Blog

Petit coup de tonnerre cette semaine dans le monde (européen) de la protection des données. Dans l’affaire C-154/21, la CJUE a décidé que ...

Pour commencer la nouvelle année, je voudrais vous faire part de quelques prédictions sur la protection des données, en Suisse et dans le monde. Avant ces prédictions, s’il ne devait y avoir qu’une chose à retenir de 2022, c’est le caractère fondamental de la sécurité et de la protection des données pour assurer le succès d’une entreprise, qu’il s’agisse d’une start-up, d’une PME ou d’une multinationale. L’époque où on pouvait vaguement garder un œil sur le sujet, mais sans trop s’en soucier est définitivement derrière nous. Chaque entreprise doit prendre des mesures, à son niveau et avec les moyens qu’elle peut consacrer sans prétériter ses autres activités. Personne ne demande la Lune, mais il y a des bases à créer ou solidifier. L’inaction et la paresse sont désormais criminelles. ...

J’ai parfois l’impression qu’on ne me dit jamais rien et que je suis le dernier à être au courant. Saviez-vous que Meta (société mère de Facebook, WhatsApp, Instagram) met à disposition un outil qui permet de savoir si Facebook, Messenger et Instagram détiennent votre numéro de téléphone (portable ou fixe) et votre adresse e-mail alors que vous n’utilisez pas leurs produits ? Cet outil se destine donc uniquement aux personnes qui n’ont pas de compte sur ces trois réseaux sociaux. Il suffit de cliquer ici puis de suivre la procédure. Ce lien figure en réalité sur la page contenant des informations destinées aux personnes qui n’utilisent pas les produits Meta. ...

C’est le 2 octobre 2022 que j’ai brisé le silence qui régnait sur ce blog. Mon dernier billet datait du 9 septembre 2021 et concernait la (non) affaire Proton. Que s’est-il passé pendant une année ? Plein de choses bien sûr, mais la plus folle d’un point de vue professionnel est la rédaction acharnée de mon guide pratique de la protection des données en entreprise. De ma vie, jamais je n’avais autant lu, analysé, dessiné et écrit que pendant cette période. ...

L’étude Laux Lawyers AG basée à Zurich a publié récemment l’avis de droit qu’elle a réalisé à l’intention de la ville de Zurich. Cet avis de droit analyse dans le détail (et en allemand) la légalité de l’utilisation de services cloud public par la ville de Zurich et, plus généralement, par des administrations communales, cantonales et fédérales. L’avis de droit devait répondre en particulier à cinq questions : Une unité organisationnelle de la ville de Zurich peut-elle utiliser des services de cloud public ? Est-ce possible également pour les informations nécessitant une protection particulière (informations confidentielles ou strictement confidentielles) ? L’analyse change-t-elle en fonction de la juridiction à laquelle le fournisseur de services cloud ou l’une des sociétés de son groupe est soumis (siège à l’étranger, notamment aux États-Unis) ? L’analyse varie-t-elle en fonction du lieu où les données stockées dans les services de cloud public sont conservées (Data at Rest) (localisation des données en Suisse ou à l’étranger, notamment aux États-Unis) ? L’analyse est-elle différente selon que les données stockées dans les services de cloud public sont accessibles ou non à des personnes résidant à l’étranger (notamment aux États-Unis) ? Les conclusions de l’avis de droit, (qui ont été publiées sur le site web de l’étude, sont les suivantes1. ...

Depuis quelques jours, on ne parle que de ça dans le milieu. ProtonMail a enregistré les adresses IP d’utilisateurs alors qu’ils avaient promis de ne pas le faire. C’est ainsi que d’aucuns présentent les choses, de manière très réductrice et en omettant complètement les causes de cette collecte des adresses IP. Tentons de remettre l’église au milieu du village, malgré les informations limitées disponibles. Les promesses de ProtonMail ProtonMail a vanté l’anonymat (et la sécurité) de son service, notamment en indiquant qu’il n’est pas nécessaire de fournir une quelconque donnée personnelle pour ouvrir un compte et que les adresses IP ne sont pas journalisées par défaut. ...

Fin juin 2021, la Commission européenne a adopté la décision d’adéquation relative à la protection des données vis-à-vis du Royaume-Uni. Ce genre de décisions vise à faciliter les transferts de données personnelles vers les pays concernés par ces décisions, en considérant qu’ils offrent un niveau de protection adéquat (c.-à-d. similaire à celui qui est à l’origine de la décision). Des obstacles juridiques, techniques et organisationnels sont ainsi levés. A la suite du Brexit, le Royaume-Uni n’étant plus dans l’UE et donc plus soumis au RGPD, il redevenait un Etat tiers auquel les obstacles susmentionnés se seraient appliqués. La Suisse, en tant qu’Etat tiers vis-à-vis de l’UE, est actuellement au bénéfice d’une décision d’adéquation, qui est cependant en train d’être revue. La décision d’adéquation concernant le Royaume-Uni permet d’imaginer à quoi la décision concernant la Suisse ressemblera. ...

Introduction La Loi fédérale sur les mesures policières de lutte contre le terrorisme (MPT) a été adoptée en 2020 par le Parlement fédéral. La MPT est une loi qui en modifie plusieurs autres, à savoir : la Loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure (LMSI) la Loi fédérale du 16 décembre 2005 sur les étrangers et l’intégration (LEI) la Loi du 26 juin 1998 sur l’asile (LAsi) la Loi fédérale du 20 juin 2003 sur le système d’information commun aux domaines des étrangers et de l’asile (LDEA) la Loi du 22 juin 2001 sur les documents d’identité (LDI) le Code pénal (CP) la Loi fédérale du 23 décembre 2011 sur la protection extraprocédurale des témoins (Ltém) la Loi fédérale du 7 octobre 1994 sur les Offices centraux de police criminelle de la Confédération et les centres communs de coopération policière et douanière avec d’autres États (LOC) la Loi fédérale du 13 juin 2008 sur les systèmes d’information de police de la Confédération (LSIP) la Loi du 20 mars 2008 sur l’usage de la contrainte (LUsC) la Loi fédérale du 21 décembre 1948 sur l’aviation (LA) la Loi du 17 juin 2016 sur le casier judiciaire (LCJ) la Loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT) Les éléments principaux qui me gênent fortement se trouvent dans la LMSI, raison pour laquelle je n’évoquerai que les modifications de cette loi. ...

Quelles données sont aujourd’hui collectées par WhatsApp ? WhatsApp collecte de nombreuses données personnelles comme le numéro de téléphone, les numéros de téléphone des contacts figurant dans le carnet d’adresses, les prénoms et noms, les photos de profils, les statuts, l’heure de dernière connexion, la localisation de l’appareil, le niveau de la batterie, le réseau mobile, l’adresse IP, des informations de diagnostics (télémétrie). La section “Informations que nous recueillons” figurant sur cette page donne la liste complète. Ce qu’indique WhatsApp sur l’App Store d’Apple ...

Le Tribunal fédéral a rendu un arrêt (TF, 1C_377/2019) le 1er décembre 2020 suite à un recours déposé contre un arrêt du Tribunal administratif fédéral (TAF, A-6143/2017). Cet arrêt sera publié aux ATF et est essentiel concernant les droits fondamentaux, la protection des données et l’exploration radio et du réseau câblé (ci-après : l’exploration) mise en œuvre par le Service de Renseignement de la Confédération (SRC). ...