La nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (LPD) est entrée en vigueur le 1er septembre 2023. Lors de cette révision, le législateur a voulu renforcer la protection de la sphère privée et des droits fondamentaux de la population suisse.
Le Préposé a participé à la 46e Assemblée mondiale sur la protection des données (Global Privacy Assembly GPA) qui s’est tenue du 28 octobre au 1er novembre 2024 à Jersey.
Les autorités de protection des données du monde entier publient une déclaration commune finale sur l’extraction de données (« data scraping ») après avoir consulté l’industrie.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) prend acte du nouveau cadre de protection des données entre la Suisse et les États-Unis.
La notice existante sur le traitement des données par les associations a été largement complétée par des questions fréquentes et des informations relatives aux nouveautés importantes amenées par la nouvelle loi sur la protection des données
Les accès en ligne à des données personnelles sont susceptibles de porter gravement atteinte aux droits fondamentaux des personnes concernées. Aussi les organes fédéraux doivent-ils planifier ces accès à temps, conformément à la LPD, et les motiver auprès des autorités politiques.
Le Préposé salue la discussion publique concernant la convention intercantonale relative à l’échange de données policières et sur la participation prévue de la Confédération.
Le PFPDT rejette le projet de convention de la CCPCS, car il le juge insuffisamment motivé et inad-missible du point de vue de l’État de droit et de la protection des données.
À l’occasion de la Journée internationale de la protection des données, des experts échangeront sur le thème « Protection des données et vulnérabilité » dans le cadre d’une conférence à l’Université de Lausanne le 26 janvier 2024.
Des cybercriminels ont obtenu les données d'accès à des plateformes de réservation en ligne telles que booking.com par le biais d'e-mails envoyés aux hôtels et tentent d'escroquer les clients d’hôtels.
Dans la mesure où les documents relèvent du champ d'application de la loi sur la transparence, le PFPDT recommande de différer l'accès jusqu'à la fin des travaux en cours de la commission d'enquête parlementaire CEP, si leur communication risque de porter notablement atteinte à la libre formation de l'opinion et de la volonté de la CEP.
Les organes fédéraux et les personnes privées ont désormais l'obligation de procéder à une AIPD lorsque le traitement des données prévu entraîne un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
Le PFPDT a publié, avec neuf autres autorités nationales de protection des données, une déclaration commune à l’attention des plateformes de réseaux sociaux concernant la protection des données personnelles.
Le PFPDT a mis à jour les contenus de son site internet en vue de l’entrée en vigueur de la nouvelle loi sur la protection des données au 1er septembre 2023.
Le PFPDT conseille aux utilisatrices et utilisateurs de faire un usage conscient des applications basées sur l’IA et rappelle aux entreprises leurs obligations.
Les applications Microsoft Office 2021, encore utilisées en local dans toute l’administration fédérale, seront remplacées par une version fonctionnant en nuage public.
Les acteurs au processus de formation de l’opinion politique se servent d’instruments numériques pour véhiculer des messages aussi ciblés que possible auprès des électeurs. Dès lors, les risques pour l’autodétermination informationnelle et la vie privée des personnes concernées sont importants.
Selon des informations parues dans différents médias, environ 550 millions de données d'utilisateurs du service de messagerie WhatsApp seraient proposées à la vente sur le darknet.
Le Qatar exige des visiteurs de la Coupe du Monde de football qu'ils installent les applications « Ehteraz » et « Hayya to Qatar 2022 » pour entrer dans le pays. Le PFPDT estime que ces deux applications présentent des risques importants en matière de protection des données.
Le régime de la déclaration des fichiers dans le registre du PFPDT va changer lorsque la nouvelle loi fédérale sur la protection des données (LPD) entrera en vigueur le 1er septembre 2023. À partir de cette date, seuls les organes fédéraux devront déclarer au PFPDT leurs fichiers.
Dans une plainte déposée aux États-Unis le 19 août 2022 contre l’entreprise « Oracle America Inc. », celle-ci est accusée d’avoir commis des actes graves en relation avec le traçage non autorisé d’utilisateurs d’Internet.
Le dernier rapport des autorités internationales de protection des données (l’Assemblée mondiale pour la protection de la vie privée) consacré aux attaques par bourrage d’identifiants (en anglais credential stuffing) tire la sonnette d’alarme sur ce type de cyberattaque qui fait peser une menace croissante sur les données personnelles.
En raison de divergences de vues partielles sur le plan juridique, le PFPDT suggère à la Suva de réexaminer l’externalisation des données personnelles vers un cloud exploité par le groupe américain Microsoft.
Suite à de nombreuses demandes, et en complément à son communiqué de presse du 24 mai 2022, le PFPDT précise que l'Office des faillites de Berne-Mittelland ne procédera pas à la suppression des données de vaccination, recommandée par le Préposé, avant la clôture définitive de la procédure de faillite et sans instruction écrite du Préposé en ce sens.
