Accord commercial multilatéral négocié de 2006 à 2010 visant à harmoniser les législations nationales sur la lutte contre la contrefaçon et le piratage. Rejeté par le Parlement européen en juillet 2012 en raison de ses atteintes potentielles aux libertés fondamentales sur Internet. La Suisse l’avait signé mais ne l’a jamais ratifié.
AI Act— Règlement (UE) 2024/1689 sur l'intelligence artificielle
Premier cadre réglementaire mondial contraignant dédié à l’IA, adopté par l’Union européenne et entré en vigueur le 1er août 2024. Adopte une approche fondée sur les risques en classifiant les systèmes d’IA en quatre catégories (inacceptable, haut risque, risque limité, risque minimal). Applicable de manière extraterritoriale aux systèmes d’IA mis sur le marché ou en service dans l’UE, y compris lorsqu’ils sont développés ou exploités depuis la Suisse.
AIPD— Analyse d'impact relative à la protection des données
Évaluation préalable obligatoire lorsqu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (art. 35 RGPD ; art. 22 LPD). Doit être réalisée avant la mise en œuvre du traitement et documentée. Connue sous le sigle anglais DPIA (Data Protection Impact Assessment).
ANSSI— Agence nationale de la sécurité des systèmes d'information
Autorité française chargée de la cybersécurité, rattachée au Premier ministre. Publie notamment le référentiel SecNumCloud.
ATF— Arrêts du Tribunal fédéral (recueil officiel)
Recueil officiel des arrêts du Tribunal fédéral suisse destinés à la publication. Un arrêt “publié aux ATF” a valeur de précédent et constitue une source de droit de premier rang en Suisse. Accessible via le site du Tribunal fédéral (www.bger.ch).
Catalogue de critères publié par le Bundesamt für Sicherheit in der Informationstechnik (BSI, Allemagne) pour évaluer la sécurité des fournisseurs de services cloud.
Mécanisme de transfert de données personnelles vers des États tiers ne bénéficiant pas d’une décision d’adéquation, fondé sur des clauses contractuelles standardisées adoptées par la Commission européenne (sous le RGPD) ou approuvées par le PFPDT (sous la LPD). Les CCT constituent l’outil le plus courant pour encadrer les transferts internationaux, notamment vers les États-Unis.
Traité international adopté en 1950 sous l’égide du Conseil de l’Europe, garantissant les droits fondamentaux et libertés publiques, dont le droit au respect de la vie privée et familiale (art. 8 CEDH). La Suisse y est partie. Son application est assurée par la Cour européenne des droits de l’homme (CourEDH), dont les arrêts lient les États membres du Conseil de l’Europe.
Contrat d’adhésion imposé unilatéralement par un prestataire de services (notamment les plateformes numériques) définissant les droits et obligations des parties, en particulier les conditions de traitement des données personnelles. En droit suisse, leur opposabilité est encadrée par le CO et la LCD (règles sur les clauses insolites).
Institution juridictionnelle suprême de l’Union européenne, dont les arrêts en matière de protection des données font jurisprudence pour l’interprétation du RGPD. Bien que ses décisions ne lient pas directement la Suisse, elles influencent l’interprétation de la LPD et la pratique du PFPDT.
CLOUD Act— Clarifying Lawful Overseas Use of Data Act
Loi fédérale américaine adoptée en 2018, autorisant les autorités américaines à exiger d’un fournisseur soumis à leur juridiction la communication de données stockées hors des États-Unis.
CLOUD_Act— Clarifying Lawful Overseas Use of Data Act (loi américaine)
Loi fédérale américaine adoptée en 2018 permettant aux autorités américaines d’enjoindre aux fournisseurs de services établis aux États-Unis de produire des données stockées à l’étranger. Soulève des questions fondamentales de conflit de lois pour les entreprises suisses et européennes recourant à des prestataires cloud américains, notamment au regard du secret bancaire, du secret d’affaires et de la LPD.
CNIL— Commission nationale de l'informatique et des libertés
Autorité française de contrôle indépendante en matière de protection des données personnelles, compétente pour appliquer le RGPD en France. Ses décisions et délibérations font régulièrement l’objet d’une analyse doctrinale en raison de leur portée interprétative pour l’ensemble des droits européen et suisse de la protection des données.
Loi fédérale du 21 décembre 1937 (RS 311.0) constituant le droit pénal matériel commun de la Confédération. Contient notamment les infractions contre le domaine secret ou privé (art. 179 ss CP), les crimes informatiques (art. 143 ss CP) et les infractions à la répression de la pornographie (art. 197 CP).
