Les chiffres de la collecte invisible de données par Google

Evidemment, me direz-vous, étant donné le modèle économique de Google qui consiste à fournir des services gratuits en échange de données personnelles utiles au ciblage publicitaire, on pouvait se douter qu’Android, le système d’exploitation pour smartphones de Google, soit une pompe à données. Mais on n’imaginait pas forcément à quel point Android est glouton.

Etude de l’université de Vanderbilt (USA)

Un professeur d’informatique à l’université de Vanderbilt (Nashville, Tennessee, USA) et son équipe ont mené une étude sur la collecte de données par Google. L’étude de 55 pages a été publiée en août dernier et rappelle que Google collecte des informations de deux manières.

Republier sur son site web une photo publiée ailleurs peut constituer une violation du droit d'auteur

Dans un arrêt C-161/17 rendu le 7 août 2018, la Cour de justice de l’Union européenne (CJUE) a considéré que la mise en ligne, sur un site web, d’une photographie qui a été préalablement publiée sur un autre site web sans restriction empêchant son téléchargement et avec l’autorisation du titulaire du droit d’auteur peut constituer une violation du droit d’auteur si l’ayant droit de la photographie n’a pas donné son accord.

TF : rappel des principes relatifs au droit d'accès aux données personnelles

Dans un arrêt du 28 mai 2018 (1C_642/2017), le Tribunal fédéral a rappelé les principes applicables en matière de droit d’accès aux données personnelles.

Faits

Le 12 août 2015, se fondant sur les dispositions de la loi genevoise sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD), X a demandé au Département des finances l’accès à l’ensemble des directives et instructions relatives à la pratique et aux conditions applicables aux abandons de créances, à son dossier personnel en mains de la Commission des finances et du service du contentieux de l’Etat, ainsi qu’à l’ensemble des conventions conclues entre 2003 et 2013. X a ensuite saisi le Préposé cantonal à la protection des données et à la transparence.

Le RGPD et les travailleurs frontaliers

Il semble y avoir beaucoup de confusion quant au champ d’application extraterritorial du Règlement européen sur la protection des données (RGPD), particulièrement en ce qui concerne les frontaliers. Reprenons depuis le début.

Application extraterritoriale

Selon son article 3, le RGPD s’applique non seulement aux responsables de traitement ou sous-traitants établis dans l’Union européenne (UE), mais il s’applique aussi à certaines conditions s’ils ne sont pas établis dans l’UE. L’art. 3 al. 2 RGPD prévoit ceci :

Cour EDH : refus du droit à l'oubli numérique pour deux condamnés pour assassinat

Dans un jugement publié le 28 juin 2018 (n° 60798/10 et 65599/10), la Cinquième section de la Cour européenne des droits de l’Homme (Cour EDH) a refusé à deux personnes le droit à l’oubli numérique. Ces personnes avaient été condamnées en 1993 en Allemagne pour l’assassinat d’un acteur très populaire. Ils ont fait recours contre leur condamnation jusqu’à la Cour EDH. Ils ont formé plusieurs demandes de révision et, lors de la dernière en 2004, ils ont médiatisé des documents en relation avec ladite procédure de révision. Ils ont été libérés sous condition en 2007 et 2008.

Facebook : récusation d'un magistrat et responsabilité conjointe de traitement

Deux arrêts ont été rendus ces derniers jours concernant de près et de loin Facebook. Le premier est celui de la Cour de justice de l’Union européenne (CJUE) qui devait déterminer si un administrateur d’une page Facebook était responsable conjoint de traitement. Le second a été rendu par le Tribunal fédéral (TF) concernant la récusation d’un juge en raison d’une “amitié” sur Facebook.

1. L’arrêt de la CJUE

La CJUE a confirmé le 5 juin l’opinion de son avocat général (dont j’avais parlé ici en novembre 2017 et auquel je vous renvoie pour les faits de l’affaire).

[Conférence] Cloud computing et RGPD

Lundi 11 juin 2018, de 13h45 à 17h45, à la Maison de la Communication à Lausanne, aura lieu une conférence sur le thème “Cloud Computing sous les auspices du nouveau RGPD” organisée par la Licencing Executive Society (LES-CH).

Les personnes suivantes s’exprimeront sur un thème :

1. le Préposé fédéral suppléant à la protection des données | RGPD et nouvelle LPD
2. le Chief Information Security Officer de la Banque cantonale vaudoise | Cloud computing et criminalité dans le domaine bancaire
3. le Head of Cloud Solutions de Swisscom | Cloud computing et protection des données dans les télécommunications
4. le directeur juridique de Genomic Health International Sàrl | Cloud computing et protection des données dans les sciences de la vie
5. le CEO de ZENData Sàrl | Cloud computing et protection des données dans la cybersécurité
6. la DPO de MSC Cruises SA | Le rôle du DPO
7. et moi-même | Le rôle du DPO

Le flyer et le bulletin d’inscription peuvent être téléchargés ici.

Schrems attaque Facebook et Google dès l'application du RGPD

Les autorités de contrôle européennes avaient indiqué ne pas vouloir commencer à contrôler et sanctionner les entreprises dès le vendredi 25 mai 2018, premier jour de l’application du RGPD. Mais Maximilian Schrems n’en a cure.

Non content d’avoir fait tomber le Safe Harbour, de contraindre la justice européenne à se pencher sur les clauses contractuelles types, le juriste et activiste autrichien a déposé quatre plaintes via son organisation à but non lucratif, NOYB (None Of Your Business), vendredi à 1 h 26 du matin. Les plaintes visent Google pour son système d’exploitation Android, Facebook, Instagram et WhatsApp (ces deux dernières sociétés appartiennent à Facebook) et ont été déposées devant quatre autorités de contrôle différentes : la CNIL (France), l’APD (Belgique), la HmbBfDI (Hambourg, Allemagne) et la DSB (Autriche). Le but avoué est de pousser les autorités de contrôle à coopérer entre elles, comme le prévoient les art. 60 à 62 du RGPD.

Deux contributions à paraître : DPO et Facebook

Il y a un an, j’ai donné un atelier à la Journée suisse du droit de la protection des données sur le thème des réseaux sociaux. Cet atelier se voulait didactique et “technique”, dans le sens où j’ai montré notamment comment fonctionne la collecte de données personnelles, comment il est possible de nous identifier et nous suivre sur le web sans utiliser de cookies, et comment on peut déduire des informations sur une personne grâce à des données complètement banales.

Salon SITB : témoignage sur la mise en conformité au RGPD

Mercredi 25 avril, à 15h00, au Salon Swiss IT Business (SITB) à Palexpo Genève, je serai en compagnie de mon ami Sébastien Fanti pour évoquer entre autres l’épineuse question du RGPD.

Le sujet de la keynote s’intitule RGPD & LPD, êtes-vous prêts ? Fondamentaux et témoignage d’une mise en oeuvre dans une grande société Suisse.

Sébastien Fanti se chargera de la partie sur les fondamentaux en matière de LPD et de RGPD, puis nous échangerons sur la mise en pratique du RGPD au sein d’une grande société suisse dont je suis le Data Protection Officer (DPO).