18 février, 2025
Le FDPIC est l’autorité fédérale suisse chargée de la protection des données. Récemment, le 25 janvier et début février, il a publié deux lignes directrices importantes pour aider à interpréter la législation nationale sur la protection des données.
Les ‘Lignes directrices sur le traitement des données à l’aide de cookies et de technologies similaires‘ (lien) clarifient cette question interdisciplinaire. Elles fournissent des définitions clés telles que celles des éléments techniques (par exemple, ‘cookie’, ‘tracking’), les différences entre les cookies (par exemple, en fonction de la durée de stockage, de leur fonction, de la partie qui les met en place et de leur finalité) et l’interaction avec les règles sur la protection des données, par exemple :
Quand les cookies sont-ils considérés comme des données à caractère personnel?
Dans deux situations:
Si l’information traitée possède elle-même une caractéristique d’identification : Par exemple, l’identifiant unique de l’utilisateur pour Android ou l’identifiant de l’annonceur pour Apple.
Si une référence personnelle peut apparaître en raison des circonstances de la collecte et de l’évaluation ultérieure des données par l’opérateur du site web ou par des tiers.
Qu’est-ce que le profilage ou le profilage à haut risque et quand est-il effectué par les exploitants de sites web?
Le profilage: Défini à l’art. 5(f) du FADP comme l’évaluation des aspects personnels d’un individu, tels que ses performances professionnelles, sa santé, ses préférences ou sa localisation, afin d’analyser ou de prédire certains comportements. La logique est que plus de données permettent de mieux prédire les préférences et de mieux adapter la publicité.
Profilage à haut risque: Selon la définition de l’article 5, point g), du FADP, le profilage à haut risque est défini comme suit 5(g) du FADP, implique la mise en relation de données pour évaluer des aspects essentiels de la personnalité d’un individu, avec des exigences plus strictes pour ce type de profilage. Exemples:
1. la collecte de données de géolocalisation à l’aide de cookies et de technologies similaires peut donner lieu à un profilage à haut risque en fonction de la durée et du rayon de la collecte de données ou si le profilage implique un grand nombre d’ensembles de données différents.
2. le site utilise des cookies pour enregistrer le comportement et les intérêts des visiteurs afin de permettre à des tiers de placer des publicités personnalisées sur la base de ces données ou de leur vendre aux enchères le placement de publicités personnalisées.
3. la combinaison de données avec des données collectées par d’autres sociétés du même groupe opérant dans des secteurs différents et dont le traitement s’étend sur une longue période.
Quel est le rôle des opérateurs de sites web en matière de protection des données?
Ils sont les responsables du traitement du site web car ils contrôlent quelles données sont traitées par les cookies et à quelles fins.
Dans le cas de cookies de tiers, le fournisseur de ces services est considéré comme le responsable du traitement (par exemple, ces cookies sont installés pour leurs propres besoins), mais l’exploitant du site web est considéré comme un coresponsable du traitement car il a le contrôle de son site web et permet au tiers d’obtenir des données en intégrant les services de tiers (par exemple, en fournissant les moyens).
Quelles sont les obligations des exploitants de sites web lorsqu’ils utilisent des cookies, en particulier les cookies dits non essentiels?
Ces obligations comprennent:
- la fourniture d’informations,
- l’application des principes de protection des données, en particulier la transparence et la proportionnalité,
- la fourniture d’une justification (par exemple, une base juridique) pour l’utilisation de cookies non essentiels qui, dans le cas de cookies inattendus (par exemple, des cookies non liés au service du site web) et de cookies contenant des informations sensibles ou permettant un profilage à haut risque, doivent être soumis à un consentement
- une fonctionnalité d’objection (‘op-out’) ou de retrait du consentement
- DPIA en cas de traitement sensible et de profilage à haut risque
L’application concrète de ces obligations nécessite une analyse des circonstances de chaque cas, et les lignes directrices fournissent quelques exemples qui aident à interpréter les obligations lors de l’utilisation de ces technologies, ainsi que des références à des mesures d’exécution récentes.
Par la suite, le FDPIC a publié ses ‘Lignes directrices relatives à la notification des violations de données à caractère personnel et à l’information des personnes‘ (lien). Ces lignes directrices définissent les critères permettant de déterminer si une violation de données présente un risque élevé et doit donc faire l’objet d’une notification. Deux éléments sont essentiels à cette évaluation: La gravité des conséquences et la probabilité de ces conséquences.
