Publications

La présente contribution aborde la question du droit d’accès à ses données personnelles selon sa nouvelle teneur. Elle approfondit la compréhension de l’impact du droit d’accès en droit suisse, mettant en évidence les changements significatifs apportés par le législateur et leurs répercussions en pratique. En raison du manque de recul sur la nouvelle législation suisse en matière de protection des données, cette contribution s’appuie sur le droit européen pour offrir une perspective comparative.

Le Conseil d’Etat fribourgeois a adopté et transmis au Grand Conseil fribourgeois le projet de révision totale de la loi sur la protection des données. La future loi constitue un des étalons essentiels de la numérisation sur le plan cantonal et communal.

Le 27 juin 2023, le PFPDT a publié son 30e rapport d’activités pour la période 2022 à 2023. Celui-ci marque un tournant dès lors que le nouveau droit suisse de la protection des données entre en vigueur le 1er septembre 2023.

La Confédération et quelques cantons envisagent d’intégrer au sein de leur Constitution un droit à l’intégrité numérique. Encore inconnu en Suisse, ce concept reste largement indéterminé. Il est cependant dans l’air du temps. Mais s’agit-il d’une bonne réponse ? L'article a été co-écrit avec Michael Montavon.

Les élections fédérales de 2023 ont lieu le 22 octobre 2023. Afin de favoriser le débat démocratique, les citoyens et citoyennes du canton de Vaud pourraient recevoir des partis politiques de la publicité politique au sein de leur boîte aux lettres. Une pratique peu connue, mais licite, reposant sur une communication du Contrôle des habitants aux partis politiques vaudois. L'article a été co-écrit avec Kastriot Lubishtani.

Lorsque des données personnelles sont communiquées à des destinataires, le responsable du traitement doit fournir à la personne concernée, sur sa demande, l’identité des destinataires. Ce n’est que lorsqu’il n’est pas (encore) possible d’identifier ces destinataires que celui-ci peut se limiter à indiquer uniquement les catégories de destinataires. L'article a été co-écrit avec Philipp Fischer.

La Cour de justice de l’Union européenne est d’avis que le droit d’accès permet à la personne concernée, à sa demande, de solliciter du responsable du traitement qu’il lui indique l’identité des destinataires auxquelles des données sont ou ont été communiquées. Après une interprétation s’inspirant d’un pluralisme pragmatique, les auteurs sont d’avis qu’une solution identique devrait en principe prévaloir à l’aune de la nouvelle Loi fédérale sur la protection des données. L'article a été co-écrit avec Philipp Fischer.

La Cour de justice de l’Union européenne a tranché que le droit d’accès permet à la personne concernée de demander au responsable du traitement qu’il lui remette l’identité des destinataires auxquelles des données personnelles sont communiquées. Dans le cadre de cette contribution, les auteurs proposent quelques premières pistes de réflexion destinées à assister les responsables du traitement dans la mise en œuvre de cette nouvelle obligation que la jurisprudence a tiré du texte du RGPD. L'article a été co-écrit avec Philipp Fischer.

Le Président de l’autorité italienne de protection des données, le Garante per la protezione dei dati personali, a pris une décision le 30 mars 2023 qui limite temporairement le traitement de données personnelles par le service « ChatGPT » d’OpenAI.

L’art. 64 al. 2 de la Loi vaudoise sur les communes institue le secret des débats des Municipalités et interdit la communication des procès-verbaux de ses séances à des tiers. Cette exception ne concerne néanmoins que les comptes rendus des séances des Municipalités, soit la transcription des débats, sans porter sur les décisions des Municipalités contenues dans les procès-verbaux, lesquelles restent soumises à la Loi vaudoise sur l’information. L'article a été co-écrit avec Kastriot Lubishtani.

