Strasbourg, 10 June / juin 2015

                                                                                                                        T-PD(2015)04Mos

                                                           

                                   

CONSULTATIVE COMMITTE OF THE CONVENTION

FOR THE PROTECTION OF INDIVIDUALS WITH REGARD
TO AUTOMATIC PROCESSING OF PERSONAL DATA

(T-PD)

LE COMITÉ CONSULTATIF DE LA CONVENTION POUR LA PROTECTION
DES PERSONNES A L’ÉGARD DU TRAITEMENT AUTOMATISÉ

DES DONNÉES A CARACTÈRE PERSONNEL

(T-PD)

Information on the recent developments at national level in the data protection field

Information sur les développements récents intervenus dans le domaine
de la protection des données au niveau national

Directorate General Human Rights and Rule of Law /

Direction Générale droits de l'Homme et Etat de droit

TABLE OF CONTENTS / TABLE DES MATIERES

ANDORRA/ANDORRE.. 3

AUSTRIA / AUTRICHE.. 4

BELGIUM / BELGIQUE.. 5

BOSNIA AND HERZEGOVINA / BOSNIE ET HERZEGOVINE.. 7

CROATIA / CROATIE.. 10

CYPRUS / CHIPRE.. 11

CZECH REPUBLIC / REPUBLIQUE TCHEQUE.. 12

ESTONIA / ESTONIE.. 13

FINLAND / FINLANDE.. 14

ITALY / ITALIE.. 15

LITHUANIA / LITHUANIE.. 19

MONACO.. 23

PORTUGAL. 25

SLOVAK REPUBLIC / REPUBLIQUE SLOVAQUE.. 26

SLOVENIA / SLOVENIE.. 27

SWITZERLAND / SUISSE.. 31

ASSOCIATION EUROPEENNE POUR LA DEFENSE DES DROITS DE L’HOMME / EUROPEAN ASSOCIATION FOR THE DEFENSE OF HUMAN RIGHTS (AEDH) 34

ANDORRA/ANDORRE

Développements majeurs  survenus dans le domaine de la protection des données en Andorra depuis la dernière session plénière

En ce qui concerne la législation, il est à noter qu’aucune modification de la Loi sur la protection de données à caractère personnel n’a été présentée au cours de cette période. Ce qui est rapporté , c’est la législation qui dans des domaines spécifiques développe des règles de protection de données personnelles :

Llei 37/2014, de l’11 de desembre, de regulació dels jocs d’atzar  établie une Commission Régulatrice du Jeu où l'Agence Andorrane de Protection de données peut émettre des rapports contraignants.

Llei 18/2014, del 24 de juliol, de la seguretat social L'article 9 modifie l’article 38 de la Loi 17/2008, du 3 octobre de la sécurité sociale au sujet de la utilisation de moyens électroniques, informatiques ou télématiques. Dans son paragraphe 3.) établie que les données des affiliés à la sécurité sociale sont couvertes par la législation sur la protection de données personnelles.

Llei 20/2014, del 16 d’octubre, reguladora de la contractació electrònica i dels operadors que desenvolupen la seva activitat econòmica en un espai digital. Les opérateurs doivent garantir le respect de la réglementation de la protection des données à caractère personnel (art.1)

Llei 35/2014, del 27 de novembre, de serveis de confiança electrònica(article 28 – Protection des données personnelles)

Llei 25/2014, del 30 d’octubre, del Butlletí Oficial del Principat d’Andorra (article 15 – protection de données personnelles dans la consultation du  journal officiel)

Llei 28/2014, del 24 de juliol, qualificada de modificació de la Llei qualificada de la Justícia, del 3 de setembre de 1993  Addition de l'Article 39 bis qui règle l'accés des juges et tribunaux à tout fichier du secteur public ou secteur privé

L'APDA  a émis la recommandation suivante :

- N° 1/2015  du 28 janvier 2015 portant recommandation sur le traitement de données personnelles  à des fins de vidéosurveillance

AUSTRIA / AUTRICHE

Major developments in the data protection field in Austria 2014/2015

-       the first annual report of the newly established Austrian Data Protection Authority (Annual Report 2014) is available in German at http://www.dsb.gv.at/DocView.axd?CobId=59092

-       Following the judgment of the EJC of 8 April 2014, cases C-293/12 and C‑594/12, the
Austrian Constitutional Court declared the national provisions on data retention unconstitutional (judgment of 27 June 2014, G 47/2012) and annulled them. An English translation of the merits is available at

https://www.vfgh.gv.at/cms/vfgh-site/attachments/1/5/8/CH0006/CMS1409900579500/erwaegungeneng28082014.pdf

-       In its judgment of 10 December 2014, B 1187/2013, the Austrian Constitutional Court declared that data subjects have a right to have paper files of an authority destroyed (vernichten) if the continued retention of paper files (and personal data therein) would constitute a violation of Art. 8 ECHR. The data subject must request the (physical) destruction. If the authority is of the opinion that the further retention of the paper file in question is not in violation of Art. 8 ECHR it must issue a decision that can be appealed through the administrative courts. The Data Protection Authority does not play a role in this procedure.

