- Tout
- Apple
- ATF
- Blog
- Cybersecurité
- Divers
- Droit pénal et procédure pénale
- Humeur
- Informatique
- Jurisprudence
- Langue
- Liens
- Localisation
- Logiciel
- LPD
- Médias
- Microsoft
- PFPDT
- Protection des données
- Publications
- Renseignement
- RGPD
- Skype
- Sphère privée
- Suisse
- Surveillance
- Technique
- Téléchargement
- Téléphonie
- UE
- USA
- Vidéosurveillance
InformatiqueProtection des donnéesPublicationsSuisse
Publications: La cybersécurité: entre autonomie et soutien étatique
Dans le cadre du projet de recherche L’éthique et le droit pour promouvoir la confiance en la cybersécurité, j’ai eu le plaisir de publier un article (avec Melanie Knieps, Pauline Meyer et Markus Christen) dans la revue juridique et politique Plaidoyer 4/2023 présentant et analysant une enquête sur la position d’experts sur l’implication des différentes parties prenantes en matière de cybersécurité, et plus particulière sous l’angle des conséquences de la transformation du Centre national pour la cybersécurité (NCSC) en office fédéral. « La cybersécurité: entre autonomie et soutien étatique » est déjà librement accessible, quelques semaines après sa publication en version imprimée. Toutes les publications sont disponibles sur la page publications.
10 août 2023
Protection des donnéesPublicationsSphère privéeSuisse
Publications: la nouvelle LPD: des principes, des droits et des obligations
La contribution «La (nouvelle) Loi fédérale sur la protection des données du 25 septembre 2020 : des principes, des droits et des obligations» est le premier chapitre du livre Die Revision des Datenschutzgesetzes des Bundes / La révision de la Loi fédérale sur la protection des donnée édité par Astrid Epiney, Sophie Moser et Sophia Rovelli dans le prolongement de la quatorzième Journée suisse du droit de la protection des données 2021 organisée à l’Université de Fribourg. J’y aborde en détail la nouvelle Loi fédérale sur la protection des données qui entrera en vigueur le 1er septembre 2023, tant sous l’angle de ses principes, que des droits des personnes concernées et des obligations de celui qui traite des données personnelles. Le champ d’application de la loi comme les conséquences d’un traitement illicite sont aussi traités. Ma contribution est désormais disponible est libre accès et l’ouvrage entier peut être acheté en librairie. Toutes les publications sont disponibles sur la page publications.
1 février 2023
CybersecuritéDroit pénal et procédure pénaleInformatiqueProtection des donnéesPublicationsRenseignementSuisseTechnique
Publications: Computer security incident response teams: are they legally regulated? The Swiss example
Dans le cadre du projet «Promouvoir la confiance dans la cybersécurité par l’éthique et le droit» soutenu par le FNS, j’ai co-rédigé avec Pauline Meyer «Computer security incident response teams: are they legally regulated? The Swiss example», un article qui vient d’être publié en libre accès dans la International Cybersecurity Law Review. Les équipes de réponse aux incidents de sécurité informatique (Computer Security Incident Response Teams, CSIRT) ou les équipes de réponse aux urgences informatiques (Computer Emergency Response Teams, CERT) sont un élément fondamental dans la gestion des cyberincidents et sont de plus en plus fréquents dans des entreprises comme les infrastructures critiques. Ces équipes ont des compétences et des structures très variées. Dans cette contribution et en prenant l’exemple de la Suisse, nous avons cherché à analyser dans quelle mesure leur activité est juridiquement réglementée. Si les CSIRT privés sont très peu régulés, il serait pourtant important que la loi les prévoit explicitement pour les infrastructures critiques et impose des processus et des rôles clairs dans les mesures préventives et réactives assurant la gestion des cyberincidents, soit de manière sectorielle, soit globalement pour toutes les infrastructures critiques. Quant au CERT fédéral (GovCERT), son cadre juridique commence seulement à se dessiner. Sa présence est pourtant indispensable à la bonne gestion des incidents d’importance nationale. La révision en cours de la Loi sur la sécurité de l’information (LSI) est une bonne étape pour légitimer le GovCERT dans le traitement des cyberincidents et le partage d’informations, mais des améliorations sont encore nécessaires. Toutes les publications sont disponibles sur la page publications.
22 novembre 2022
InformatiqueLogicielProtection des donnéesPublicationsSuisseSurveillanceTechnique
Publications: Loi fédérale sur la sécurité de l’information, version 2.0
J’ai le plaisir d’avoir co-écrit avec Pauline Meyer «Loi fédérale sur la sécurité de l’information: version 2.0», un article qui est paru dans la Jusletter du 5 septembre 2022. Cet article analyse la Loi fédérale sur la sécurité de l’information (LSI) et, plus particulièrement, les conséquences de l’obligation de signaler les cyberattaques pour les organisations qui y seront soumises. La LSI, qui fait déjà l’objet de modifications avant son entrée en vigueur, servira de cadre légal pour assurer des traitements sécurisés de l’information, principalement au sein de l’administration fédérale. Elle servira également de base légale pour l’activité du Centre national pour la cybersécurité (NCSC) et prévoira une obligation de signaler les cyberattaques visant les infrastructures critiques. Cet article a été publié dans le cadre du projet «Promouvoir la confiance dans la cybersécurité par l’éthique et le droit» soutenu par le FNS. Toutes les publications sont disponibles sur la page publications.