L’Assemblée fédérale a finalisé la révision législative consacrant la gratuité de la transparence en déléguant au Conseil fédéral la compétence de prévoir le montant pouvant exceptionnellement être prélevé lors d’une demande de transparence. La novelle entrera en vigueur prochainement. L'article a été co-écrit avec Kastriot Lubishtani.

Le Président des États-Unis d’Amérique Joe Biden a signé le 7 octobre 2022 un décret présidentiel visant à répondre aux préoccupations soulevées par la Cour de justice de l’Union européenne en matière de transferts transatlantiques de données personnelles. Ce décret présidentiel pose les jalons nécessaires à l’établissement par la Commission européenne d’une décision d’adéquation en faveur des États-Unis d’Amérique. Un projet en ce sens vient d’ailleurs d’être publié par la Commission européenne. L'article a été co-écrit avec Jeremy Reichlin.

Dans le courant de l’été 2021, le PFPDT a publié deux importantes notices relatives au transfert de données dans un pays ne présentant pas le niveau de protection des données requis. Ces publications du PFPDT s’inscrivent en marge de sa décision de reconnaître en Suisse (sous réserve de quelques modifications et compléments) les nouvelles clauses contractuelles types adoptées par la Commission européenne du 4 juin 2021. Le présent article se propose de faire un tour d’horizon du sujet en Suisse un peu plus d’une année après la publication de ces deux notices. L'article a été co-écrit avec Jeremy Reichlin.

Est-il possible de contraindre le responsable du traitement à communiquer des informations précises sur l’identité des destinataires des données ? C’est en substance la question préjudicielle à laquelle la CJUE doit donner réponse sur la base du RGPD et à laquelle l’avocat général Pitruzzella répond en vue de l’arrêt au fond.

Le Conseil fédéral a annoncé que la nouvelle Loi fédérale sur la protection des données du 25 septembre 2020, ainsi que les dispositions d’exécution inscrites dans les nouvelles ordonnances entreront en vigueur le 1er septembre 2023. L'article a été co-écrit avec Kastriot Lubishtani.

Nombreux sont les éditeurs de sites web à exiger une contribution financière de la part de l’internaute lorsque celui-ci refuse le dépôt de cookies non publicitaires. L’expansion des cookies walls a conduit la CNIL à présenter ses critères d’évaluation pour encadrer cette nouvelle pratique. L'article a été co-écrit avec Charlotte Beck.

Aussi bien la protection des données que le principe de la transparence au sein de l’administration ont connu diverses avancées législatives tant au niveau fédéral qu’au niveau cantonal. Cet article dresse le panorama de ces nouveautés. L'article a été co-écrit avec Kastriot Lubishtani.

Un drone qui vole à une hauteur de 30 m au moins sans enregistrer les images qu’il retransmet en direct ne traite pas de données personnelles, car les personnes au sol ne sont ni reconnaissables ni identifiables. L'article a été co-écrit avec Kastriot Lubishtani.

Le droit d’accès permet aux personnes qui l’exercent d’obtenir notamment toute information disponible quant à leur source. L’Autorité danoise de protection des données précise cette composante du droit d’accès dans une décision concernant l’inscription à une newsletter.

La notion de finalité compatible prévoit que le responsable du traitement peut, sous certaines conditions, réutiliser des données personnelles initialement collectées pour une finalité donnée. Les conclusions de l’Avocat général M. Priit Pikamäe rendues le 31 mars 2022 viennent préciser cette notion.

Un responsable du traitement de données peut-il automatiquement demander à la personne qui exerce son droit d’accès de lui fournir une copie de sa carte d’identité ? Les autorités de protection des données d’Espagne et de Belgique rappellent les règles applicables dans deux récentes décisions.

Le PFPDT recommande à l’Office fédéral de la police (fedpol) de communiquer sur l’existence ou l’inexistence d’un contrat conclu avec NSO Group qui commercialise le logiciel espion Pegasus. L'article a été co-écrit avec Kastriot Lubishtani.