BELGIUM / BELGIQUE

Principales modifications législatives intervenues en Belgique en 2014

Notez que la Belgique a connu un changement de gouvernement au mois d’octobre 2014 suite aux élections qui ont eu lieues le 25 mai 2014. Il en résulte que l’activité législative a été ralentie.

1. Création d’un organe de contrôle de la gestion de l’information policière

La loi du 18 mars 2014 relative à la gestion de l’information policière modifie notamment la loi organique de la Commission belge de protection de la vie privée (DPA belge) (soit la Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel) en créant auprès de celle-ci un Organe de contrôle de la gestion de l’information policière. Cet organe, ci-après dénommé le COC, est chargé du contrôle du traitement des informations et des données à caractère personnel qui présentent un caractère adéquat, pertinent et non excessif au regard des finalités de police administrative et de police judiciaire pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement.

Cet organe est indépendant de la Commission belge de la protection de la vie privée dans l’exercice de ses missions. Ses membres sont désignés par la Chambre des représentants. Le COC se compose d’un magistrat des cours et tribunaux (en qualité de président), d’un membre de la Commission de la protection de la vie privée, d’un ou plusieurs membres de la police locale et de la police fédérale ainsi que d’un ou plusieurs experts. Il ne connaît pas des demandes d’accès indirect dont le traitement continue de relever de la compétence de la  Commission belge. Il peut par contre être saisi par cette dernière de manquements graves ou récurrents constatés dans le cadre du traitement de ces demandes.

Cet organe de contrôle agit d’initiative mais également à la demande de Commission de la protection de la vie privée, des autorités judiciaires ou administratives, du ministre de la Justice, du ministre de l’Intérieur ou de la Chambre des représentants. Il veille au respect des règles d’accès direct à la BNG (Banque de données nationale générale), veille, par le biais d’enquêtes de fonctionnement, à ce que le contenu de la BNG mais également des autres banques de données policières et les procédures de traitement des données qui y sont conservées soient respectées. La régularité des opérations telles que l’évaluation des données, leur enregistrement, leur effacement, leur archivage à l’échéance des délais de conservation sera ainsi désormais vérifiée par le COC.

Pour pouvoir mener à bien ses missions, le COC dispose d’un accès illimité à toutes les informations et les données traitées par les services de police. Il peut charger ses membres d’effectuer des enquêtes sur place. Il peut également émettre des avis, notamment sur la communication des informations policières aux autorités publiques belges chargées par la loi de l’application de la loi pénale ou de missions de sécurité publique autres que celles expressément autorisées par la loi sur la fonction de police.

2. Administration électronique – renforcement de l’obligation de collecte indirecte dans le chef des administration : le principe de la collecte unique (only once)

La loi du 5 mai 2014 garantit le principe de la collecte unique des données dans le fonctionnement des services et instances qui relèvent de ou exécutent certaines missions pour l’autorité publique. Elle porte également simplification et harmonisation des formulaires électroniques et papier. Elle a pour objectif d’imposer et d’ancrer la réutilisation des données déjà disponibles dans des sources authentiques dans le fonctionnement des services publics fédéraux. Cette législation qui vient compléter l’encadrement juridique de l’administration électronique est également dénommée « Loi Only once » (une seule fois) par référence au principe de collecte unique des données auprès du citoyen ; ce qui évite ainsi de devoir solliciter ce dernier à plusieurs reprises pour l’obtention des mêmes données.  Cette loi entend par ailleurs stimuler l’utilisation de formulaires électroniques en leur conférant une valeur légale égale à celle des formulaires papier. La Commission belge avait émis un avis 03/2014 sur cette législation en projet.

Plus précisément, la loi oblige les services publics fédéraux :

-           à faire usage des clés d’identification uniques, à savoir le numéro de registre national ou le numéro d’identification de la Banque-Carrefour pour l’identification des personnes physiques et le numéro d’entreprise pour l’identification des entreprises et des personnes morales ;

-           à faire usage des données disponibles dans les sources authentiques auxquelles l’on a accès ou qui sont mises à disposition par un intégrateur de services ;

-           à demander toutes les autorisations requises à cet effet auprès de la Commission de protection de la vie privée ou de l’un de ses comités sectoriels d’autorisation.

3. Echange automatique de données fiscales

La Commission belge s’est également prononcée sur un projet de loi « FATCA » réglant la communication des renseignements relatifs aux comptes financiers, par les institutions financières belges et le SPF Finances, dans le cadre d’un échange automatique de renseignements au niveau international à des fins fiscales. Alors que ce projet de règlementation s’appuie sur Convention intergouvernementale « FATCA » signée le 23 avril 2014 avec les Etats-Unis, l’avis de la Commission n’a pas été sollicité sur ce projet de convention. Le principal grief opposé à cet projet de loi tient à l’imprécision de la finalité de l’échange international de données organisé entre administrations fiscales. La Commission Vie privée a dénoncé dans son avis 61/2014 du 17 décembre  2014 un défaut d’information. Elle exige que le loi n’entre en vigueur qu’à la condition que soit les institutions déclarantes et les autorités fiscales compétences d’autres juridictions qui ne sont pas membres de l’UE et n’offrent pas un niveau adéquat de protection des données informent suffisamment les contribuables belges, soit que le ministère des Finances informe lui-même les contribuables belges lors de la réception d’informations les concernant en provenance des juridictions précitées (http://www.privacycommission.be).

