RGPD, entreprise suisse et obligation de notifier une autorité en cas de violation de données

L’article 33 du Règlement général sur la protection des données (RGPD) prévoit notamment qu’en cas de violation de données personnelles (c’est-à-dire s’il se produit une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ; art. 4 ch. 12 RGPD), le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55.

Les chiffres de la collecte invisible de données par Google

Evidemment, me direz-vous, étant donné le modèle économique de Google qui consiste à fournir des services gratuits en échange de données personnelles utiles au ciblage publicitaire, on pouvait se douter qu’Android, le système d’exploitation pour smartphones de Google, soit une pompe à données. Mais on n’imaginait pas forcément à quel point Android est glouton.

Etude de l’université de Vanderbilt (USA)

Un professeur d’informatique à l’université de Vanderbilt (Nashville, Tennessee, USA) et son équipe ont mené une étude sur la collecte de données par Google. L’étude de 55 pages a été publiée en août dernier et rappelle que Google collecte des informations de deux manières.

TF : rappel des principes relatifs au droit d'accès aux données personnelles

Dans un arrêt du 28 mai 2018 (1C_642/2017), le Tribunal fédéral a rappelé les principes applicables en matière de droit d’accès aux données personnelles.

Faits

Le 12 août 2015, se fondant sur les dispositions de la loi genevoise sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD), X a demandé au Département des finances l’accès à l’ensemble des directives et instructions relatives à la pratique et aux conditions applicables aux abandons de créances, à son dossier personnel en mains de la Commission des finances et du service du contentieux de l’Etat, ainsi qu’à l’ensemble des conventions conclues entre 2003 et 2013. X a ensuite saisi le Préposé cantonal à la protection des données et à la transparence.

Le RGPD et les travailleurs frontaliers

Il semble y avoir beaucoup de confusion quant au champ d’application extraterritorial du Règlement européen sur la protection des données (RGPD), particulièrement en ce qui concerne les frontaliers. Reprenons depuis le début.

Application extraterritoriale

Selon son article 3, le RGPD s’applique non seulement aux responsables de traitement ou sous-traitants établis dans l’Union européenne (UE), mais il s’applique aussi à certaines conditions s’ils ne sont pas établis dans l’UE. L’art. 3 al. 2 RGPD prévoit ceci :

Cour EDH : refus du droit à l'oubli numérique pour deux condamnés pour assassinat

Dans un jugement publié le 28 juin 2018 (n° 60798/10 et 65599/10), la Cinquième section de la Cour européenne des droits de l’Homme (Cour EDH) a refusé à deux personnes le droit à l’oubli numérique. Ces personnes avaient été condamnées en 1993 en Allemagne pour l’assassinat d’un acteur très populaire. Ils ont fait recours contre leur condamnation jusqu’à la Cour EDH. Ils ont formé plusieurs demandes de révision et, lors de la dernière en 2004, ils ont médiatisé des documents en relation avec ladite procédure de révision. Ils ont été libérés sous condition en 2007 et 2008.