Le Préposé fédéral à la protection des données et à la transparence, M. Adrian Lobsiger, a rencontré le 11 mai 2022, à Berne, ses homologues tunisiens.
La veille, il a été divulgué que plusieurs cabinets médicaux en Suisse romande avaient été visés par des pirates informatiques, lesquels ont publié de très nombreux dossiers de patients sur le Darknet.
Début mai, la Fédération sportive suisse de tir (FST) a envoyé à plus de 50 000 tireurs licenciés une nouvelle carte de membre pouvant également servir de carte de crédit. De nombreux tireurs ont contacté le PFPDT pour savoir si la communication de leurs données dans ce cadre était légale.
La fondation « mesvaccins » a commencé à envoyer aux utilisateurs de la plateforme leurs données de vaccination en tant que pièce jointe à un e-mail non crypté le vendredi 04.11.2021.
Le PFPDT a accompagné le développement du certificat Covid en s’assurant que ce certificat soit conçu dans le respect de la protection des données. Le PFPDT salue le fait que le certificat Covid constitue désormais le seul moyen de preuve de la vaccination, de la guérison ou du résultat négatif, se substituant à tous les autres.
Fin juillet 2021, le PFPDT a remis à la fondation meineimpfungen son rapport final dans le cadre de la procédure d’établissement des faits concernant la plateforme mesvaccins.ch (meineimpfungen.ch).
Mit Mitteilung vom 27. August 2021 anerkennt der EDÖB die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (gem. Durchführungsbeschluss 2021/914/EU) als Grundlage für Personendatenübermittlungen in ein Land ohne angemessenes Datenschutzniveau, sofern die für eine Verwendung unter Schweizer Datenschutzrecht notwendigen Anpassungen und Ergänzungen vorgenommen werden.
Le PFPDT a fait la prise de position suivante à l'intention de la Securities and Exchange Commission (SEC) des États-Unis sur la question de l'admissibilité de la transmission de données personnelles des gestionnaires de fortune suisses à l'autorité de surveillance américaine :
Le certificat light peut facilement être généré à partir de la dernière version de l’application COVID Certificate. Il respecte la protection des données et ne contient pas de données relatives à la santé. Le PFPDT recommande de l’utiliser dans le cadre de manifestations en Suisse.
En 2019, le Conseil fédéral a autorisé la création de 3 postes au PFPDT en vue de l’entrée en vigueur de la nouvelle loi sur la protection des données (LPD), prévue pour le 2e semestre 2022. Ces postes ont été pourvus dans l’intervalle.
Après la résiliation du mandat par les représentants communs des exploitants de SocialPass, la procédure de surveillance en cours fait face à de possibles nouveaux retards.
La possibilité de fournir des certificats sur papier et la création d’un code bidimensionnel (code-barres) supplémentaire, nécessitant un minimum de données, pour son utilisation en Suisse, répondent à des exigences essentielles de la surveillance en matière de protection des données.
Dans le cadre du groupe de projet mis sur pied par l’OFSP en vue de l’introduction d’un certificat de vaccination contre le COVID-19, le PFPDT veille à ce que celui-ci soit conçu conformément aux exigences de la protection des données.
Après Facebook, c'est au tour de LinkedIn d'être rattrapé par une fuite massive de données personnelles. D’après le site Cybernews, les données de 500 millions d’utilisateurs du réseau social professionnel sont en vente sur un forum spécialisé. Il s’agit notamment des identifiants, des noms complets, des adresses électroniques, des numéros de téléphone, des liens vers d'autres profils LinkedIn et vers ceux d'autres réseaux sociaux.
Le secteur privé et les autorités fédérales devront adapter le traitement des données personnelles aux nouvelles dispositions prévues par la révision de la loi fédérale sur la protection des données. Le PFPDT met en évidence ci-après les principales nouveautés dont ils devront tenir compte à cette fin.
La collecte des coordonnées destinée au traçage des contacts est prévue par la loi. L’ordonnance COVID-19 situation particulière précise quelles sont les données qui peuvent être collectées et dans quel but.
Le Préposé ne souscrit pas au projet du Conseil fédéral visant à exclure de la Loi sur la transparence les documents concernant les modèles de prix dans les médicaments.
Sous l'acronyme « loi fédérale sur les tâches d'exécution de l’OFDF », le Conseil fédéral a ouvert la procédure de consultation sur un paquet législatif avec lequel il entend créer la base légale du programme de numérisation et de transformation (DaziT) de l'Administration fédérale des douanes.
Dans son arrêt du 16 juillet 2020 dans l'affaire C-311/18 Commissaire à la protection des données contre Facebook Ireland Ltd et Maximilian Schrems, la Cour de justice a invalidé la décision 2016/1250 sur le caractère adéquat de la protection assurée par le bouclier de protection des données entre l'UE et les États-Unis.