BOSNIA AND HERZEGOVINA / BOSNIE ET HERZEGOVINE

May 22, 2015

Subject: Major developments in data protection field in Bosnia and Herzegovina for the period
of June 2014 – May 2015

The Agency for Personal Data Protection in Bosnia and Herzegovina was established by the Law on Personal Data Protection (Official Gazette no. 49/06) and began its activities in June 2008. The Parliamentary Assembly of Bosnia and Herzegovina adopted The Law on Amendments to the Law on Personal Data Protection ("Official Gazette BiH "No.76 / 11) in 2011. By the Ordinance on internal organization and job classification 45 working places systematized in the Agency. The Agency currently employs 26 staff, of which 4 are employed in the second half of 2014.

The protection of personal data in the Prosecutor's Officeof BiH

By the adoption of the Law and the establishment of the Agency for Personal Data Protection, Bosnia and Herzegovina has fulfilled the obligation to establish an independent supervisory body. Jurisdiction and powers of the Agency are unquestionable and clear, even when it comes to inspections. In Annual Work Plan for 2014 were, among others, planned inspections in all 20 prosecutors' offices at all levels of government in Bosnia and Herzegovina. The inspections were carried out in the District Prosecutor's Office, the Republican Prosecutor's Office of the Republic of Srpska, the cantonal prosecutor's offices (in 8 out of 10 cantons), the Federal Prosecutor's Office and the Prosecutor's Office of Brcko District of BiH.  The problem occurred only in the Prosecutor's Office of BiH, in which an official of the Agency was twice prevented to carry out inspection. The subject of the inspection in the Prosecutor's Office of BiH was the same as in other prosecutors' offices, such as collections of personal data established by the Prosecutor's Office of BiH and fulfillment of obligations stipulated by the Law.

As a reason for not allowing the inspection supervision, the Prosecutor's Office of BiH stated that it is not a public body, but especially independent body and the Law does not refer to it. The consequence of the attempt of the Agency to make inspection supervision was a call of the Prosecutor's Office BiH for the Director of the Agency as a witness to testify, after which he was invited as a suspect for questioning in an investigation against him launched by the Prosecutor's Office of BiH for the criminal offense of abuse of position or authority.

Acting Prosecutor's Office of BiH in this way, and in this regard launching investigation against the Director of the Agency, has detrimental consequences for Bosnia and Herzegovina, not only for the signature of the Operational Agreement with EUROJUST, but also represents a blatant example of negation of the rule of law and respect for human rights. So far the Agency has conducted the proceedings in the framework of which, by exercising its jurisdiction, had good cooperation and communication with the Prosecutor's Office of BiH and their responsibilities and powers have never been brought into question. Independence of the Prosecutor's Office of BiH, which at no time is questionable for the Agency, cannot and must not be an obstacle to inspections and procedures on complaints, carried out by the Agency.

Meanwhile, the Prosecutor's Office requested the submission of documents in connection with the activities of the three leading telecom operators in Bosnia and Herzegovina and the Joint Steering Committee for the lawful interception of communications, which is in no way connected with the first suspicion. The Prosecutor's Office of BiH has also asked for the records of the inspections carried out in the police authorities, which were conducted in 2009 and 2010, which also points to the arbitrariness in the actions of the same. A misdemeanor warrant issued to the Chief Prosecutor because he disabled the authorized official of the Agency to carry out inspection in the Prosecutor's Office of BiH. The independence of the Prosecutor's Office of BiH, as an institution in the exercise of the entrusted tasks, is indisputable for the Agency. The independence of public authority means that the work of the public authority may only be affected by law as in the present case. Also, there is no doubt that the Prosecutor's Office of BiH is a controller in accordance with the law, without entering into the debate whether the prosecution is a public body, a special body, the body that performs a public function, etc. and that it is obliged in its work to carry out the Law on Personal Data Protection. The Agency is responsible to supervise the implementation of the provisions of the Law and other laws regulating the processing of personal data.

The Prosecutor's Office of BiH has not yet completed its investigation procedure against the Director of the Agency, so the planned activities of the Agency are suspended until further notice, which resulted in suspension of cooperation with EUROJUST on the signing of the agreement, which is of great importance for BiH as a state in the process of European integration. EUROJUST expressed concern and regret over the fact that the Agency was forced to suspend planned activities in prosecutors' offices, stressing the necessity of the operation of the Agency as an independent body, in all areas of the processing of personal data, and even in this. We hope that this negative process will ultimately strengthen the position of the Agency and show that misunderstanding and ignorance of certain segments or holders of the public sector cannot prevail in the understanding of the European standards and their application in national law.

Normative activity

During the reporting period, the Agency conducted 11 activities related to normative activities. Among other things, the Agency has given drafts or proposals of the Law on Amendments to the Law on Police Officials in BiH - to the Ministry of Security of BiH, the Law on Electronic Communications – to the Ministry of Communications and Transport of BiH, the Law on Amendments to the Law on Ministerial Appointments, Appointments of the Council of Ministers and other appointments in BiH – to the Ministry of Justice of BiH, the Law on Personal Names – to the Federal Ministry of Interior, the Law on Amendments to the Law on Registers – to the Parliament of the Federation of BiH, the Law on Amendments to the Law on Police Officials – to the Ministry of Internal Affairs of Tuzla Canton.

