CJUE : lors d'une demande d'accès, l'identité des destinataires des données doit être révélée

Petit coup de tonnerre cette semaine dans le monde (européen) de la protection des données. Dans l’affaire C-154/21, la CJUE a décidé que

le droit d’accès de la personne concernée aux données [personnelles] la concernant […] implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, […] auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

continuer la lecture

Quelques prédictions sur la protection des données pour 2023

Pour commencer la nouvelle année, je voudrais vous faire part de quelques prédictions sur la protection des données, en Suisse et dans le monde.

Avant ces prédictions, s’il ne devait y avoir qu’une chose à retenir de 2022, c’est le caractère fondamental de la sécurité et de la protection des données pour assurer le succès d’une entreprise, qu’il s’agisse d’une start-up, d’une PME ou d’une multinationale. L’époque où on pouvait vaguement garder un œil sur le sujet, mais sans trop s’en soucier est définitivement derrière nous. Chaque entreprise doit prendre des mesures, à son niveau et avec les moyens qu’elle peut consacrer sans prétériter ses autres activités. Personne ne demande la Lune, mais il y a des bases à créer ou solidifier. L’inaction et la paresse sont désormais criminelles.

Vous voulez savoir si Facebook/Instagram a votre e-mail ou numéro de téléphone ?

J’ai parfois l’impression qu’on ne me dit jamais rien et que je suis le dernier à être au courant. Saviez-vous que Meta (société mère de Facebook, WhatsApp, Instagram) met à disposition un outil qui permet de savoir si Facebook, Messenger et Instagram détiennent votre numéro de téléphone (portable ou fixe) et votre adresse e-mail alors que vous n’utilisez pas leurs produits ?

Cet outil se destine donc uniquement aux personnes qui n’ont pas de compte sur ces trois réseaux sociaux. Il suffit de cliquer ici puis de suivre la procédure. Ce lien figure en réalité sur la page contenant des informations destinées aux personnes qui n’utilisent pas les produits Meta.

Une absence d'une année

C’est le 2 octobre 2022 que j’ai brisé le silence qui régnait sur ce blog. Mon dernier billet datait du 9 septembre 2021 et concernait la (non) affaire Proton.

Que s’est-il passé pendant une année ? Plein de choses bien sûr, mais la plus folle d’un point de vue professionnel est la rédaction acharnée de mon guide pratique de la protection des données en entreprise. De ma vie, jamais je n’avais autant lu, analysé, dessiné et écrit que pendant cette période.

Laux Lawyers publie un avis de droit sur l'utilisation du cloud public par la ville de Zurich

L’étude Laux Lawyers AG basée à Zurich a publié récemment l’avis de droit qu’elle a réalisé à l’intention de la ville de Zurich. Cet avis de droit analyse dans le détail (et en allemand) la légalité de l’utilisation de services cloud public par la ville de Zurich et, plus généralement, par des administrations communales, cantonales et fédérales.

L’avis de droit devait répondre en particulier à cinq questions :

1. Une unité organisationnelle de la ville de Zurich peut-elle utiliser des services de cloud public ?
2. Est-ce possible également pour les informations nécessitant une protection particulière (informations confidentielles ou strictement confidentielles) ?
3. L’analyse change-t-elle en fonction de la juridiction à laquelle le fournisseur de services cloud ou l’une des sociétés de son groupe est soumis (siège à l’étranger, notamment aux États-Unis) ?
4. L’analyse varie-t-elle en fonction du lieu où les données stockées dans les services de cloud public sont conservées (Data at Rest) (localisation des données en Suisse ou à l’étranger, notamment aux États-Unis) ?
5. L’analyse est-elle différente selon que les données stockées dans les services de cloud public sont accessibles ou non à des personnes résidant à l’étranger (notamment aux États-Unis) ?

Les conclusions de l’avis de droit, (qui ont été publiées sur le site web de l’étude, sont les suivantes¹.