12 septembre 2022
Protection des donnéesSphère privéeSuisse
Adoption de l’OPDo et confirmation de l’entrée en vigueur de la nLPD
Comme cela était attendu, le Conseil fédéral a adopté les projets d’Ordonnance sur la protection des données (OPDo) et d’Ordonnance sur les certifications en matière de protection des données (OCPD) Plus rien ne s’oppose donc à l’entrée en vigueur de la Loi sur la protection des données révisée (nLPD) le 1er septembre 2023. Le Conseil fédéral a en effet souhaité laisser encore un peu de temps aux petites et moyennes entreprises pour se mettre en conformité. De l’OLPD à l’OPDo L’OPDo concrétise la nLPD, en précisant certains éléments. Plusieurs aspects
2 septembre 2022
GoogleInformatiqueMicrosoftProtection des donnéesSphère privéeSuisseUE
L’utilisation de Microsoft 365, illégale en Suisse ?
Dans une prise de position du 13 mai 2022 (publiée le 13 juin 2022), le Préposé fédéral à la protection des données et à la transparence (PFPDT) considère qu’un organe fédéral ne peut pas, dans le respect du droit applicable, utiliser les services cloud Microsoft 365. Au-delà de l’avis donné à la SUVA, la position du PFPDT rend impossible le recours à la plupart des services cloud disponibles sur le marché tant pour les privés que les organes fédéraux.
17 juin 2022
Protection des donnéesPublicationsSphère privéeSuisse
Publications: le droit d’accès
Le droit d’accès est un livre que j’ai eu le plaisir de publier au printemps 2021 et qui est maintenant disponible en intégralité en libre accès. La première partie traite du droit d’accès à ses données personnelles, sous l’angle théorique et pratique. On y découvre les droits des personnes concernées, les obligations du responsable du traitement, ainsi que de nombreux conseils pratiques sur la meilleure manière de traiter une demande. La seconde partie concerne le droit d’accès aux documents officiels et aux informations en main de l’administration, y compris les droits étendus garantis par la Convention d’Aarhus en matière d’environnement. Ici aussi, tant les aspects théoriques que pratiques sont abordés du point de vue du demandeur et du débiteur de l’information.
25 mars 2022
Droit pénal et procédure pénaleHumeurInformatiqueLocalisationLogicielProtection des donnéesRenseignementSphère privéeSuisseSurveillanceTechniqueTéléchargementUE
Protection des données, n’est-ce pas le moment de tirer la prise ?
Le Contrôleur européen de la protection des données (Contrôleur), soit l’autorité indépendante chargée de la protection des données des données personnelles traitées par les institutions et organes de l’Union européenne (UE), vient de lancer un cri d’alarme sur les risques sans précédents que représentent certains outils de surveillance et l’atteinte portée à l’essence même du droit à la sphère privée. Dans ses Remarques préliminaires sur les logiciels espions modernes, il demande l’interdiction du développement et de l’utilisation de logiciels avec des capacités similaires à Pegasus.
18 février 2022
BlogDiversLPDProtection des donnéesPublicationsSuisse
L’heure du bilan (mais pas de la fin)
La fin de l’année 2021 approche et mes billets de blog ont été bien moins nombreux cette année que les précédentes. Lorsque j’ai commencé il y a 11 ans, il y avait très peu de blogs juridiques et les médias ne s’intéressaient pas encore beaucoup aux enjeux numériques. De plus, j’étais visiting scholar à l’Université de Californie à Berkeley et consacrais l’essentiel de mon temps à des activités de recherches personnelles. D’autres sites Depuis la situation a bien changé
17 décembre 2021
JurisprudenceLocalisationLPDPFPDTProtection des donnéesSphère privéeSuisseSurveillance
SocialPass: les recommandations du PFPDT confirment de graves lacunes
Le but n’est pas de s’acharner sur l’application SocialPass, mais pour une fois que le Préposé fédéral à la protection des données et à la transparence (PFPDT) publie des recommandations en matière de protection des données, il est nécessaire de les examiner en détail. Elles devraient aussi permettre d’amener un peu de clarté dans un processus qui est resté opaque depuis de nombreux mois, même s’il est imposé à de nombreux clients de restaurants. Je me concentrerai principalement sur les questions juridiques, même si le rapport mentionne un certain nombre de risques techniques, des lacunes d’organisation et des difficultés importantes pour le PFPDT à obtenir des réponses à ses demandes. En bref Le PFPDT a identifié de nombreuses lacunes et émis dix recommandations (acceptées en partie seulement par les sociétés concernées). Le PFPDT peut maintenant porter l’affaire devant le Tribunal administratif fédéral pour rendre ses recommandations contraignantes. L’établissement des faits a d’abord révélé des déficiences organisationnelles et techniques. Il a ensuite confirmé que les exploitants du SocialPass ont accordé aux autorités sanitaires des cantons de Vaud et du Valais un accès direct à la banque de données centrale, leur permettant ainsi d’effectuer des recherches ciblées à discrétion, ce qui contrevient au principe de proportionnalité. D’autres recommandations concernent l’exhaustivité des informations fournies aux utilisateurs, l’exportation de numéros de téléphone vers les USA en vue de leur vérification et la configuration de la plateforme Microsoft Azure sur laquelle se trouve la banque de données centralisée. Pourquoi des recommandations ?
20 août 2021