It is significant to mention, in connection with amendments to the Law on Free Access to Information in BiH that the Agency, in accordance with the Decision of the Council of Ministers, invited the Ministry of Security, the Ministry of Justice and the Institution of Ombudsman for Human Rights to hold the inaugural session of the Interdepartmental Working Group for drafting amendments to the Law. In this respect, the Agency has undertaken a number of activities on drafting laws, and provided to the Council of Ministers an overview of the conclusions for conduct of which is in charge.

The Agency has also made a proposal to amend the Ordinance on the form and content of legitimation of inspectors of administrative authorities of BiH and the content and manner of keeping records on performed inspection, and an instruction on accessing records which is kept and technically maintained by the Agency for Identification Documents, Registers and Data Exchange (IDDEEA).

In the reporting period 5 judgments were adopted in favor of the Agency, three responses to the lawsuit were delivered and one response related to litigation, with a note that 15 judgments upon lawsuits initiated in 2012 and 2013 issued in 2014 when 14 lawsuits rejected and the Agency's decision confirmed, and one lawsuit was resolved and returned for retrial.

According to the Agency's activities that were implemented during the reporting period, the state of personal data protection in our country could be described as satisfactory. Statistical indicators in all segments, except for inspections and registration of controllers, moved upward. This is evidenced by a significant increase of the number of submitted complaints of citizens indicating increased awareness of the importance of protecting personal data.

In the reporting period 91 decisions on the objection were made, mostly against public authorities, as well as other controllers such as banks, micro-credit organizations and other economic entities and natural persons and 76 activities performed at issue in the proceedings on the complaint. The reasons why the complaints submitted are, inter alia, the special treatment working years, processing of data on health status and treatment of biometric data, data delivery to a third party, video surveillance, copying and retention of personal documents, direct marketing, publishing the information on the website and so on.

A large number of requests for an opinion required by public and private sectors, which in the reporting period were 248 (8 of which were opinions about the transfer of personal data abroad) testify on the increasing awareness of all stakeholders on personal data protection.

In carrying out its regular surveillance activities, in the reporting period the Agency performed 33 inspections (1 audit, 12 regular and 30 extraordinary supervisions), prepared 22 decisions ordered by administrative measures, 14 decisions ex officio, 14 replies, registered 225 new controllers and entered 1563 records of personal data.

The Agency has started issuance of misdemeanor warrant in 2011 and in the reporting period has issued 22 misdemeanor warrants.

The Agency continued with activities of giving training for controllers in the public sector across the whole country in order to increase the capacity of personal data protection within the public administration and the police. During the reporting period 8 trainings were held.

Cooperation with media

The Agency regularly informs the media about its competencies and activities, promotes the work of the Agency and inform the public regarding the processing and protection of personal data. The Agency commonly responded to all media inquiries and reported on time through all available means of public information and by publishing opinions and decisions on the official website of the Agency, as well as through the help desk.

In connection with the above, the press conference was held on the occasion of the European Data Protection Day, 28 January 2015. At various queries of print and electronic media 24 written responses and 19 statements were given, 9 appearances in the media have been performed, 562 inquiries of citizens were replied through the help desk of the Agency. Website of the Agency is regularly updated with necessary contents which shows commitment to transparent functioning of the Agency. In the reporting period 8875 visits to the Web site of the Agency recorded. In the media and on the Internet 115 articles relating to the Agency's activities and the protection of personal data were published.

CROATIA / CROATIE

On your request for providing information on major developments in the field of data protection in croatian DPA since last T-PD plenary meeting, we provide you a brief report below:

The Agency has an advisory and supervisory role in the area of personal data protection. In the framework of the advisory role, among other things, it gives recommendations for the improvement of personal data, issues opinions on whether an action or omission is considered infringement of personal data, gives advice regarding the establishment of new collections of personal data, especially in the cases ofdevelopment new information technologies, etc.

When it comes to implementation of mechanisms for automatic inter-state exchanges of data for administrative and tax purposes we are just at a beginning. The Republic of Croatia has signed, on 20th March 2015, Agreement between the Croatian Government and the Government of the United States on improving the fulfillment of tax compliance on the international level and the implementation of FATCA (Model 1A). Currently, there has been not signed any other bilateral agreement on automatic exchange of information outside the EU, but it is definitely in the future plan of competent national authorities.

In respect of major developments in the field of personal data protection we should note the use of drones. In Croatia is adopted the Ordinance on Unmanned Aircraft Systems ("Official Gazette" 49/15 from 06 05.2015.), which prescribe the general, technical and operational conditions for the safe use of unmanned aircraft, unmanned aircraft systems and aircraft models and the conditions that persons involved in the management of these aircraft and systems must meet. Representatives of the Agency participated in the Conference on the use of unmanned aircraft (drones) and their impact on the protection of privacy, which was held in February 2015 in Budapest. The conference is aimed to emphasize the challenges and threats to privacy and data protection of individuals and companies using this new technology as well as abuses that may arise from the possibility that drones offer. For now, the Agency did not have concrete actions on this issue because the use of drones in Croatia is not yet very present, but it is certainly expected in the future.