Règlement européen introduisant des exigences obligatoires de cybersécurité pour les produits comportant des éléments numériques, tout au long de leur cycle de vie. Prévoit notamment des obligations de notification des vulnérabilités exploitées activement et des incidents de sécurité. Applicable à partir de décembre 2027 pour l’essentiel de ses dispositions.
Juridiction internationale siégeant à Strasbourg, compétente pour statuer sur les violations alléguées de la CEDH par les États membres du Conseil de l’Europe. À distinguer de la CJUE, qui est l’institution judiciaire de l’Union européenne. Ses arrêts s’imposent aux États parties, dont la Suisse.
DPO— Data Protection Officer (Délégué à la protection des données)
Fonction désignée par le RGPD (art. 37 ss), obligatoire pour certains responsables du traitement. Le DPO conseille l’organisation, contrôle le respect du RGPD et fait office d’interlocuteur avec l’autorité de contrôle. La LPD suisse ne prévoit pas d’obligation équivalente, mais encourage la désignation d’un conseiller à la protection des données (art. 12 LPD).
EDPB— European Data Protection Board (Comité européen de la protection des données, CEPD)
Organe européen indépendant qui veille à l’application cohérente du RGPD dans l’ensemble de l’UE/EEE. Composé des représentants des autorités nationales de contrôle et du Contrôleur européen de la protection des données. Ses lignes directrices et recommandations constituent une référence interprétative importante, y compris pour la pratique suisse.
Opérateur fournissant un accès au réseau Internet à des utilisateurs finaux (particuliers ou entreprises). En droit suisse, les FAI sont soumis à des obligations de collaboration avec les autorités dans le cadre de la LSCPT (surveillance des télécommunications), ainsi qu’à des règles sur la communication des données de connexion (notamment les adresses IP) dans le cadre de procédures civiles ou pénales.
FINMA— Autorité fédérale de surveillance des marchés financiers
Autorité indépendante de surveillance des marchés financiers suisses, instituée par la Loi sur la surveillance des marchés financiers (LFINMA). Surveille les banques, assurances, bourses et autres intermédiaires financiers. Édicte des circulaires contraignantes, dont les circulaires 2018/3 (outsourcing) et 2023/1 (risques opérationnels et résilience), qui encadrent notamment le recours au cloud et à l’IA.
FedRAMP— Federal Risk and Authorization Management Program
Programme américain standardisant l’évaluation sécuritaire des services cloud utilisés par les agences fédérales.
GAFAM— Google, Apple, Facebook (Meta), Amazon, Microsoft
Acronyme désignant les cinq grandes plateformes technologiques américaines dominantes sur le marché numérique mondial. Souvent utilisé dans les débats sur la souveraineté numérique, la protection des données et la dépendance technologique des administrations publiques et des entreprises européennes et suisses vis-à-vis de prestataires soumis à des législations étrangères (notamment le CLOUD Act).
LCD— Loi fédérale contre la concurrence déloyale du 19 décembre 1986
Loi fédérale suisse (RS 241) protégeant les acteurs économiques et les consommateurs contre les comportements déloyaux dans la concurrence et la publicité. Pertinente en droit du numérique notamment pour les pratiques commerciales trompeuses en ligne, le spam (art. 3 al. 1 let. o LCD), le référencement abusif, l’exploitation de données volées à des fins concurrentielles et certaines formes de scraping. Offre des voies d’action civiles (art. 9 LCD) et pénales (art. 23 LCD).
LDA— Loi fédérale sur le droit d'auteur et les droits voisins
Loi fédérale suisse (RS 231.1) protégeant les œuvres littéraires et artistiques, ainsi que les prestations des artistes-interprètes, producteurs et diffuseurs (droits voisins). Révisée en 2021, elle a notamment introduit des mesures contre le piratage en ligne et renforcé les droits des créateurs face aux plateformes numériques.
LPD— Loi fédérale sur la protection des données du 25 septembre 2020
Loi fédérale suisse (RS 235.1) en vigueur depuis le 1er septembre 2023, remplaçant l’ancienne LPD de 1992. Régit la protection des données personnelles traitées par des personnes privées et des organes fédéraux. Complétée par l’Ordonnance sur la protection des données (OPDo) et l’Ordonnance sur les certifications en matière de protection des données (OCPD). Inspirée du RGPD, elle introduit notamment le principe de privacy by design, l’obligation de tenir un registre des activités de traitement, l’analyse d’impact relative à la protection des données (AIPD) et la notification obligatoire des violations de données au PFPDT.
