L'érosion de la vie privée aux USA et en Europe, mais l'ONU veille

Un vote du Congrès a mis à mal la vie privée des internautes américains la semaine passée, et il se pourrait que celle de tous les voyageurs à destination des États-Unis subisse un sort similaire prochainement. Pendant ce temps, l’ONU cherche à la renforcer, et l’Union européenne à l’affaiblir. Résumé et analyse.

L’historique n’est pas à vendre

On a lu tout et son contraire concernant la résolution du Congrès du 28 mars 2017 par laquelle celui-ci a annulé les règles adoptées sous l’administration Obama qui interdisaient aux fournisseurs d’accès internet (FAI) d’utiliser les historiques de connexions de leurs clients à des fins marketing sans leur accord préalable.

Mise en place du Privacy Shield pour la Suisse

Personne n’en a parlé, ou presque. Pourtant, c’est une nouvelle importante pour la protection des données et la transmission à l’étranger (en l’occurrence, vers les Etats-Unis) de données personnelles des citoyens suisses.

Lors de sa séance [du 11 janvier 2017], le Conseil fédéral a pris bonne note de la mise en place de nouvelles conditions pour la transmission des données personnelles de la Suisse vers les États-Unis. Le Privacy Shield remplace l’accord “Safe Harbor” conclu entre la Suisse et les États-Unis, jugé insuffisant par le PFPDT et officiellement abrogé par le Conseil fédéral. Le PFPDT se réjouit de la mise en place de ce nouveau cadre.

continuer la lecture

Pas d'obligation de produire des données pour Facebook Suisse

Dans un arrêt (1B_185/2016) destiné à la publication au recueil officiel des ATF (c’est-à-dire les arrêts principaux), le Tribunal fédéral a jugé que, dans le cadre d’une procédure pénale, Facebook Suisse ne peut être contrainte à produire les données d’un compte Facebook ouvert vraisemblablement depuis la Suisse, si Facebook Suisse n’est pas titulaire des données en question et n’en a pas le contrôle.

Les faits

Le 22 avril 2015, un journaliste belge a déposé une plainte pénale en Suisse contre inconnu. Il indiquait avoir été traité notamment d’antisémite sur la partie publique d’un compte Facebook détenu sous pseudonyme. Le Ministère public vaudois a ouvert une instruction pénale pour calomnie, diffamation et injure. Le 29 juin 2015, le Ministère public a requis de la société Facebook Switzerland Sàrl (ci-après : Facebook Suisse) la production de l’identité du détenteur du compte précité, les adresses IP utilisées pour créer le profil, les logs de connexions et les adresses IP en relation avec ces logs ainsi que le contenu privé du compte, sous la menace des peines prévues à l’art. 292 CP (insoumission à une décision d’une autorité). Après plusieurs relances, Facebook Suisse a indiqué qu’elle ne gérait pas la plateforme, mais seulement le développement du marché publicitaire en Suisse. Par email du 25 août 2015, Facebook Ireland Ltd (Facebook Irlande) a indiqué que l’ordre de production devait être adressé par la voie de l’entraide judiciaire internationale.

Initiation au RGPD (3) : consentement

Suite aux deux premiers articles sur l’élargissement de la notion de donnée personnelle et sur l’application territoriale, passons aux moyens du Règlement européen sur la protection des données personnelles (RGPD) qui permettent aux personnes voulant traiter des données personnelles de justifier ce traitement, et en particulier le consentement.

La directive 95/46

La directive 95/46 (qui sera remplacée par le RGPD) dispose actuellement à son article 7, lettre a, que

le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement.

continuer la lecture

Initiation au RGPD (2) : application territoriale

Après être revenu sur l’élargissement de la notion de donnée personnelle sur le précédent article, je vous propose de nous pencher sur l’application territoriale du Règlement européen sur la protection des données personnelles (RGPD).

En résumé, il faut savoir que le RGPD étendra le champ d’application du droit européen de la protection des données. Non seulement les responsables de traitement basés dans l’UE seront concernées par le RGPD, mais surtout, même s’ils ne sont pas basés dans l’UE, les sous-traitants des données mandatés par les responsables seront également concernés.