Le Conseil fédéral a annoncé le 16 février 2022 soutenir le projet de la Commission des institutions politiques du Conseil national visant à régler les rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence.

La Commission des institutions politiques du Conseil national a publié le 2 février 2022 son projet d’Ordonnance sur les rapports de travail du chef du Préposé fédéral à la protection des données et à la transparence. Des modifications de la nouvelle Loi fédérale sur la protection des données sont nécessaires.

À partir du 4 avril 2022, le Service des Automobiles et de la Navigation du canton de Vaud (SAN) permettra à toute personne de consulter le registre public des propriétaires de plaques vaudoises. Une pratique curieuse, conforme à la loi et non isolée.

Le Conseil fédéral a décidé le 8 septembre 2021 de renoncer à introduire un répertoire central des documents officiels.

Le Conseil des États se rallie à la volonté du Conseil national et du Conseil fédéral et entre en matière sur le projet de révision de la Loi sur la transparence (LTrans) introduisant le principe de la gratuité de l’accès aux documents officiels. L’art. 17 p‑LTrans va à présent être discuté au sein des deux chambres de l’Assemblée fédérale. L'article a été co-écrit avec Kastriot Lubishtani.

Une enquête menée par l’Office européen de lutte antifraude (OLAF) contre la société hongroise Élios Innovatív a révélé de graves irrégularités dans l’obtention de contrats financés par l’Union européenne. Le Tribunal de l’Union européenne a fait droit à une demande d’accès au rapport final de l’OLAF formulée par une militante hongroise en estimant que l’objectif de protection des activités d’enquête ne justifiait pas le refus d’accès.

Après le refus du Conseil des États d’entrer en matière, le Conseil national a réaffirmé le 27 septembre 2021 sa volonté d’ancrer le principe de la gratuité de l’accès aux documents officiels dans une révision de la Loi fédérale sur le principe de la transparence dans l’administration. Le projet de révision de la LTrans appuyé par le Conseil fédéral retourne donc au Conseil des États. L'article a été co-écrit avec Kastriot Lubishtani.

Par décision du 17 juin 2021, le Préposé vaudois à l’information a ordonné la transmission d’un document officiel détenu par le Ministère public central du canton de Vaud à un administré. L’affaire met en lumière le principe de la transparence auquel est soumis l’autorité en question dans le cadre de ses activités non juridictionnelles.

L’OFSP ne peut refuser une demande d’accès aux documents officiels portant sur les hypothèses et prévisions retenues par les assureurs-maladie pour fixer le coût des primes au motif qu’elle porte sur un volume extraordinairement important d’informations. Il doit identifier si des documents permettant de satisfaire à une telle demande existent et les transmettre. Toute autorité saisie d’une telle demande doit d’abord procéder à ce travail d’identification, au besoin en assistant le demandeur, qui peut également préciser sa demande lors et au terme de la procédure de médiation devant le PFPDT. L'article a été co-écrit avec Kastriot Lubishtani.

Depuis le 1er septembre 2021, l’Office fédéral de l’armement (armasuisse) publie sur son site web les documents officiels auquel l’accès a été accordé à la suite d’une demande fondée sur la LTrans. De fait, la mise en œuvre du principe de la transparence est renforcée.

La Commission des institutions politiques du Conseil national a présenté le 15 octobre 2020 un projet de modification de la Loi fédérale du 17 décembre 2004 sur le principe de la transparence dans l’administration afin d’y ancrer la gratuité de l’accès aux documents officiels. Adopté par le Conseil national, ce projet s’est heurté à la décision de non-entrée en matière du Conseil des États et son sort est incertain. L'article a été co-écrit avec Kastriot Lubishtani.

En vue de l’entrée en vigueur de la nouvelle Loi fédérale sur la protection des données, les ordonnances en matière de protection des données doivent être adaptées. À l’occasion de sa séance du 23 juin 2021, le Conseil fédéral a ouvert la procédure de consultation relative à l’une d’entre elles. La consultation court jusqu’au 14 octobre 2021.