Loi fédérale suisse (RS 121) en vigueur depuis le 1er septembre 2017, qui régit les activités de renseignement intérieur et extérieur du SRC. Autorise notamment l’exploration radio et du réseau câblé (surveillance de masse des communications), sous réserve d’une autorisation du TAF et de la surveillance d’un organe indépendant.
LSCPT— Loi fédérale sur la surveillance de la correspondance par poste et télécommunication
Loi fédérale suisse (RS 780.1) régissant les conditions dans lesquelles les autorités pénales peuvent ordonner la surveillance des communications électroniques et postales. Révisée en 2016, elle a notamment élargi les obligations des fournisseurs de services de communication (FSC) et institué le Service Surveillance de la Correspondance par Poste et Télécommunication (SCPT).
Organisation européenne de défense des droits numériques fondée par l’avocat Max Schrems, dont le siège est à Vienne. Active dans le dépôt de plaintes stratégiques devant les autorités de protection des données de l’UE, notamment sur le fondement du RGPD. À l’origine de nombreuses décisions majeures, dont les arrêts Schrems I et Schrems II de la CJUE invalidant les mécanismes de transfert de données vers les États-Unis.
NSA— National Security Agency (agence américaine de sécurité nationale)
Service de renseignement électronique américain relevant du Département de la Défense (DoD). Ses programmes de surveillance de masse (notamment PRISM, révélés par Edward Snowden en 2013) ont conduit à l’invalidation successive du Safe Harbour (2015) et du Privacy Shield (2020) par la CJUE, et alimentent les débats sur la souveraineté numérique suisse et européenne.
Ordonnance du Conseil fédéral du 31 août 2022 (RS 235.11) qui complète et précise les dispositions de la LPD. En vigueur depuis le 1er septembre 2023, elle règle notamment les exigences en matière de sécurité des données, le registre des activités de traitement et les modalités de notification des violations de données au PFPDT.
PFPDT— Préposé fédéral à la protection des données et à la transparence
Autorité indépendante de surveillance suisse chargée de contrôler l’application de la LPD par les organes fédéraux et les personnes privées.
Mécanisme de transfert de données personnelles entre l’UE et la Suisse d’un côté, et de l’autre par les États-Unis, adopté en remplacement du Safe Harbour. Invalidé pour l’UE le 16 juillet 2020 par la CJUE dans l’arrêt Schrems II (C-311/18) en raison des insuffisances dans la protection des données vis-à-vis des programmes de surveillance américains. Remplacé par le Data Privacy Framework (DPF), dont la pérennité reste incertaine.
RGPD— Règlement général sur la protection des données
Règlement européen en vigueur depuis le 25 mai 2018, directement applicable dans les États membres de l’Union européenne. Établit les principes fondamentaux du traitement des données personnelles, les droits des personnes concernées et les obligations des responsables du traitement. La LPD suisse s’en est largement inspirée pour préserver l’adéquation de la Suisse vis-à-vis de l’UE.
Service fédéral chargé du renseignement intérieur et extérieur en Suisse, dont l’activité est régie par la Loi fédérale sur le renseignement (LRens). Habilité notamment à conduire des explorations radio et du réseau câblé (surveillance de masse), sous réserve d’autorisation judiciaire et de la surveillance du Tribunal administratif fédéral (TAF).
Safe Harbour— Safe Harbour (sphère de sécurité UE-États-Unis)
Premier mécanisme de transfert de données personnelles entre l’UE et les États-Unis, et entre la Suisse et les Etats-Unis. Invalidé par la CJUE dans l’arrêt Schrems I (C-362/14) du 6 octobre 2015 en raison des programmes de surveillance de masse de la NSA révélés par Edward Snowden. Remplacé par le Privacy Shield.
Référentiel d’exigences publié par l’ANSSI pour qualifier les prestataires de services cloud, notamment au regard de la protection contre les législations extraterritoriales.
Juridiction fédérale suisse de première instance en droit public, compétente pour statuer sur les recours contre les décisions des autorités administratives fédérales (art. 31 ss LTAF). Joue un rôle clé en matière de surveillance des télécommunications et de contrôle des activités du SRC. Ses arrêts peuvent faire l’objet d’un recours au Tribunal fédéral (TF).
Autorité judiciaire suprême de la Confédération suisse (art. 188 Cst.), dont le siège principal est à Lausanne. Statue en dernière instance sur les recours en matière civile, pénale, de droit public et de droit constitutionnel. Ses arrêts destinés à la publication figurent au recueil officiel (ATF).