Les organisations privées, qui sont certifiées au Data Privacy Framework en vigueur entre la Suisse et les États Unis, offrent un niveau de protection des données adéquat.

Dans le contexte de l’externalisation des données à des organisations certifiées, privatim émet des recommandations à l’attention des organes publics cantonaux et communaux.

Transfert de données personelles à des organisations aux États-Unis sur la base du Swiss-U.S. Data Privacy Framework

En raison des révisions de la protection des données en Europe – notamment la modernisation de la Convention 108+ du Conseil de l’Europe et l’adoption de la directive européenne 2016/680, relevant de Schengen, pour la coopération judiciaire et policière en matière pénale – les lois sur la protection des données des cantons doivent également être adaptées aux nouvelles exigences. La liste suivante, mise à jour périodiquement, donne un aperçu de l’état d’avancement des travaux d’adaptation dans les cantons.

En raison des révisions de la protection des données en Europe – notamment la modernisation de la Convention 108+ du Conseil de l’Europe et l’adoption de la directive européenne 2016/680, relevant de Schengen, pour la coopération judiciaire et policière en matière pénale – les lois sur la protection des données des cantons doivent également être adaptées aux nouvelles exigences. La liste suivante, mise à jour périodiquement, donne un aperçu de l’état d’avancement des travaux d’adaptation dans les cantons.

Berne, le 15.12.2022 – Les élections et les votations à tous les niveaux de l’État suisse se déroulent dans la réalité globale du numérique. Les acteurs du processus politique de formation d’opinion se servent d’instruments numériques pour véhiculer des messages aussi ciblés que possible auprès des électeurs. Dès lors, les risques pour l’autodétermination informationnelle et la vie privée des personnes concernées sont importants. Un guide actualisé permet de s’informer sur ces questions dans la perspective des élections fédérales de 2023.

Toute personne traitant des données dans un contexte d’élections et de votations doit savoir que le droit en vigueur, de même que la nouvelle loi sur la protection des données, qui entrera en vigueur le 1er septembre 2023, juste avant les élections pour le renouvellement intégral, considère les informations sur les opinions politiques et philosophiques comme des données sensibles.

Dans la nouvelle version de leur guide, le Préposé fédéral à la protection des données et à la transparence (PFPDT) et la Conférence des préposés suisses à la protection des données (privatim) mettent en particulier l’accent sur l’importance du principe de la transparence pour la protection des données dans le contexte des élections et des votations. Les électeurs ont le droit de connaître les méthodes de traitement des données et les technologies numériques utilisées pour les approcher.

Guide relatif aux élections et aux votations – version actualisée en décembre 2022

Ces derniers mois, plusieurs gouvernements cantonaux ont publié leurs décisions quant à l’utilisation de « Microsoft 365 » (M365) dans l’administration. La décision du Conseil d’Etat du Canton de Zurich (RRB 542/2022 du 30 mars 2022) a retenu toute l’attention.

En février 2022, privatim a édité un « Aide-mémoire sur les risques et les mesures spécifiques à la technologie du Cloud » qui permet aux organes publics d’évaluer, notamment, l’utilisation de M365. Fondamentalement, la décision du Conseil d’Etat du Canton de Zurich ne signifie pas que les organes publics peuvent s’écarter du contenu de cet aide-mémoire et de la procédure qu’il recommande. C’est ce que suggèrent les déclarations à la suite de cette décision et privatim est amenée à prendre position sur quelques points du RRB qui exercent un effet au-delà du Canton de Zurich.

En vue des nouveaux développements et de l’évolution des connaissances en matière des technologies basées sur le cloud, privatim a entièrement révisé son aide-mémoire sur les risques et mesures spécifiques au cloud. Le bureau de privatim a adopté la nouvelle version 3.0 le 3 février 2022. Elle remplace la version 2.1 du 17 décembre 2019.

Vous trouverez l’aide-mémoire révisé ici.