Après appréciation du rapport «Risk Estimation Proximity Tracing» du NCSC, le PFPDT confirme son évaluation selon laquelle le système suisse de traçage de proximité exploité par l’OFSP et l’appli SwissCovid respectent les exigences en matière de protection des données.
Le Préposé surveille la mise en œuvre des plans de protection par les entreprises privées. Il tient à ce que la collecte et la transmission de données personnelles dans le cadre de ces plans ne se fassent qu’avec le consentement des personnes concernées
Die Proximity Tracing App erfüllt die datenschutzrechtlichen Anforderungen - Stellungnahme nach Art. 17a DSG zum Pilotversuch mit dem Swiss Proximity-Tracing-System (SPTS).
Le PFPDT constate qu’il présente des améliorations du point de vue de la protection des données, du fait notamment de l’approche décentralisée retenue. Il s’assurera au moment du lancement prochain de l’application que celle-ci respecte au mieux la protection des données.
02.04.2020 - L’École polytechnique fédérale de Lausanne (EPFL) a demandé le 21 mars 2020 au PFPDT de soumettre à une évaluation sommaire le projet d’une « Covid Proximity Tracing App » auquel elle participe.
Dans l'intervalle, le PFPDT a reçu de l'OFSP et de Swisscom des documents pertinents sur le sujet. Tous deux ont également assuré le PFPDT qu'à l'avenir, ils le tiendront informé en permanence des projets relatifs à la protection des données dans le cadre de la lutte contre la pandémie.
17.03.2020 - Dans la mesure où des personnes privées (en particulier des employeurs) traitent des données personnelles pour lutter contre la pandémie, les principes énoncés à l'article 4 de la loi fédérale sur la protection des données doivent être respectés.
En complément de sa déclaration concernant l’application Clearview, le PFPDT précise sa position quant à la collecte massive et au traitement de données faciales disponibles en ligne.
Après le référendum sur la sortie du Royaume-Uni de l’Union européenne (Brexit), qui s’est tenu en juin 2016, le gouvernement britannique a annoncé sa décision de quitter l’UE. Le retrait a lieu le 31 janvier dernier.
Le PFPDT a pris connaissance de l’article du New York Times du 18 janvier 2020 consacré à l’application privée Clearview et se prononce comme suit sur celle-ci.
Le PFPDT salue l’achèvement par le Conseil des Etats de la consultation concernant la révision totale de la Loi sur la protection des données (LPD) et la large reprise des améliorations proposées par sa commission face à la version du conseil national.
Le PFPDT se félicite du fait que, dans le peu de temps disponible jusqu'à la fin de la session, la Commission des institutions politiques du Conseil des Etats (CIP-E) a réussi à adopter un texte législatif à l'attention du plénum du Conseil des Etats qui est prêt à être consulté et qui améliore sensiblement la version du Conseil national.
Suite au traitement par le Conseil national de la révision totale de la loi sur la protection des données (LPD) en tant que première chambre, le PFPDT espère que la deuxième chambre puisse de son côté débattre de ce projet lors la session d'hiver et améliorer encore la protection de la population suisse en l’alignant aux standards européens.
À l’occasion d’une rencontre à Berne avec le PFPDT, la Libra Association a réitéré son engagement à développer un standard de protection des données uniforme pour le système.
Par jugement du 3 septembre 2019, le Tribunal administratif fédéral (TAF) a admis le recours du PFPDT contre la décision de l'Administration fédérale des contributions (AFC) et le Département fédéral des finances (DFF).
Après avoir étudié le message du Conseil fédéral du 15 septembre 2017 concernant la révision totale de la loi fédérale sur la protection des données, la Commission des institutions politiques du Conseil national a décidé le 15 août 2019, la voix prépondérante du président ayant permis de trancher, de soumettre le projet au Conseil national, prioritaire en l’occurrence.
Postfinance SA a confirmé par courrier le 13 juin 2019 que, pour ne pas être soumis à l’authentification par empreinte vocale, ses clients suisses devraient continuer de lui signifier expressément leur refus.
Les autorités britanniques et d'autres autorités de protection des données ont publié une déclaration commune demandant aux promoteurs de Libra de faire preuve d'une plus grande transparence concernant le projet
La décision du 19 mars 2019 du Tribunal administratif fédéral dans l’affaire Helsana+ n’a pas été attaquée pendant le délai de recours. Elle est donc définitive.
Arrêt du Tribunal administratif fédéral du 19 mars 2019: Helsana Assurances complémentaires SA a traité illégalement des données personnelles provenant des assurances de base pour son programme de bonus Helsana+.
Le Parlement ayant scindé la révision de la loi sur la protection des données, le premier volet, à savoir la loi sur la protection des données Schengen (LPDS), est entré en vigueur le 1er mars 2019.