Le droit à l’oubli, qu’est-ce que c’est ?

Publié le

Depuis que le Règlement européen en matière de protection des données personnelles a été adopté, on parle davantage du droit à l’oubli, un peu comme si cela était nouveau.

Mais si l’on considère que le droit à l’oubli est le droit d’une personne concernée de voir ses données personnelles supprimées, sur demande ou automatiquement dans certains cas, lorsque leur conservation n’est plus nécessaire ou pertinente, alors ce droit existe déjà, y compris dans la législation suisse, car c’est la mise en oeuvre du principe de proportionnalité, concrétisée par l’art. 15 de la loi fédérale sur la protection des données qui mentionne les prétentions que faire valoir la personne concernée auprès du Responsable de traitement..

En revanche, ce droit expressément mentionné comme tel dans la législation européenne, a eu pour effet de motiver certaines entreprises à vérifier qu’elle pouvait y faire droit sans peine si elles en sont requises, et d’autres à mettre en place une procédure de suppression des données.

C’est le cas de Google, qui a, bon gré mal gré, amélioré la procédure pour ce faire, après que la Justice ait confirmé que les moteurs de recherches sont responsables de supprimer sur demande les liens menant à des informations dont la personne concernée a déjà obtenu la suppression, ou l’anonymisation, de contenu.

Mais cela ne signifie pas qu’il est aisé d’obtenir la suppression de liens.

Vous trouverez ci-joint un document présentant les démarches pour faire supprimer un lien par Google quelques conseils: Demarches_droit à l’oubli_suppression_Google_V

Pour faire supprimer les données personnelles elles-mêmes, il convient de s’adresser au Responsable de traitement, qui pourra vous demander de vous identifier puisqu’il doit s’assurer qu’il supprime, cas échéant, les données de la bonne personne.

Ci-après vous trouverez le formulaire proposé à cette fin par le Préposé fédéral: https://www.edoeb.admin.ch/datenschutz/00628/00638/00640/index.html?lang=fr

Vous trouverez également ici la page du Préposé fédéral consacré au droit à l’oubli: https://www.edoeb.admin.ch/datenschutz/00683/01173/index.html?lang=fr

 

De la confidentialité chez Google ?

Publié le

Les spécialistes en sécurité de l’information et en protection des données n’ont de cesse de la répéter: si l’on a un compte Gmail, alors au moins ne jamais ouvrir la messagerie en même temps que l’on surfe sur le net. Cette messagerie était aussi décriée en raison de l’intrusion de Google dans les boite de messagerie. Mais non, disent les naïfs et ceux qui n’ont rien à cacher, « vous êtes paranoïaques ».

Comme l’indique un entrefilet du journal 20minutes du 27 juillet, Google annonce renoncer à lire le contenu des boîtes de messageries de ses abonnés aux fins de publicité ciblée, ce pour quoi il faisait l’objet de procédures judiciaires. Comme quoi …

La publicité ciblée continuera mais sur la base d ‘autres données, comme les recherches Internet. Nous voilà rassurés.

 

Protection des données:les choses sérieuses commencent

Publié le

C’est par ce titre que la revue ICT de mai 2017 introduit son article sur le nouveau Règlement européen (GDPR selon son acronyme anglais, RGPD pour les francophones), qui entrera en application au mois de mai 2018, et l’avant-projet de modification de al loi fédérale sur la protection des données (LPD), actuellement en cours de révision.

On entend beaucoup de choses depuis quelques semaines à ces sujets: c’est comme si les règles de protection des données personnelles, applicables au traitement de celles-ci depuis 1993 pour la Suisse (!), étaient une nouveauté contraignant les entreprises suisses à se réinventer, sans délai pour le faire, et comme si le RGPD avait vocation à s’appliquer pleinement en Suisse, pourtant pays tiers de l’Union, avec son armada de mesures, ses sanctions spectaculaires et ses autorités de contrôle avides de coups de tonnerre dans un ciel bleu.

Il n’en est rien, et s’il est vrai que des nouveautés se présentent, tant sur le plan européen que suisse, il faut raison garder. Pas ne rien faie, non, mais évaluer la situation par un état des lieux puis planifier les mesures à prendre en les priorisant. Faire, en quelque sorte, ce qui aurait dû être fait avec le temps depuis l’entrée en vigueur de notre loi il y a 24 ans.