Berne, 28.01.2021 – Même si son entrée en vigueur est prévue pour 2022, la révision totale de la loi fédérale sur la protection des données (LPD) incite déjà les cantons à moderniser leur législation. Depuis plusieurs années, les autorités de protection des données de la Confédération et des cantons ont mis en place une collaboration étroite et pragmatique. La pandémie ayant donné un coup d’accélérateur à la digitalisation, ces autorités doivent redoubler d’efforts pour limiter autant que possible les atteintes à la sphère privée et à l’autodétermination.

Nos données personnelles sont de plus en plus traitées de manière globale et automatisée. Même si la digitalisation gagnait déjà du terrain dans tous les domaines de la vie, la pandémie, qui a obligé une grande partie de la population à travailler en ligne depuis la maison, a bouleversé la donne. Dans ce contexte mouvant, les préposé-e-s à la protection des données de la Confédération et des cantons s’engagent pour le respect de la sphère privée et de l’autodétermination des citoyens garanti par la constitution fédérale.

(lire la suite…)

Le vaste lockdown mis en place pour faire face à la crise du Covid-19 a provoqué (et dans certains cas provoque encore) des écarts des standards normaux en matière de protection de données, notamment sur les deux points suivants : D’une part, la pondération des intérêts et des risques, toujours nécessaire, a pu conduire à des résultats différents. Ainsi, pour pouvoir remplir la mission éducative des écoles, l’utilisation de solutions de vidéoconférence ne répondant pas toujours (ou pas encore) pleinement aux exigences applicables en termes de protection de données semblaient se justifier. D’autre part, les solutions adoptées n’ont parfois pas été examinées du tout ou seulement de manière très sommaire par les autorités de protection des données.

Avec le retour à la normale – comme par exemple la reprise de l’enseignement présentiel à l’école obligatoire – la pesée des risques aussi doit de nouveau s’effectuer normalement, et les solutions TIC introduites en raison de la crise doivent être examinées comme il se doit – si nécessaire en ayant recours aux autorités de protection des données – et elles doivent, le cas échéant, être améliorées ou remplacées par des solutions conformes à la loi.

Il convient de noter que la rapidité et l’ampleur des mesures d’assouplissement varient d’un domaine administratif à l’autre ; par conséquent, l’évaluation des risques et le degré d’approfondissement de l’examen peuvent varier pour un même produit en fonction de l’autorité et des tâches concernées. Dans des cas individuels, il est même concevable qu’une autorité continue à privilégier une solution provisoire dans certains domaines (par exemple pour les contacts avec des enfants qui, en raison des risques encourus, continuent à recevoir un enseignement à distance), mais n’utilise que des produits correctement testés et conformes à la loi dans tous les autres.

Actuellement, les administrations publiques et les écoles cherchent d’urgence des solutions numériques pour assurer la coopération pendant la situation extraordinaire provoquée par la crise du Covid-19.

Les situations extraordinaires appellent des mesures extraordinaires. C’est pourquoi l’utilisation de services/solutions dont la conformité avec la protection des données n’est pas pleinement garantie peut sembler admissible pendant la durée d’une situation extraordinaire.  Pour l’utilisation après la fin de la situation extraordinaire, les conditions normales s’appliquent de nouveau.

Le préposé à la protection des données du canton de Zurich, en coopération avec d’autres membres de privatim, vérifie constamment des services/solutions utilisés. Les résultats sont compilés et mis à jour dans une liste (en allemand uniquement). Y sont répertoriés d’une part les services/solutions jugés conformes à la protection des données et dont l’utilisation peut être recommandée, et d’autre part les services/solutions dont l’utilisation peut être jugé possible pendant la durée de la situation extraordinaire due à la crise du Corona, mais pour lesquels les conditions préalables pour une utilisation après la situation extraordinaire ne sont actuellement pas remplies (par exemple, Office 365 en dehors du secteur de l’éducation). Pour cette deuxième catégorie, il faut veiller à ce qu’il soit possible d’en sortir complètement à la fin de la situation extraordinaire et que les conditions ordinaires soient de nouveau respectées.