Also, there was a case regarding the development of new mobile applications that are excessively and illegally collected personal data. With regard to supervisory activities in terms of the functionality of electronic devices and their impact on the invasion of privacy, ie. personal data, Data Protection Agency, for example, initiated supervisory activities in connection with the use of a mobile phone from one of the renowned manufacturer of mobile technology and also functionality of application that is transferring data (ie, without user notification), and also collects data (applications used by users, games they play, etc.), device ID and profile information about the owner of the device and sending them to the seat of the company, referring to the Privacy Policy, which is actually a set of rules drawn up for their own use.

In the reported period the Croatian DPA has also, in the occasion of 9^th Data Protection Day, organized gala Press conference under name "Do not be a target of identity thieves”, which was held at the Croatian Parliament on 28^th January 2015 at 11.00 am. It was also organised the “Open Day” for citizens which was held on 29^th January 2015 at the premises of the Croatian Personal Data Protection Agency, in time 10.00 to 15.00 pm. These activities were directed towards all citizens in order to raise awareness of the topical issue of identity theft, and also about the protection of personal data and privacy in general. As for the media plan, activities on the occasion of the 9^th Data Protection Day were accompanied with the Croatian national television by displaying a promotional video of the Agency in the period from 23^rd to 31^st January. We also manage to get media space in Radio and TV programs of the main national broadcaster.

CYPRUS / CHIPRE

In 2014, the CY Supreme Court, in a case brought before it, ruled that the CJEU’s ruling annulling the Retention Directive, does not have an impact on the national Law transposing the provisions of this Directive, deciding thus, that the national Law remains into effect.

CZECH REPUBLIC / REPUBLIQUE TCHEQUE

Major developments in the data protection field in the Czech Republic since June 2014

1. The amended legislation building on Act No. 234/2014 Coll., on the civil service, provided for inclusion of the Office for Personal Data Protection (hereinafter referred to as the “Office”) to the list of central administrative authorities. Along with this, Article 2(2) of Act No. 101/2000 Coll., on the protection of personal data and on amendment to some acts, was amended and with effect from 1 January 2015, it stipulates that the Office is the central administrative authority for personal data protection to the extent set out by Act No. 101/2000 Coll., on protection of personal data, special legal regulations, international agreements that are part of the law and the directly applicable laws of the European Union. The civil service rules will have implications for most Office employees. The President of the Office is a service body and is authorised to instruct civil servants to execute civil services according to Act No. 234/2014 Coll., the Civil Services Act. The Civil Services Act expressly states that it does not apply to the President and inspectors of the Office; however, it has not fully resolved the relationship of the Office, as an independent supervisory institution, to the government.  Although the independence of the Office is declared in Article 28 of Act No. 101/2000 Coll., the provisions of a jurisdictional law that, inter alia, impose tasks on central authorities do not distinguish a group of independent supervisory authorities not subordinated to the government. This longstanding problem may only be resolved by a new jurisdictional law.

2. In the field of consultation of legal regulations, the very popular disclosure of personal data with the declared objective of transparency of public administration and the fight against corruption is a new addition to the problematic personal data processing issues and trends from previous years, such as the assessment of the impact on privacy and the development of new government databases. With regard to this trend, the Office called attention to an appropriate and reasonable way of disclosing data and to the statutory requirement that the State work with data in a structured and effective manner, as well to the fact that in numerous cases not even the continuous or subsequent disclosure of data from public administration, including personal data, can take the place of missing standards and supervisory rules.

For instance, the Office provided consultations on the intended amendment of Act No. 159/2006 Coll., on conflicts of interest, that would introduce a centralised overview of notifications under Act No. 159/2006 Coll. and on the methods of making information form such a register available to the public. The explanatory memorandum to the amendment has to clearly explain what selected, law-given criteria for processing and disclosing data is considered by the State to be the most effective for satisfying the purpose of Act No. 159/2006 Coll. The data that is to be available (without restriction) to the public in the central register should be defined exactly.  Under Act No. 101/2000 Coll., it is already possible to disclose a host of data on the activities of civil servants. Conversely, the Office considers the option where all detailed information and documents from the registry of civil servants is published on the internet in unrestricted form to be highly problematic also with regard to the judicial rulings of the Court of Justice of the European Union regarding the conflict between the right to information and the right to privacy, especially in the cases of Rechnungshof v. Österreichischer Rundfunk and Schecke and Eifert v. Land Hessen. Current is also the debate on the method of implementing the “right to be forgotten” on the Internet, which has now been defined by the Court of Justice of the European Union in the matter of Google v. Costeja.

ESTONIA / ESTONIE

Major developments in the field of data protection in Estonia

Estonian Data Protection Inspectorate submits the following major developments since 31st Plenary of the Consultive Committee of the Convention for Protection of Individuals with regard to Automatic Processing of Personal Data in June 2014:

1. Inspectorate drafted and published two practical guidelines for regular users of information and communication technology equipment:

- Personal Mobile Devices in the Working Environment – to supplement the general guideline for processing personal data in employment relationships,

- Deleting Personal Data in Devices – as a result of monitoring 11 companies operating in the utilisation of electronic equipment.

