le cadre d’une procédure de recouvrement, une mairie a communiqué, à tort, des données personnelles sur la base d’une présomption aisément clarifiable/réfragable, ce qui constitue un traitement illicite selon l’Autorité de protection des données d’Andalousie. Pages : 123456Load More