Les organes publics continuent à être responsables de l’utilisation de ces services/solutions. En particulier, la garantie de la sécurité des informations nécessaire doit toujours rester assurée. Une cyber-attaque réussie sur le système informatique (par exemple d’un hôpital) peut causer bien plus de dommages qu’une coopération numériquement suboptimale aurait pu causer au préalable.

Pendant la crise du Covid-19 aussi, les préposés cantonaux à la protection des données sont à disposition des organes publics pour les conseiller sur l’utilisation de ces services/solutions et ils restent responsables de la surveillance.

Vous trouverez la liste des services/solutions ici: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html

Dans notre société moderne, les exigences à l’égard d’une mobilité à la fois multimodale et durable sont élevées. Toutefois, les grands projets numériques ne peuvent emporter l’adhésion des citoyens que si la sphère privée des usagers est protégée. Les autorités fédérales et cantonales de la protection des données invitent donc les opérateurs concernés à investir en amont dans des concepts favorisant la protection des données. De plus, pour une surveillance efficace, il convient de mener à terme la révision urgente de la loi fédérale sur la protection des données, lors de la session de mars 2020.

Des projets numériques durables sont élaborés pour concilier les exigences croissantes en termes de mobilité avec la raréfaction des réserves de terrain et d’énergie, ainsi qu’avec la nécessité de préserver le climat. Des données sur la mobilité sont enregistrées en permanence, et utilisées de manière intensive par les entreprises, tant publiques que privées, ainsi que par les autorités, ce qui tend à augmenter la pression sur la sphère privée des usagers des transports. C’est pourquoi, de l’avis des préposé(e)s à la protection des données de la Confédération et des cantons, une politique des transports ne peut être durable que si elle instaure la confiance par des investissements en faveur de la protection de la sphère privée et de l’autodétermination informationnelle des citoyennes et des citoyens.

De nos jours, toute personne qui se déplace sur la route, sur les rails ou dans les airs est accompagnée numériquement. Les applications sur le trafic, les capteurs des particuliers et des autorités ou les véhicules connectés enregistrent et mesurent nos déplacements dans l’espace public ainsi que le temps que nous passons dans les lieux privés. L’analyse de ces données combinées peut donner lieu à l’établissement de profils de déplacement et de personnalité. Certaines technologies, telles que la reconnaissance faciale, menacent même d’abolir la liberté et l’anonymat des déplacements dans l’espace public au profit d’une surveillance totale. Face à ces risques, les autorités fédérales et cantonales de la protection des données invitent donc les opérateurs de projets numériques de mobilité à investir suffisamment tôt dans des concepts offrant des garanties adéquates en matière de protection de la sphère privée et d’autodétermina-tion informationnelle des usagers de la route. (lire la suite…)

A new report by the Irish Council for Civil Liberties (ICCL) uncovers a paralysis at the heart of the EU General Data Protection Regulation (GDPR) and reveals why data protection authorities (DPAs) are unable to police how big tech firms use people’s data. Its conclusion: The European Commission has the duty to intervene. 
Report: The Irish Council for Civil Liberties (ICCL), September 2021
Video: https://vimeo.com/601138490

On peut avoir la démocratie, on peut avoir une société de surveillance, mais on ne peut pas avoir les deux, plaide Shoshana Zuboff, sociologue et professeure à Harvard dans une longue tribune parue dans le «New York Times».

12.5.21, Le Temps

Un passeport digital à la disposition de ceux qui le désirent, pourquoi pas? Mais avec un prix clair et sans collecte de données.
14.2.21, Le Temps

La pandémie, qui a obligé une grande partie de la population à télétravailler, inquiète les autorités de protection des données.

28.1.21, 24Heures

La publication d’une nouvelle version des conditions d’utilisation de WhatsApp le 4 janvier a entrainé un vaste mouvement de migration des utilisateurs sur d’autres services comme Telegram ou Signal. En cause: la possibilité de partager les données personnelles avec le propriétaire de l’application de messagerie aux deux milliards d’utilisateurs, Facebook. Face à cet exode, WhatsApp a annoncé le 15 janvier repousser de trois mois le changement.

19.1.21, Heidi.news