Auto-incrimination et notification de violation des données La présente note revisite les fondements de la protection contre l’auto-incrimination ainsi que ceux de la procédure de notification des violations de données pour soutenir que la sanction ainsi prononcée ne procède pas d’une forme d’auto-incrimination. Google : sanction et compétence de la CNIL confirmées par le Conseil d’État Dans une décision prononcée le 4 mars 2021, le Juge des référés du Conseil d’État confirme la sanction infligée par la CNIL à l’égard de Google ainsi que la compétence de cette dernière en matière de cookies et l’inapplicabilité du mécanisme du « guichet unique ». Condamnation de Marriott pour une fuite de données Dans sa Penalty Notice, l’Information Commissioner’s Office anglais sanctionne le groupe hôtelier Marriott pour n’avoir pas pris les mesures de sécurité adéquate (art. 32 RGPD). Ses manquements ont permis à des pirates d’obtenir les données d’environ 339 millions de clients. Secret médical et dénonciations d’infractions pénales : le Tribunal fédéral tranche enfin Après avoir rappelé l’importance de l’institution du secret médical et les conditions strictes auxquelles une disposition légale peut y déroger, le Tribunal fédéral a jugé que le droit sanitaire tessinois qui oblige les soignants à signaler aux autorités pénales toute suspicion de maladie, blessure ou décès lié à une infraction punie d’office est contraire au droit fédéral. Une telle dérogation vide en effet de sa substance l’institution du secret médical. La CJUE limite la surveillance rétroactive à la lutte contre la criminalité grave Le droit de l’Union européenne s’oppose à une réglementation nationale permettant une surveillance rétroactive ou l’accès d’autorités publiques aux données secondaires conservées par les fournisseurs de services de télécommunications électroniques pour toute procédure pénale. Il l’autorise néanmoins pour les procédures concernant la lutte contre la criminalité grave ou la prévention de menaces graves. Carnet de vaccination électronique : la piqûre de rappel du PFPDT À la suite d’une enquête menée par un média alémanique dénonçant une violation de la sécurité des données, le Préposé fédéral a suspendu avec effet immédiat les traitements en lien avec la plateforme www.mesvaccins.ch. Si l’analyse par le PFPDT reste à être conduite, d’autres questions en lien avec le carnet de vaccination électronique subsistent, en particulier son déploiement en Europe comme en Suisse. Le devoir d’informer l’autorité et le principe nemo tenetur Selon l’autorité néerlandaise de protection des données, l’obligation de lui transmettre le rapport d’une fuite de données n’est pas contraire au principe nemo tenetur. La nouvelle loi fédérale sur la protection des données à l’épreuve de l’Internet des Objets Les citoyens sont confrontés à la prolifération exponentielle d’objets connectés prétendant à accéder à leur quotidien avec la promesse de le faciliter. Mais la présence d’une forme de voile technique sur leur fonctionnement intrinsèque les fait demeurer mystérieux et la multiplication effrénée de ces outils amène d’inévitables questionnements sur l’efficacité de la protection de notre sphère privée et intime. Droit d’accès : quelles limites pour l’ancien employé ? L’Autorité belge de protection des données a confirmé le refus d’une entreprise de donner suite à une demande de droit d’accès formulée par un ancien employé et concernant, entres autres, les logs IT et les courriels le concernant. L’Autorité estime qu’une telle communication représenterait pour l’entreprise une charge de travail disproportionnée et violerait son droit à la protection du secret d’affaire. L’Espagne condamnée par la Cour de justice de l’Union européenne pour avoir manqué de transposer la Directive Police-Justice Le 25 février 2021, l’Espagne a été condamnée par la CJUE au paiement d’une somme forfaitaire de € 15 millions et à une astreinte journalière de € 89’000 pour n’avoir toujours pas transposé la Directive Police-Justice. Le Conseil de l’Union européenne arrête sa position concernant le règlement ePrivacy Le 10 février 2021, les États membres du Conseil de l’Union européenne ont approuvé le mandat de négociation en vue de la révision des règles en matière de protection de la vie privée et de la confidentialité dans l’utilisation des services de communications électroniques. Documentation externe et interne aux entreprises en matière de protection de données Les démarches à entreprendre pour respecter le droit de la protection des données sont diverses. Celles-ci peuvent être explicitées dans les nombreux documents qu’exigent aussi bien le droit suisse qu’européen ou qui, sans être obligatoires, sont tout de même souhaitables. Le présent article revient sur les documents les plus importants sous l’empire de la nouvelle Loi sur la protection des données et du RGPD. Pages : 123456Last PageLoad More