Blog

  • Tout
  • Apple
  • ATF
  • Blog
  • Cybersecurité
  • Divers
  • Droit pénal et procédure pénale
  • Facebook
  • Google
  • Humeur
  • Informatique
  • Jurisprudence
  • Langue
  • Liens
  • Localisation
  • Logiciel
  • LPD
  • Médias
  • Microsoft
  • PFPDT
  • Protection des données
  • Publications
  • Renseignement
  • RGPD
  • Skype
  • Sphère privée
  • Suisse
  • Surveillance
  • Technique
  • Téléchargement
  • Téléphonie
  • UE
  • USA
  • Vidéosurveillance
BlogDiversLPDProtection des donnéesPublicationsSuisse

L’heure du bilan (mais pas de la fin)

La fin de l’année 2021 approche et mes billets de blog ont été bien moins nombreux cette année que les précédentes. Lorsque j’ai commencé il y a 11 ans, il y avait très peu de blogs juridiques et les médias ne s’intéressaient pas encore beaucoup aux enjeux numériques. De plus, j’étais visiting scholar à l’Université de Californie à Berkeley et consacrais l’essentiel de mon temps à des activités de recherches personnelles. D’autres sites Depuis la situation a bien changé
JurisprudenceLocalisationLPDPFPDTProtection des donnéesSphère privéeSuisseSurveillance

SocialPass: les recommandations du PFPDT confirment de graves lacunes

Le but n’est pas de s’acharner sur l’application SocialPass, mais pour une fois que le Préposé fédéral à la protection des données et à la transparence (PFPDT) publie des recommandations en matière de protection des données, il est nécessaire de les examiner en détail. Elles devraient aussi permettre d’amener un peu de clarté dans un processus qui est resté opaque depuis de nombreux mois, même s’il est imposé à de nombreux clients de restaurants. Je me concentrerai principalement sur les questions juridiques, même si le rapport mentionne un certain nombre de risques techniques, des lacunes d’organisation et des difficultés importantes pour le PFPDT à obtenir des réponses à ses demandes. En bref Le PFPDT a identifié de nombreuses lacunes et émis dix recommandations (acceptées en partie seulement par les sociétés concernées). Le PFPDT peut maintenant porter l’affaire devant le Tribunal administratif fédéral pour rendre ses recommandations contraignantes. L’établissement des faits a d’abord révélé des déficiences organisationnelles et techniques. Il a ensuite confirmé que les exploitants du SocialPass ont accordé aux autorités sanitaires des cantons de Vaud et du Valais un accès direct à la banque de données centrale, leur permettant ainsi d’effectuer des recherches ciblées à discrétion, ce qui contrevient au principe de proportionnalité. D’autres recommandations concernent l’exhaustivité des informations fournies aux utilisateurs, l’exportation de numéros de téléphone vers les USA en vue de leur vérification et la configuration de la plateforme Microsoft Azure sur laquelle se trouve la banque de données centralisée. Pourquoi des recommandations ?
InformatiqueLPDProtection des donnéesPublicationsSuisse

Publication: annonce des violations de la sécurité des données

J’avais déjà évoqué en 2017 que la révision de la Loi fédérale sur la protection des données introduirait une nouvelle obligation d’annoncer les violations de la sécurité des données. Les conditions et modalités de cette obligation, qui n’entrera pas en vigueur avant la deuxième semestre 2022, sont désormais connues. J’ai publié au début de cette année dans la Revue suisse de droit des affaires et du marché financier «Annonce des violations de la sécurité des données: une nouvelle obligation de la nLPD», un article co-rédigé avec Pauline Meyer qui analyse en détail l’obligation d’annonce du responsable du traitement (dans quels cas et dans quel délai, à qui et avec quel contenu, etc.), l’obligation d’annonce du sous-traitant, ainsi que les sanctions. L’article est désormais disponible en libre accès. Toutes les publications sont disponibles sur la page publications.
Protection des donnéesPublicationsSphère privéeSuisse

Publications: Le traitement de données personnelles sous l’angle de la (nouvelle) Loi fédérale sur la protection des données du 25 septembre 2020

Ces derniers mois, j’ai eu l’occasion de faire de nombreuses présentations de la Loi fédérale sur la protection des données du 25 septembre 2020. Cette loi entièrement révisée remplacera, en principe le 1er janvier 2023, la loi actuelle datant de 1992. Après un long et compliqué processus de révision, elle apportera de nombreuses nouveautés (information systématique, analyse d’impact, annonce des violations de la sécurité des données, profilage à risque élevé, décision individuelle automatisée, protection des données dès la conception et par défaut, droit à la remise des données personnelles, renforcement des amendes pénales et des pouvoirs du préposé). J’ai également publié un long article intitulé «Le traitement de données personnelles sous l’angle de la (nouvelle) Loi fédérale sur la protection des données du 25 septembre 2020» dans la Semaine Judiciaire 2021 II 1ss qui présente en détail les nouvelles obligations et les nouveaux droits. J’ai le plaisir de partager ici cet article et j’en profite pour remercie l’éditeur (la Société genevoise de législation) pour autoriser un partage en open access dès la publication. Finalement, j’ai encore le plaisir de vous annoncer la parution du livre Le droit d’accès publié à la suite du Colloque CEDIDAC du 18 septembre 2020 et dont je suis l’éditeur.  Toutes les publications sont disponibles sur la page publications.
Droit pénal et procédure pénaleSuisse

