La réglementation sur la protection des données est-elle futile ?

2018 a été un tournant en Europe et dans le monde dans le domaine de la sphère privée et de la protection des données. L’application du RGPD en mai a provoqué un vent de panique dans les milieux économiques, similaire à un krack boursier (toutes proportions gardées). Tout le monde ne parlait que de ça. Un temps entretenu par des experts, des articles et autres allocutions qui rappelaient à qui voulait l’entendre les importants risques financiers encourus en cas de violation, le soufflé a fini par retomber. Désormais, ce sont les autorités de protection des données des États membres de l’UE et la CJUE qui tiennent le monde en haleine respectivement avec les sanctions (comme celle de Google) et les interprétations des textes de loi.

Swiss Data Forum : la protection des données est-elle un frein à l’innovation ?

Le Swiss Data Forum est une journée d’échanges organisée par Trivadis SA et qui a pour objectif de présenter des exemples de valorisation des données, de parler des bonnes pratiques et de partager les questionnements sur les données et leur exploitation.

Ce forum propose des keynotes, des tables thématiques sur des sujets divers en lien avec les données, et une table ronde à laquelle je participerai. Il se déroulera le 27 novembre 2018 toute la journée à l’hôtel Aquatis à Lausanne.

Why do you trust Facebook with your data ?

Facebook has had its third security issue since June 2018 and no one besides privacy professionals seems to care. Last Friday Facebook announced that hackers were able to access the personal data stored in 50 million Facebook accounts.

According to Facebook’s statement, the attackers

exploited a vulnerability in Facebook’s code that impacted ‘View As’, a feature that lets people see what their own profile looks like to someone else. This allowed them to steal Facebook access tokens which they could then use to take over people’s accounts. Access tokens are the equivalent of digital keys that keep people logged in to Facebook so they don’t need to re-enter their password every time they use the app.

continuer la lecture

[Conférence] Cloud computing et RGPD

Lundi 11 juin 2018, de 13h45 à 17h45, à la Maison de la Communication à Lausanne, aura lieu une conférence sur le thème “Cloud Computing sous les auspices du nouveau RGPD” organisée par la Licencing Executive Society (LES-CH).

Les personnes suivantes s’exprimeront sur un thème :

1. le Préposé fédéral suppléant à la protection des données | RGPD et nouvelle LPD
2. le Chief Information Security Officer de la Banque cantonale vaudoise | Cloud computing et criminalité dans le domaine bancaire
3. le Head of Cloud Solutions de Swisscom | Cloud computing et protection des données dans les télécommunications
4. le directeur juridique de Genomic Health International Sàrl | Cloud computing et protection des données dans les sciences de la vie
5. le CEO de ZENData Sàrl | Cloud computing et protection des données dans la cybersécurité
6. la DPO de MSC Cruises SA | Le rôle du DPO
7. et moi-même | Le rôle du DPO

Le flyer et le bulletin d’inscription peuvent être téléchargés ici.

Deux contributions à paraître : DPO et Facebook

Il y a un an, j’ai donné un atelier à la Journée suisse du droit de la protection des données sur le thème des réseaux sociaux. Cet atelier se voulait didactique et “technique”, dans le sens où j’ai montré notamment comment fonctionne la collecte de données personnelles, comment il est possible de nous identifier et nous suivre sur le web sans utiliser de cookies, et comment on peut déduire des informations sur une personne grâce à des données complètement banales.

Salon SITB : témoignage sur la mise en conformité au RGPD

Mercredi 25 avril, à 15h00, au Salon Swiss IT Business (SITB) à Palexpo Genève, je serai en compagnie de mon ami Sébastien Fanti pour évoquer entre autres l’épineuse question du RGPD.

Le sujet de la keynote s’intitule RGPD & LPD, êtes-vous prêts ? Fondamentaux et témoignage d’une mise en oeuvre dans une grande société Suisse.

Sébastien Fanti se chargera de la partie sur les fondamentaux en matière de LPD et de RGPD, puis nous échangerons sur la mise en pratique du RGPD au sein d’une grande société suisse dont je suis le Data Protection Officer (DPO).

Un droit de propriété sur nos données ? Fausse bonne idée.

Le 15 mars 2018, Fathi Derder (conseiller national PLR) a déposé une initiative parlementaire ayant pour titre “Nos données nous appartiennent”. Pour rappel, une initiative parlementaire consiste à déposer un projet d’acte ou ses grandes lignes. Les travaux législatifs sont ensuite menés par une commission du Conseil national ou du Conseil des Etats.

Cette initiative parlementaire vise à modifier l’art. 13 de la Constitution fédérale, dont le texte actuel est

Al. 1 - Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.

continuer la lecture

Nous sommes soucieux de notre vie privée, et pourtant nous utilisons Facebook

Je me suis souvent posé la question. Pourquoi ai-je (encore) un compte Facebook ? Ou Google, Twitter, LinkedIn, Instagram ? Avec mes positions en matière de protection de la sphère privée, la question semble légitime. Et je m’étonne qu’on ne me l’ait pas encore posée. A croire que cela n’interpelle personne qu’on puisse critiquer les GAFAM, militer pour une meilleure protection des données, et utiliser les services desdits GAFAM.

La première réponse à cette question est la suivante : il faut connaître son ennemi. Oh, les GAFAM ne sont pas vraiment mes ennemis, mais plutôt des sociétés qui me font m’interroger sur leurs rôles et responsabilités (trop ?) importants dans notre société numérique. Et quoi de mieux que d’utiliser leurs services pour voir de l’intérieur quels sont leurs fonctionnements, comment elles appliquent le droit et les conditions générales auxquelles elles nous soumettent.

CLOUD Act : l'hébergement des données "en Suisse" n'est plus suffisant

En début d’année, la Cour Suprême des Etats-Unis a tenu audience pour entendre les arguments des parties dans l’affaire United States v. Microsoft. La Cour était amenée à trancher la question de savoir si des autorités peuvent forcer des sociétés privées américaines à fournir des données qui sont détenues par lesdites sociétés mais sont stockées hors des Etats-Unis.

Clarifying Lawful Overseas Use of Data (CLOUD ACT)

Si le passé est utilisé ici, c’est parce que les Etats-Unis viennent d’adopter une nouvelle réglementation, le CLOUD Act (Clarifying Lawful Overseas Use of Data), par le biais d’une procédure accélérée, ce qui signifie très certainement que l’affaire devant la Cour Suprême, qui aurait mené à un débat juridique des plus intéressants, sera rayée du rôle sans être jugée. Certes, la majorité des juges de la Cour sont républicains et peu de juges étaient du côté de Microsoft (qui refusait de se soumettre à un ordre d’un tribunal exigeant qu’il mette à disposition des données stockées à l’étranger). En outre, les juges avaient préalablement estimé que la solution à ce genre de questions devait venir du Congrès et pas de la Cour Suprême. Il n’empêche… On ne s’attendait pas tellement à ce que le CLOUD Act figure parmi les 2232 pages de réglementation sur les dépenses de l’Etat.

Conférence : Impact de l’application du RGPD par l’exemple

L’Association suisse en veille stratégique et intelligence économique (ASVIE) représente et soutient les professionnelles et professionnels exerçant des activités dans l’intelligence économique, les études de marché, l’analyse et la planification stratégique en Suisse.

Le 19 mars 2018, l’ASVIE organise à Genève une conférence sur le thème “Impact de l’application du RGPD par l’exemple”. J’y aurai le plaisir d’y participer en tant qu’orateur, aux côtés de Toomas Kull et d’une autre personne, encore inconnue au moment où j’écris ces lignes.