Redstone Consulting SA

- Experts en Cybersécurité et en Protection des données - CISO et DPO externes -

Tag Archive GDPR

ByRedstone admin

BREAKING NEWS: 1 an pour se mettre en conformité! La nLPD entrera en vigueur le 1er Septembre 2023!!

Berne, 31.08.2022 – La loi sur la protection des données, totalement révisée, et les dispositions d’exécution inscrites dans les nouvelles ordonnances sur la protection des données (OPDo) et sur les certifications en matière de protection des données (OCPD) entreront en vigueur le 1er septembre 2023, conformément à la décision du Conseil fédéral du 31 août 2022. Ce délai laissera suffisamment de temps aux milieux économiques pour entreprendre les démarches nécessaires à la mise en œuvre du nouveau droit.

Nouveau droit de la protection des données à partir du 1er septembre 2023 (admin.ch)

ByRedstone admin

UK and U.S. Governments set a date for the entry into force of the UK-U.S. CLOUD Act Agreement

In October 2019, the UK and U.S. Governments signed an agreement on cross-border law enforcement demands for data from Communication Service Providers (the “Agreement”, which we described in our earlier post here). 

UK and U.S. Governments set a date for the entry into force of the UK-U.S. CLOUD Act Agreement | Inside Privacy

ByRedstone admin

Notre mémento sur Google Analytics

Vous trouverez nos recommendations pour l’utilisation de google analytics

202207_CNIL_Googleanalytics.pdf (redstoneconsulting.ch)

ByRedstone admin

Microsoft 365 utilisation illégale selon le PFPDT

Par prise de position du 13 mai 2022, publiée le 13 juin 2022, le PFPDT va au-delà de son avis précédemment donné à la SUVA.

Désormais, il retient que l’utilisation des services Cloud Microsoft 365 (Cloud Azure) est illégale, tant pour les organes privés que fédéraux.

Raisonnement en deux étapes :

  1. Est-ce qu’il s’agit d’une communication transfrontière ?

Parmi les entreprises qui proposent de traiter les données personnelles sur le Cloud et non sur site : Microsoft Ireland Operations Ltd, qui fait partie d’un groupe américain et dont le siège se trouve à Dublin.

Oui, selon le PFPDT, même si les datacenters sont hébergés en Suisse, l’utilisation d’un tel système de Cloud est une communication transfrontière car des données personnelles sont externalisées dans un centre de données étranger irlandais par une société exploitée par un groupe américain.

  1. Le transfert vers l’étranger est-il admissible ?

Pour les organes privés, en principe, l’admissibilité d’un transfert vers l’étranger se base sur le niveau de protection offert par la législation en vigueur vers le pays de destination ou des garanties contractuelles suffisantes et non pas sur le risque effectif en cas de transfert.

Pour les organes publics, en raison du secret de fonction, d’importantes difficultés sont rencontrées en cas de transfert à l’étranger. Une révision à venir de l’article 320 du Code pénal devrait permettre un allègement.

Oui, le transfert vers l’Irlande est possible, car elle fait partie de l’EEE et sa législation offre un niveau de protection adéquat.

Non, le transfert vers les Etats-Unis n’est pas possible, car la législation n’offre pas un niveau de protection suffisant, tant pour les organes privés que public.

CONCLUSION

Selon le PFPDT :

  • Toutes communications à une société faisant partie d’un groupe américain seraient assimilées à une communication transfrontière ;
  • Tous transferts ayant un lien direct ou indirect avec les Etats-Unis seraient illicites.

La position du PFPDT :

  • n’est pas contraignante ;
  • n’a à ce jour, pas été confirmé par la jurisprudence suisse ;
  • paraît difficilement pouvoir être mise en œuvre en pratique ;

Néanmoins, compte tenu de l’évolution technologique constante, l’analyse de toute migration vers le cloud doit être effectuée (via des analyses d’impact ou de transfert) afin de faire face aux besoins et aux risques réels.

ByRedstone admin

RGPD : la CNIL a mis en demeure 22 communes pour qu’elles désignent un délégué à la protection des données

Afin d’être en conformité avec le RGPD, un délégué à la protection des données (DPO) est nécessaire, même dans les collectivités locales. Face à ce manquement, la CNIL a mis en demeure 22 communes pour qu’elles en désignent un sous quatre mois.

Source : “RGPD : la CNIL a mis en demeure 22 communes pour qu’elles désignent un délégué à la protection des données” https://alloforfait.fr/internet/news/101976-rgpd-cnil-mis-demeure-22-communes-designent-delegue-protection-donnees.html

ByRedstone admin

Nouvelle loi à Andorre

Nouveau pays avec une lois en protection des données améliorée :

https://www.dataguidance.com/news/andorra-data-protection-law-enters-force

#Andorre #GDPR #dataprotection

ByRedstone admin

News du Jour : voici enfin des informations pour comment calculer une amende dans le contexte de reconnaissance faciale – Merci le CEPD !

Ce que je retient de ce calcul en 5 étapes : les autorités doivent analyser si le montant final calculé répond aux exigences d’efficacité, de dissuasion 

#RGPD #GPDR #CEPD #EDPB #Reconnaissance #Biométrie #Profilage

https://www.cnil.fr/fr/le-cepd-publie-des-lignes-directrices-sur-le-calcul-des-amendes-rgpd-et-sur-lutilisation-de-la