Parution de mon guide pratique sur la protection des données en entreprise

Chers tous,

Après deux ans d’écriture acharnée et plusieurs mois de correction, relecture et mise en page, mon guide pratique de la protection des données est enfin sorti de presse. Il est disponible en librairie (Payot, lelivre.ch, Librophoros notamment) ou chez mon éditeur.

Pour découvrir ce qu’il contient, la table des matières est accessible à cette adresse.

Vous en trouverez une recension chez mes collègues de Swiss Privacy Law.

Je vous souhaite une excellente lecture et un bel été !

François

Le DPO et ses multiples casquettes face aux conflits d’intérêts

Par ce très court billet, j’aimerais annoncer la publication chez Swiss Privacy Law d’un article sur le rôle de DPO et les conflits d’intérêts, suite à l’arrêt C‑453/21 du 9 février 2023 de la CJUE.

Aussi, mon guide pratique sur la protection des données en entreprise paraitra au mois de mai 2023. Il peut être commandé ici et les annexes qui l’accompagneront seront disponibles ici.

CJUE : lors d'une demande d'accès, l'identité des destinataires des données doit être révélée

Petit coup de tonnerre cette semaine dans le monde (européen) de la protection des données. Dans l’affaire C-154/21, la CJUE a décidé que

le droit d’accès de la personne concernée aux données [personnelles] la concernant […] implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, […] auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

continuer la lecture

Laux Lawyers publie un avis de droit sur l'utilisation du cloud public par la ville de Zurich

L’étude Laux Lawyers AG basée à Zurich a publié récemment l’avis de droit qu’elle a réalisé à l’intention de la ville de Zurich. Cet avis de droit analyse dans le détail (et en allemand) la légalité de l’utilisation de services cloud public par la ville de Zurich et, plus généralement, par des administrations communales, cantonales et fédérales.

L’avis de droit devait répondre en particulier à cinq questions :

1. Une unité organisationnelle de la ville de Zurich peut-elle utiliser des services de cloud public ?
2. Est-ce possible également pour les informations nécessitant une protection particulière (informations confidentielles ou strictement confidentielles) ?
3. L’analyse change-t-elle en fonction de la juridiction à laquelle le fournisseur de services cloud ou l’une des sociétés de son groupe est soumis (siège à l’étranger, notamment aux États-Unis) ?
4. L’analyse varie-t-elle en fonction du lieu où les données stockées dans les services de cloud public sont conservées (Data at Rest) (localisation des données en Suisse ou à l’étranger, notamment aux États-Unis) ?
5. L’analyse est-elle différente selon que les données stockées dans les services de cloud public sont accessibles ou non à des personnes résidant à l’étranger (notamment aux États-Unis) ?

Les conclusions de l’avis de droit, (qui ont été publiées sur le site web de l’étude, sont les suivantes¹.

La débâcle ProtonMail qui n'a pas lieu d'être

Depuis quelques jours, on ne parle que de ça dans le milieu. ProtonMail a enregistré les adresses IP d’utilisateurs alors qu’ils avaient promis de ne pas le faire. C’est ainsi que d’aucuns présentent les choses, de manière très réductrice et en omettant complètement les causes de cette collecte des adresses IP.

Tentons de remettre l’église au milieu du village, malgré les informations limitées disponibles.

Les promesses de ProtonMail

ProtonMail a vanté l’anonymat (et la sécurité) de son service, notamment en indiquant qu’il n’est pas nécessaire de fournir une quelconque donnée personnelle pour ouvrir un compte et que les adresses IP ne sont pas journalisées par défaut.