Sur la base d’informations révélées par les médias, le Préposé fédéral à la protection des données et à la transparence recommande aux exploitants privés de l’application SocialPass de limiter de manière proportionnée les possibilités d’accès des autorités sanitaires cantonales aux données collectées et enregistrées.

Un administré genevois souhaite avoir accès à une main courante détenue par la police genevoise. La Chambre administrative de la Cour de justice du canton de Genève procède à une pesée des intérêts entre l’intérêt de l’administré à obtenir copie de la main courante et l’intérêt du tiers-dénonciateur à conserver l’anonymat. L’arrêt donne également l’occasion de procéder à une brève analyse de l’accès à un dossier de police judiciaire à l’aune du droit vaudois.

À la suite d’une enquête menée par un média alémanique dénonçant une violation de la sécurité des données, le Préposé fédéral a suspendu avec effet immédiat les traitements en lien avec la plateforme www.mesvaccins.ch. Si l’analyse par le PFPDT reste à être conduite, d’autres questions en lien avec le carnet de vaccination électronique subsistent, en particulier son déploiement en Europe comme en Suisse. L'article a été co-écrit avec Frédéric Erard.

L’Autorité belge de protection des données a confirmé le refus d’une entreprise de donner suite à une demande de droit d’accès formulée par un ancien employé et concernant, entres autres, les logs IT et les courriels le concernant. L’Autorité estime qu’une telle communication représenterait pour l’entreprise une charge de travail disproportionnée et violerait son droit à la protection du secret d’affaire.

Le 25 février 2021, l’Espagne a été condamnée par la CJUE au paiement d’une somme forfaitaire de € 15 millions et à une astreinte journalière de € 89’000 pour n’avoir toujours pas transposé la Directive Police-Justice.

Le 10 février 2021, les États membres du Conseil de l’Union européenne ont approuvé le mandat de négociation en vue de la révision des règles en matière de protection de la vie privée et de la confidentialité dans l’utilisation des services de communications électroniques.

En prévision de l’entrée en vigueur de la nLPD, nous avons créé un tableau comparatif entre les deux législations afin de mettre en exergue les différences existantes. Ce tableau se veut didactique, interactif et gratuit.

L'ouvrage est publié à la suite du Colloque CEDIDAC du 18 septembre 2020 organisé par Prof. Sylvain Métille et consacré au droit d’accès. La première partie traite du droit d’accès à ses données personnelles, sous l’angle théorique et pratique. On y découvre les droits des personnes concernées, les obligations du responsable du traitement, ainsi que de nombreux conseils pratiques sur la meilleure manière de traiter une demande. La seconde partie concerne le droit d’accès aux documents officiels et aux informations en main de l’administration, y compris les droits étendus garantis par la Convention d’Aarhus en matière d’environnement. Ici aussi, tant les aspects théoriques que pratiques sont abordés du point de vue du demandeur et du débiteur de l’information. L'ouvrage a été édité par Prof. Sylvain Métille, en collaboration avec Livio di Tria et Enzo Bastian.

L'ouvrage est publié à la suite du Colloque CEDIDAC du 18 septembre 2020 organisé par Prof. Sylvain Métille et consacré au droit d’accès. La première partie traite du droit d’accès à ses données personnelles, sous l’angle théorique et pratique. On y découvre les droits des personnes concernées, les obligations du responsable du traitement, ainsi que de nombreux conseils pratiques sur la meilleure manière de traiter une demande. La seconde partie concerne le droit d’accès aux documents officiels et aux informations en main de l’administration, y compris les droits étendus garantis par la Convention d’Aarhus en matière d’environnement. Ici aussi, tant les aspects théoriques que pratiques sont abordés du point de vue du demandeur et du débiteur de l’information.

La Cour de justice de l’Union européenne précise les modalités relatives à la récolte du consentement tel que prévu par le Règlement général sur la protection des données. L'article a été co-écrit avec Eva Cellina.