L’article de ICT est bien construit, clair et objectif, vous le trouverez ici  pour plus d’information:  ICT_Journal_mai_2017_PD_1 ICT_Journal_mai_2017_suite 

Par ailleurs, vous pouvez prendre connaissance des prestations et prestations en ligne qu’offre AD HOC RESOLUTION pour vous accompagner vers la conformité: voir prestations

WINDOWS 10 accepte de se mettre en conformité avec la LPD

Publié le

Le Préposé fédéral (PFPDT) a terminé l’établissement des faits concernant le système d’exploitation Microsoft Windows 10. Les recommandations du PFPDT portant sur l’amélioration de la transparence dans le traitement des données ainsi que sur les choix d’installation s’y rapportant ont été acceptées par Microsoft.

La procédure menée par le PFPDT a permis de confirmer ce que d’aucun n’avait pas manqué de constaté: le traitement des données dans le cadre du système d’exploitation Windows 10 n’était pas entièrement conforme au principe de la protection des données. La structure et le contenu des pages «démarrer rapidement» et «paramètres de personnalisation» n’étaient pas suffisamment transparentes. En particulier, des informations quant à la durée de conservation des données transmises ainsi qu’au contenu des données de navigation, diagnostic et rapports d’erreur manquaient, et il était difficile pour l’utilisateur d’obtenir davantage d’informations sur les traitements spécifiques des données, par exemple en consultant des passages précis de la déclaration de confidentialité.

Grâce aux nouvelles pages de configuration qui s’afficheront lors du processus d’installation, les utilisateurs devront définir dans quelle mesure les données seront traitées et transmises, et ensuite l’autoriser.

A noter que la mise en œuvre technique des adaptations requises par le Préposé prévaudra à l’échelle mondiale pour les deux nouvelles mises à jour du logiciel Windows 10, toutes deux prévues en 2017. Dans la première version, lors de la réinstallation du logiciel respectivement de la mise à jour du système d’exploitation, les options de configuration concernant la transmission de données seront, au moyen d’informations détaillées, indiquées à tous les utilisateurs. Dans la deuxième mise à jour, ces derniers pourront, lors de l’installation, accéder directement aux passages correspondants dans la déclaration de confidentialité la plus actuelle..

Vous trouverez ici l’annonce officielle du PFPDT: https://www.edoeb.admin.ch/aktuell/01437/index.html?lang=fr

 

Le nouveau cadre de sécurité UE-USA -Privacy Schield

Publié le

Je vous l'avais annoncé l'été dernier, le nouveau cadre de sécurité devant remplacer le Safe Harbor, le Privacy Schield, est désormais en place entre les pays de l'union européenne et les États-Unis.

Ce cadre et formalisé par une décision de la commission européenne, et ses nombreux annexes, dans lesquels on retrouve le fruit des négociations avec le gouvernement américain, et les principes de protection des données personnelles qui devront désormais être respectées par les sociétés américaines désireuses de travailler avec l'union européenne d'une manière conforme.

Il s'agit en faite d'un processus d'auto certification, auquel doivent se livrer les entreprises américaines désireuses de se conformer à ce cadre de sécurité. Vous trouverez ici la documentation y relative, à savoir la décision et ses annexes, ainsi que la liste des entreprises auto-certifiées:

Décision_bouclier_protection C(2016) 4176_12_07_16

https://www.privacyshield.gov/list 

Lisez aussi l'avis du Préposé fédéral à la protection des données (PFPDT) sur le sujet du 17 janvier dernier: https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01406/index.html?lang=fr

Le Règlement général de l’Union européenne sur la protection des données

Publié le

Le RGPD renforce les droits des personnes concernées, en particulier leur droit à l'information, précise les responsabilité des différents acteurs - responsable de traitement et sous-traitant -, impose à certaines conditions des analyses d'impact sur la sphère privée, obligent les entreprises à documenter et formaliser leurs actions et procédures en la matière, liste les principes à respecter dans le traitement des données personnelles et données sensibles, organise la surveillance par les autorités de contrôle. Tout un  programme que les organismes sont invitées à mettre en place avec l'appui d'un délégué à la protection des données (DPO), sur une base volontaire ou obligatoire selon leur statut et le type de traitement de données auquel elles procèdent.