Statistiques de la cybercriminalité SPC 2020

L’Office fédéral de la statistique vient de publier la Statistique policière de la criminalité (SPC) 2020. C’est la première fois que sont publiées des analyses concernant les infractions ayant une composante numérique, c’est-à-dire commises sur les réseaux de télécommunication. Les infractions sont classées d’abord d’après un mode opératoire, puis une infraction. La SPC a identifié pour l’instant 33 modes répartis dans cinq grands domaines: cybercriminalité économique (24 modes), cyberdélits sexuels (4 modes), cyberatteinte à la réputation et pratiques déloyales (3 modes), darknet (1 mode) et autres (1 mode). La classification est assez complexe,  comme on le voit sur ce schéma: Le domaine de la «cybercriminalité économique» regroupe presque 85% des infractions. La plupart sont des cyberescroqueries qui regroupent des modes opératoires assez variés, allant de la non-livraison sur des sites de petites annonces avec un acheteur abusé» aux abus par des systèmes de paiement en ligne, en passant par les fausses annonces immobilières et les escroqueries sentimentales (romance scam). Le domaine des cyberdélits sexuels représente 10% des cas et les cyberatteintes à la réputation et les pratiques déloyales 5%. En 2020, 24398 infractions ayant une composante de criminalité numérique ont été enregistrées par la police. Il était attendu que certaines sont majoritairement commises sur les réseaux de télécommunication comme la détérioration de données (art. 144bis CP), l’accès indu à un système informatique (art. 143bis CP) ou la soustraction de données (art. 143 CP), 68,0%). En revanche, le fait qu’en matière de pornographie (art. 197 CP) et de blanchiment d’argent (art. 305bis CP) quatre cas sur cinq sont commis en ligne montrent un vrai déplacement de la criminalité. Il en va de même pour les escroqueries (art. 146 CP) commises à 70% en ligne. Ces chiffres sont très intéressants, mais il faut rester prudent, car toutes les infractions ne sont pas ...
PublicationsRGPDSuisse

Publication: RGPD, application territoriale et extraterritoriale

Suite à la Journée suisse du droit de la protection des données 2019, j’ai rédigé avec Annelise Ackermann une contribution intitulée «RGPD: application territoriale et extraterritoriale», qui a été publiée dans l’ouvrage Datenschutzgrundverordnung (DSGVO): Tragweite und erste Erfahrungen / Le règlement général sur la protection des données (RGPD): portée et premières expériences, édité par Astrid Epiney et Sophia Rovelli. Ce texte est maintenant disponible gratuitement en ligne. Il présente le champ d’application matériel et surtout géographique du RGPD (application territoriale et extraterritoriale), mais également les mythes et fausses croyances qui concernent son application, ainsi que les particularités en cas d’application extraterritoriale aux responsables de traitement suisses. Toutes les publications sont disponibles sur la page publications.
InformatiqueLPDProtection des donnéesRGPDSphère privéeTechnique

Protection des données dès la conception (privacy by design)

L’adoption le 20 octobre 2020 par le Comité européen de la protection des données des Lignes directrices 4/2019 sur la protection des données dès la conception et par défaut) est l’occasion de revenir brièvement sur la notion de protection des données dès la conception (« privacy by design »).
Protection des donnéesPublicationsRGPDSphère privéeSuisseUE

Publications: Le RGPD et le sous-traitant suisse

Loin d’être évidente, la question de l’application du Règlement général sur la protection des données (RGPD) aux traitements de données à caractère personnel confiés à un sous-traitant a mené à de nouvelles discussions suite à la publication par le Comité Européen de la Protection des Données (CEPD de la version finale des Lignes directrices 3/2018 sur le champ d’application territorial du RGPD (Article 3). En réalité, ces lignes directrices ont apporté de nouvelles zones d’ombre.
LPDPFPDTProtection des donnéesSphère privéeSuisse

Révision totale de la Loi fédérale sur la protection des données: enfin !

Le Conseil National et le Conseil des États ont adopté aujourd’hui la nouvelle Loi fédérale sur la protection des données (LPD). Le chemin a été long puisque le projet du Conseil fédéral a été présenté le 15 septembre 2017 et que les chambres ont failli ne pas entrer en matière, puis ne pas trouver d’accord. Le texte est maintenant adopté et il faut aller de l’avant. Est-ce que c’est une bonne loi? C’est la question du verre à moitié vide ou à moitié plein. La loi actuelle datait de 1992 (soit avant Internet) et devait être modernisée. Le parlement fédéral avait aussi accepté la Convention 108 révisée du Conseil de l’Europe et la plupart des pays (dont l’UE avec le RGPD) ont ou sont en train de mettre à jour leurs lois. La Suisse disposera désormais d’une loi moderne, qui même si elle n’est pas parfaite, est le résultat d’un compromis politique entre ceux qui veulent des droits pour les citoyens et ceux qui ne veulent pas d’obligations pour les entreprises. Elle reste inférieure à la protection offerte par le droit européen, mais va un peu plus loin que le droit actuelle. Personnellement, je pense que dans l’intérêt des entreprises et des résidents suisses, on aurait pu faire plus. Je regrette en particulier l’absence de sanctions administratives qui donne à la loi un caractère peu dissuasif. Quand est-ce qu’elle entrera en vigueur? L’entrée en vigueur n’est pas immédiate, non seulement parce que comme toute loi elle est soumise au referendum facultatif, mais aussi parce qu’il faut que les ordonnances d’application soient adoptées et que les entreprises puissent s’y adapter. Une mise en consultation (interne puis externe) des ordonnances est attendue pour fin 2020 ou début 2021, et la loi ne devrait donc pas entrer en vigueur avant le 1er janvier ...
Retour en haut