2. Inspectorate drafted and published two practical guidelines to promote privacy by desing principles:

- Information Security and Personal Data in a Small Company,

- Secure Online Store.

3. The central topic for international cooperation regarding data protection continues to be the reform agenda for the Data Protection Law of the European Union proposed in January 2012. On 23 January, 2015, inspectorate hosted an expert forum for discussing the impact of the reform with the help of the Office of the Chancellor of Justice.

4. The cooperation of Estonian, Latvian and Lithuanian Data Protection Inspectorates has been consistent. The audit on medical spas (sanatoriums) was carried out as a joint activity (based on a joint questionnaire) of Baltic data protection inspectorates. In Estonia, the protection of personal data was audited in 12 spas.

Further information about the activities of Estonian Data Protection Inspectorate is available at www.aki.ee.

Tallinn, May 29 2015

FINLAND / FINLANDE

                                                                                                                                 

THE MAJOR DEVELOPMENTS IN THE DATA PROTECTION FIELD IN FINLAND IN 2014

During the 27th financial year of the Office of the Data Protection Ombudsman, citizens' trust in the reliability of the services and technology of our network society was sorely tested; for example, the misuse of the police suspect data system, made the headlines often. Under the leadership of the Office of the Prosecutor General, an in-depth investigation concerning this issue was carried out. The ever vigilant Administration Committee of the Parliament of Finland also requested a review on the matter.

The increasing tension in international politics also had an effect on data protection. Sanctions and the massive hacking operations, which were said to counteract them, became familiar to all. When the citizens also had encounters with fake base stations, spying television sets and other incidents that shook the society's basic structure, data protection and the reliability of communication reached a whole new level in public discussions.

It is clear that our society must react in some way to these cyber threats and challenges. Among their other duties, the computer and network surveillance work group compiled its own presentation concerning the authorities' access to information related to telecommunications. Finland also approved an act, which was similar in content to the European PNR project.

Other topical phenomena were, for example, the Open Data programme, the national data exchange layer project, reforms of administration, municipal structure and social and health care services as well as the rise of the 'my data' idea, national genome strategy and cyber safety, to mention a few themes.

The Data Protection Ombudsman gave statements of fundamental importance concerning, for example, processing the log data of data systems, marketing funded mobile phone advertising and the so-called affiliate advertising, processing of personal data by religious communities, recording times of credit information, gene testing in genealogy, video recording of public events and removing personal data from online forums as well as several matters relating to work life, research operations as well as education and schooling. In regard to criminal matters, he gave a little over 100 statements to courts of justice.

The 'productising' of data protection proceeded more and more rapidly. Several consulting companies and law firms have adopted data protection in their competence service selection. It seems that the group of data protection officers and other specialists is growing quickly. The legislators, too, seemed to have learned one of the basic ideas of modern data protection: when creating laws concerning data transfer between data controllers, attention should be paid to the duties of the different parties, such as their obligations to work together and their authority to, for example, deviate from the confidentiality regulations. 

Due to the above mentioned reasons, the financial year of the office of Data Protection Ombudsman was challenging enough to be quite exceptional. For a while, it paused to listen to the analysis made about its office in the NETSO project. It highlighted the permanent condition of the office in regard to the scarcity of resources. It reorganised its operations by, for example, launching a special data service function in its office. It also aimed to use human resources more efficiently and tried to secure its competence in a more systematic manner. There is an increasing need for this competence, as the EU's Data Protection Decree requires that it, too, follow how the situation develops and try to learn new things. In regard to productivity, it succeeded well: The number of decided matters grew by around 10 percent and, at the same time, the used person-years decreased also by 10 percent.

  

ITALY / ITALIE

Major developments in the data protection field

June 2014-May 2015

Main activities of the Italian Data Protection Authority

Data processing in the public sector - Transparency obligations for public bodies

Soon after the entry into force (in 2014) of a new law on transparency on which our Authority gave its Opinion in 2013, new Guidelines were adopted by the Garante in order to clarify some aspects and give practical examples to public administrations that are obliged by the law to make a large amount of documents (and therefore, in some cases, of personal data) publicly available for the purpose of ‘transparency’. The Garante stressed, once again, the need to reconcile transparency and the protection of personal data, by recalling that appropriate arrangements should be made to ensure that the information is disclosed in accordance with the law and fairness and proportionality principles and that data quality principle is upheld by also limiting the period in which the information is available online. This being the framework, the Guidelines clarified that the dissemination of certain categories of data, namely those related to individuals’ health, should be avoided; personal data published on line should generally not be retrievable by means of general search engines (therefore internal search engines are preferable); the publication of data related to public sector employees should be limited to those data which are strictly relevant; furthermore, the purpose limitation principle should be respected and personal data published online may be further processed only for compatible purposes. 

Electoral Propaganda

With a view to providing a comprehensive legal framework for the processing of personal data for electoral propaganda, the Garante exempted, once for all, political parties and movements, promoting committees, supporters, and candidates from providing information notices to data subjects if they processed personal data taken from publicly available registers, directories, records and/or documents exclusively for purposes of electoral propaganda from sixty days before to sixty days following the elections. The decision clarified the cases in which data subjects (i.e. citizens receiving political communications and messages) may be contacted without their prior consent – if the data are taken from sources that are truly ‘public’. This category includes, basically, the so-called electoral registers, i.e. the lists of citizens entitled to vote as held by municipalities and other types of electoral register (e.g. the one concerning Italian citizens residing abroad). Conversely, it does not include, in particular, the data contained in the census register and the register of births, marriages, and deaths, which may not be supplied to private entities for electoral propaganda purposes – even if the applicant is a municipal administrator and/or the holder of an elective office.