Prenez connaissance du RGPD ici

Une table des matières du Règlement est également à votre disposition sous Publications

Le Privacy shield disponible

Publié le

Le cadre de sécurité remplaçant le Safe harbor, auquel les sociétés et entreprises peuvent adhérer pour garantir sur territoire américain un traitement conforme des données personnelles, a pris la forme d’une décision de la commission européenne et d’annexes consistant en engagements des autorités américaines, et a été publiée au Journal officiel de l’union européenne le 12 juillet dernier, consultable ici.

Le bouclier de protection des données UE-États-Unis reposeainsi sur un système d’autocertification, selon lequel les organisations américaines s’engagent à respecter les principes de protection de la vie privée imposés par la législation européenne, qui sont publiés par le ministère américain du commerce et qui figurent à l’annexe II de la décision. Le bouclier s’applique tant aux responsables du traitement qu’à leurs sous-traitants,  ceux-ci devant être contractuellement tenus d’agir uniquement sur instruction du responsable européen du traitement et de l’aider à répondre aux demandes de droit d’accès des personnes concernées.  La décision a pour effet d’autoriser les transferts d’un responsable du traitement ou d’un sous-traitant de l’Union vers des organisations américaines qui ont autocertifié leur adhésion aux principes auprès du ministère du commerce et qui se sont engagées à les respecter (voir § 14 et 15 de la décision).

 

Sensibilisation à la protection des données à l’attention des responsables sécurité et chefs d’entreprise

Publié le

Séminaire Protection des données personnelles

J’organise une formation par le CLUSIS, à laquelle participera notamment le Préposé fédéral.

Comme toujours la participation est gratuite pour les membres et de 150.- pour les autres.

C’est une formule courte (9h-13h), dispensée à Lausanne le 4 novembre prochain.

C’est l’occasion pour tout les techniciens et ingénieurs occupés à la sécurité de l’information, et qui en connaissent les rouages, d’étendre leurs connaissances au-delà de la seule sécurité des données, qui est un des principes prévalant au traitement des données personnelles, parmi toutefois 7 principes qui tous doivent être simultanément respectés.

Les enjeux actuels en la matière sont importants: Big data, traçage, mais aussi perte de maîtrise sur les données en cas d’externalisation de type Informatique en nuages, …

Vous trouverez ici les informations de base, il reste quelques places (nombre limité à 80 inscriptions). pu_2016-11-04-protection-donnees-personnelles-lausanne_v

La position de la Suisse face au bouclier de protection

Publié le

Vous avez pu lire que le Safe Harbor annulé, l’Union européenne est sur le point de valider un nouveau cadre de sécurité pour les flux transfrontières en direction des Etats-Unis, appelé  Privacy Schield (traduit Bouclier de protection).

La position de la Suisse à cet égard est présentée par le Préposé fédéral dans sa fiche du 4 juillet dernier. En résumé, la Suisse doit effectivement s’aligner sur ce nouveau cadre, non seulement parce que sinon les conditions de traitements des données personnelles ne respecteront pas les exigences légales, mais également parce que la Suisse risque de perdre son caractère de pays adéquat en termes de traitement des données personnelles. On peut certes envisager de régler la question de cas en cas par le biais de clauses contractuelles adéquates, mais cela n’empêche pas un accès disproportionné des autorités américaines à des données personnelles car ces clauses ne sont pas opposables à des tiers au contrat.

Dans l’attente que ce cadre de sécurité soit validé au niveau européen et implémenté en Suisse, seule la conclusion de contrats ad hoc obligeant les partenaires à respecter les principes applicables et à garantir la sécurité des données mais aussi une information claire et complète aux personnes concernées dont les données sont traitées sont à même de couvrir les sociétés concernées en terme de responsabilité.

Lisez ici l’avis du PFPDT susmentionné:http://www.edoeb.admin.ch/dokumentation/00153/01353/01378/index.html?lang=fr&print_style=yes