En résumé, l’évaluation des risques doit tenir compte de la sensibilité des données à caractère personnel concernées et du contexte dans lequel ces données sont utilisées (par exemple, les cartes d’identité ou les cartes de crédit bancaires, même si elles ne contiennent pas de données sensibles, peuvent conduire à un vol d’identité ou à une fraude), des circonstances de la violation en mettant l’accent sur les motifs et l’identification des responsables (par exemple, violation humaine interne ou malveillante externe), de l’implication de personnes vulnérables (par exemple, les mineurs ou les personnes handicapées), de l’effort nécessaire pour identifier les personnes concernées en termes de temps et d’argent, de l’impact sur la santé et la sécurité des personnes, de l’impact sur l’environnement et de l’impact sur l’environnement. Aucun destinataire autorisé ne peut en avoir besoin. Sur ce dernier point, le FDPIC confirme que la perte de données cryptées ne doit pas être signalée car elles sont considérées comme anonymes pour les tiers qui ne sont pas autorisés à y accéder, ce qui n’est pas le cas pour des données seulement pseudonymisées, qui restent des données à caractère personnel.
En outre, le responsable du traitement doit évaluer la probabilité que les effets de la violation de la sécurité des données causent effectivement un préjudice aux personnes les plus touchées. La probabilité d’un risque élevé peut être anticipée – même si les détails concrets de l’impact ne sont pas encore disponibles – en raison de la quantité de données personnelles sensibles en plus des données administratives et scientifiques, de sorte que la notification ne peut pas être retardée. Il en va de même lorsque le responsable du traitement a prévu, annoncé ou pris des mesures, auquel cas il ne peut attendre que ces mesures soient mises en œuvre et évaluées pour en informer le FDPIC.
Comment et quand notifier le FDPIC?
Le FDPIC met à disposition un portail de notification
(www.databreach.edoeb.admin.ch) pour la notification obligatoire, qui garantit la transmission sécurisée des données au FDPIC.
La notification doit être faite le plus rapidement possible après avoir pris connaissance de la violation. Cela diffère du GDPR qui impose un délai de 72 heures.
Quand le responsable du traitement doit-il informer les personnes concernées?
Le responsable du traitement doit informer les personnes concernées de la violation de la sécurité des données si elles peuvent ou doivent prendre elles-mêmes des mesures pour minimiser ou éviter les dommages résultant d’une violation de la sécurité des données ou si le FDPIC l’exige. En d’autres termes, il peut être nécessaire de les informer même si la violation ne présente pas un risque élevé. Voici quelques exemples d’informations devant être communiquées aux personnes concernées
- s’ils doivent modifier leurs données d’accès ou leurs mots de passe,
- si les cartes de crédit doivent être bloquées
- si les relevés de compte ou les messages et demandes, par exemple les courriels d’hameçonnage, doivent faire l’objet d’un examen critique.
Le besoin d’information peut également se faire sentir lorsque les personnes ne sont pas sûres de la situation et s’attendent au pire. Dans ce cas, le FDPIC peut ordonner la notification en considérant qu’il existe un intérêt public à connaître des informations plus détaillées sur les conséquences d’une violation de la sécurité des données.
Le contenu de la notification et des informations:
Toutefois, les informations fournies aux personnes concernées doivent l’être dans un langage simple et compréhensible et peuvent être dispensées dans certains cas.
Que se passe-t-il si un responsable du traitement des données ne notifie pas ou n’informe pas d’une violation de la sécurité?
Le non-respect, en tout ou en partie, de l’obligation de déclaration au FDPIC ou aux personnes n’est pas une infraction pénale. Dans ce cas, le FDPIC peut ordonner au responsable du traitement de s’y conformer. Toutefois, une violation de la sécurité des données peut constituer une infraction pénale si, par exemple, le responsable du traitement n’a pas respecté les exigences minimales en matière de sécurité des données. Dans ce cas, l’amende peut atteindre 250 000 CHF.
Chez MyData-TRUST, notre équipe d’experts est bien équipée pour aider les organisations à naviguer dans les complexités des réglementations suisses sur la protection des données, y compris la conformité avec les dernières directives du FDPIC sur les cookies et les technologies similaires. Que vous ayez besoin de conseils pour interpréter ces nouvelles exigences, évaluer vos pratiques actuelles ou mettre en œuvre des solutions conformes, nous sommes là pour vous aider. Notre expertise approfondie en matière de confidentialité des données au niveau mondial garantit que votre organisation reste alignée sur les normes juridiques en constante évolution tout en maintenant un cadre solide de protection des données. Contactez-nous pour savoir comment nous pouvons vous aider à vous mettre en conformité en toute confiance.