Mobile Telephony Big Data and National Statistics

The DPA authorized the use by ISTAT (National Statistics Institute) of call detail records (CDR) for the purposes of the national statistics plan (covering the 2014 to 2016 years). The aim of this experimental use is to estimate, in aggregate mode, mobility flows across municipalities in a province so as to better plan and manage local services and civil protection initiatives. CDR data (including a sequential number allocated to each calling user by the telephone operator plus information on the municipality where the phone cell is located and on time and date of the call) will be collected after being anonymized: in particular, each CDR will be coded and all links to the source/destination identification data will be destroyed. To further reduce the risk of identification, in particular via the combination of CDR data with additional information held by ISTAT, the DPA required that flow frequencies relating to fewer than 3 entities be blanked. The DPA reserved the right to carry out additional checks on the processing at issue.

Simplified information and consent requirements for cookies and Online Educational Video

After discussing the issue with the relevant stakeholders (in particular, website managers along with consumer associations) in the framework of a public consultation launched in 2013, the Italian DPA adopted a decision  in order to give guidance on simplified mechanisms for providing information and collecting consent regarding cookies and other devices (web beacons, web bugs, clear GIFs, etc.) installed by or through websites in users' terminal equipment (PCs, notebooks, tablets, smartphones, etc.).

A suitably sized banner is to be displayed on screen immediately a user accesses the home page or any other page of a website, and such banner is to contain: 1. the information that the website uses profiling cookies to send advertising messages in line with the user's online navigation preferences, and that the website allows sending third-party cookies as well (of course, if this is actually the case); 2. a clickable link to the extended information notice where additional information must be available, i.e. on the use of technical and analytics cookies and on tools available to select the cookies to be enabled or on how to configure browser settings and on the possibility to refuse the consent to the installation of whatever cookies; 3. the information that if the user continues browsing by accessing any other section or selecting any item on the website (e.g. by clicking a picture or a link), he or she signifies his or her consent to the use of cookies. In order to better respond to public requests and concerns about this issue, a FAQ section on cookies was created on the website of the Garante.

A video tutorial was created by the DPA and posted online (both on the DPA’s website and on a dedicated YouTube channel) to explain what cookies are, how they work and how to handle them (especially profiling cookies). This video is part of a  broader awareness-raising campaign the DPA launched at the end of 2014 to inform users on cookies, including FAQs and other materials; the main measures set out in the DPA’s order on simplified information and consent requirements for cookies (May 2014) were also explained.

 

Codes of Conduct

Following specific requests coming from stakeholders and some legislative changes that occurred in the relevant sectors over the past few years, the Garante decided to revise two Codes of Conduct adopted in 2004 which had proven successful in regulating specific sectors. The process for a revision of the Code of Conduct Applying to Private Credit Reference Agencies started in April 2014 and is still ongoing while the Code of Conduct Applying to the Processing of Personal Data for Statistical and Scientific Purposes was revised in June. It now provides that the Authority should give its opinion on the National Statistical Program adopted each year (the consultation was formerly prescribed by a law which was repealed in 2013).

Furthermore, the Garante has been working, together with consumer associations and relevant stakeholders, on a Code of Conduct for the processing of personal data for business information purposes. According to Section 12 of the Italian Data Protection Code, Codes of Conduct are legally binding since compliance with their rules is a precondition for the processing of personal data to be lawful, and any breach may carry sanctions plus the payment of damages.

Biometrics

In November 2014, the DPA clarified (also following a public consultation on a previous draft) where the use of biometrics entails a low level of risk for data subjects’ rights and does not require – accordingly – a prior checking application to be filed by the controller. This applies, in particular, to the use of fingerprints, hand contour and graphometric signature devices for controlling physical access to premises, enabling user authentication or digitally undersigning documents, respectively – providing no centralized database of biometric information is relied upon. All other data protection and security requirements will remain fully applicable, in particular the need for adequately informing data subjects and obtaining their prior consent (except if biometrics such as vocal recognition or hand contour are used for managing physical access to especially ‘sensitive’ areas and/or for authentication purposes); data minimization is another key requirement in this context along with the adoption of specific (strong) encryption techniques. Alternative, non-biometrics-based options must always be available to allow data subjects to exercise their freedom of choice; furthermore, an obligation to notify the DPA of all data breaches significantly affecting the biometric data or systems at issue was laid down.

Internet Exchange Points

 Following inspections carried out in 2014 at the premises of the main Italian Internet Exchange Points (IXPs) (in Rome, Milan, and Turin), measures were laid down to remedy the various criticalities detected so as to enhance the protection of communications networks. IXPs are key hubs of the physical network infrastructures for national and international telecom providers, ISPs and major online service providers; they also host the IT servers and devices for the network of public administrative and research bodies. More detailed logging of staff activities (to prevent misuse such as switching or duplication of Internet traffic); regular audits and enhanced alerts to improve security; enhanced physical security measures were the main requirements the DPA had set out. These measures were implemented recently, but they will have to be developed further also based on technological evolution.

