Mise en place du Privacy Shield pour la Suisse

Personne n’en a parlé, ou presque. Pourtant, c’est une nouvelle importante pour la protection des données et la transmission à l’étranger (en l’occurrence, vers les Etats-Unis) de données personnelles des citoyens suisses.

Lors de sa séance [du 11 janvier 2017], le Conseil fédéral a pris bonne note de la mise en place de nouvelles conditions pour la transmission des données personnelles de la Suisse vers les États-Unis. Le Privacy Shield remplace l’accord “Safe Harbor” conclu entre la Suisse et les États-Unis, jugé insuffisant par le PFPDT et officiellement abrogé par le Conseil fédéral. Le PFPDT se réjouit de la mise en place de ce nouveau cadre.

continuer la lecture

Pas d'obligation de produire des données pour Facebook Suisse

Dans un arrêt (1B_185/2016) destiné à la publication au recueil officiel des ATF (c’est-à-dire les arrêts principaux), le Tribunal fédéral a jugé que, dans le cadre d’une procédure pénale, Facebook Suisse ne peut être contrainte à produire les données d’un compte Facebook ouvert vraisemblablement depuis la Suisse, si Facebook Suisse n’est pas titulaire des données en question et n’en a pas le contrôle.

Les faits

Le 22 avril 2015, un journaliste belge a déposé une plainte pénale en Suisse contre inconnu. Il indiquait avoir été traité notamment d’antisémite sur la partie publique d’un compte Facebook détenu sous pseudonyme. Le Ministère public vaudois a ouvert une instruction pénale pour calomnie, diffamation et injure. Le 29 juin 2015, le Ministère public a requis de la société Facebook Switzerland Sàrl (ci-après : Facebook Suisse) la production de l’identité du détenteur du compte précité, les adresses IP utilisées pour créer le profil, les logs de connexions et les adresses IP en relation avec ces logs ainsi que le contenu privé du compte, sous la menace des peines prévues à l’art. 292 CP (insoumission à une décision d’une autorité). Après plusieurs relances, Facebook Suisse a indiqué qu’elle ne gérait pas la plateforme, mais seulement le développement du marché publicitaire en Suisse. Par email du 25 août 2015, Facebook Ireland Ltd (Facebook Irlande) a indiqué que l’ordre de production devait être adressé par la voie de l’entraide judiciaire internationale.

Initiation au RGPD (3) : consentement

Suite aux deux premiers articles sur l’élargissement de la notion de donnée personnelle et sur l’application territoriale, passons aux moyens du Règlement européen sur la protection des données personnelles (RGPD) qui permettent aux personnes voulant traiter des données personnelles de justifier ce traitement, et en particulier le consentement.

La directive 95/46

La directive 95/46 (qui sera remplacée par le RGPD) dispose actuellement à son article 7, lettre a, que

le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement.

continuer la lecture

Initiation au RGPD (2) : application territoriale

Après être revenu sur l’élargissement de la notion de donnée personnelle sur le précédent article, je vous propose de nous pencher sur l’application territoriale du Règlement européen sur la protection des données personnelles (RGPD).

En résumé, il faut savoir que le RGPD étendra le champ d’application du droit européen de la protection des données. Non seulement les responsables de traitement basés dans l’UE seront concernées par le RGPD, mais surtout, même s’ils ne sont pas basés dans l’UE, les sous-traitants des données mandatés par les responsables seront également concernés.

Initiation au GDPR (1) : introduction et notion de donnée personnelle

Le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (que j’appellerai par son abréviation anglaise, GDPR, vu son titre français un peu ronflant) a été publié le 4 mai 2016 au journal officiel de l’UE et est entré en vigueur le 24 mai 2016. Il sera applicable à partir du 25 mai 2018. (Vers le texte du règlement.)