Le 25 septembre 2020, l’Assemblée fédérale adoptait la nouvelle Loi fédérale sur la protection des données. Aujourd’hui, le délai référendaire échoit. Parallèlement, le Conseil fédéral a rendu son avis s’agissant de la révision de la LTrans, afin d’y ancrer la gratuité de l’accès aux documents.

La Commission des institutions politiques du Conseil national a présenté le 15 octobre 2020 un projet de modification de la Loi fédérale du 17 décembre 2004 sur le principe de la transparence dans l’administration afin d’y ancrer la gratuité de l’accès aux documents officiels.

Le Conseil fédéral a communiqué le 4 novembre 2020 les objets soumis à la votation populaire du 7 mars 2021. Parmi ces objets, le peuple suisse aura l’occasion de se prononcer sur la Loi fédérale du 27 septembre 2019 sur les services d’identification électronique (LSIE ; FF 2019 6227), la demande de référendum contre cette loi ayant abouti en février dernier.

Le délai référendaire de la nouvelle Loi fédérale sur la protection des données commence à courir dès aujourd’hui et échoit le 14 janvier 2021.

Après la résolution des dernières divergences sur le « profilage », le Parlement fédéral a adopté le 25 septembre 2020 la nouvelle Loi fédérale sur la protection des données. Petit tour d’horizon sur ce que réserve cette nouvelle loi.

Tableau comparatif de la révision de la Loi fédérale sur la protection des données.

Après la résolution des dernières divergences sur le « profilage », le Parlement fédéral a adopté le 25 septembre 2020 la nouvelle Loi fédérale sur la protection des données. Chronologie d’une saga juridico-politique haletante.

Les membres de la direction de l’Établissement d’assurance contre l’incendie et les éléments naturels du Canton de Vaud ne font pas partie des personnalités publiques que la jurisprudence contraint à s’accommoder de la publication de leurs données personnelles.

Des rapports d’audit concernant le versement de primes exceptionnelles à des membres du Conseil d’administration et à des employés de Tridel SA sont des documents officiels soumis au principe de la transparence ancré au sein de la Loi vaudoise sur l’information. En revanche, la communication de l’identité d’un employé associé au montant d’une indemnité reçue relève de la sphère privée. Les mandataires externes peuvent également se prévaloir d’un intérêt privé prépondérant.

L’AIPD est un outil préventif prévu par la législation européenne en matière de protection des données et qui devrait l’être par la future législation suisse. Les conditions susceptibles d’obliger un responsable du traitement d’élaborer une telle analyse sont imprécises, lors que la violation de cette obligation peut entraîner des sanctions considérables. La présente contribution étudie ces conditions, ainsi que le contenu de l’analyse à opérer et la méthodologie à adopter, pour terminer avec les sanctions en cas de violation

L’année 2018 a été cruciale pour la protection des données. Malgré plusieurs scandales rappelant que l’utilisation illicite de données personnelles peut entraver les libertés les plus fondamentales, 2018 est à retenir comme l’année où le Règlement général de protection des données (RGPD) de l’UE a déployé ses effets. La Cour de justice de l’Union européenne (CJUE) a aussi eu l’occasion de se prononcer à deux reprises sur la notion de responsables conjoints du traitement, soit l’hypothèse selon laquelle deux personnes ou plus peuvent déterminer les finalités et les moyens d’un traitement de données à caractère personnel. L'article a été co-écrit avec Sylvain Métille.

Une dizaine de jours seulement après l’entrée en application du Règlement général sur la protection des données (RGPD) de l’Union européenne, la Cour de justice de l’Union européenne (CJUE) retient que l’administrateur d’une page hébergée sur le réseau social Facebook doit être considéré, conjointement avec ledit réseau, comme le responsable du traitement des données des visiteurs de ladite page (arrêt de la CJUE C-210/16 du 5 juin 2018)