Smartphone Location for Missing Persons

The DPA authorized two new geolocation techniques to rescue missing individuals in mountain areas. The smartphone location info will be transmitted to a dedicated operating centre (run by the National Alpine Rescue Service) irrespective of the given telecom provider’s network in the vicinity of the missing person and without the individual’s consent – but only after a search and rescue order has been issued formally by the competent authorities (fire brigade, police, health emergency services). The location info will only be processed for as long as necessary to locate the missing individuals and exclusively for the purpose of safeguarding their physical integrity and/or vital interests.

Google Inc. – Various issues

Search: The DPA dealt with the first complaints lodged following the EU Court of Justice’s decision of May 2014 on the application of the ‘right to be forgotten’ by Google Inc. In particular, it upheld Google’s decision not to deindex links to news on a complainant, who had been involved in a judicial investigation concerning several individuals, on account of the material nature of the information and the public interest in the relatively recent events covered in that piece of news. Importantly, Google had already granted the complainant’s request to delete the relevant ‘snippet’, i.e. the summary generated automatically by the search engine and displayed close to the search results, as it contained potentially misleading information; the complainant’s name was mentioned close to the reference to offences he was not being charged with, as duly explained in the full article.

Privacy Policy: in July, the Garante adopted a Decision Setting forth Measures Google Inc. Is Required to Take to Bring the Processing of Personal Data under Google's New Privacy Policy into Line with the Italian Data Protection Code. Those measures mainly regard improvements to Google’s privacy policy (by making it unambiguous and easily accessible, tailoring it to the specific services, and detailing purposes and mechanisms of the processing of users' data - including profiling as performed by combining data across multiple services, the use of cookies and other identifiers such as fingerprinting); the introduction of informed consent mechanisms for profiling purposes (for both new and existing Google accounts as well as for non-authenticated users); clarification on Google’s data storage and deletion policies and revised internal anonymization rules so as to ensure compliance with WP29’s guidelines in this regard. Google will have to be fully compliant by 15 January 2016. In January 2015, the DPA approved a verification protocol submitted, as requested by its July 2014 Decision, by Google. The Protocol enables the DPA to continuously monitor the changes Google is required to implement in order to process the personal data relating to users of its services; it envisages quarterly updates on progress status and empowers the DPA to carry out on-the-spot checks at Google's US headquarters to verify whether the measures being implemented are in compliance with Italian law.

StreetView (Google Special Collects): The DPA set out the measures Google would have to implement in order to introduce its Special Collects service in Italy as announced. Special Collects is a StreetView version dedicated to places and locations that are usually difficult to access by Google cars, in particular archaeological sites, natural parks and museums or similar locations. The measures mainly focus on adequate information to visitors and passers-by, to be displayed by the ‘trekkers’ collecting the images on Google’s behalf (e.g. via stickers placed on their equipment), but also published beforehand (3 days in advance on Google’s website, 7 days in advance on the websites of the individual locations, where available) and posted on ad-hoc notices (thus enabling visitors to exercise their right not to be filmed). No prior consent requirements apply in this case, as already ruled by the DPA in connection with the StreetView service, providing the same facial blurring and privacy-enhancing measures are taken by Google (e.g. by filming the given areas during off-peak hours or after closing time if in a museum).

29 May 2015

LITHUANIA / LITHUANIE

CONSULTATIVE COMMITTEE OF THE CONVENTION FOR THE PROTECTION OF INDIVIDUALS WITH REGARD TO AUTOMATIC PROCESSING OF PERSONAL DATA [ETS 108] (T PD)

32^nd meeting, Strasbourg, July 2015

country report of the republic of lithuania on recent developments at national level in the data protection field

1. Appointments

Dr. Algirdas Kunčinas, the Director of the State Data Protection Inspectorate has been appointed to the Commission on coordination of implementation of recommendations issued by the Organisation for Economic Co-operation and Development adopted by the Council (the Resolution of the Government No 205 “On organizing of the Commission for the coordination of accession to the Organisation for Economic Co-operation and Development (OECD).

2. Recent National Developments – legal framework

2.1. Changes in the Law on Legal Protection of Personal Data of the Republic of Lithuania

The provision of Article 15 of the Law on Legal Protection of Personal Data of the Republic of Lithuaniawitch states that “processing of personal data in the field of electronic communications and in the field of cyber security shall be governed by the Law on Electronic Communications, the Law on Cyber Security and this law” entered into force on 1 January 2015. 

2.2. The Law on Cyber Security of the Republic of Lithuania has been adopted by Seimas

The Law on Cyber Security of the Republic of Lithuania has been adopted by Seimas (the Parliament) in year 2014 and entered into force on 1 January 2015. The purpose of this Law is to ensure proper organization, management and control of Cyber security system as well as responsibilities, obligations and rights of Governmental institutions and municipality bodies, controllers and processors State info recourses and critical infrastructure service providers of public electronic telecommunications networks and services and hosting services are described also safeguard measures which should be implemented in order to ensure security of these systems.

According to the provisions of Article 11 of the Law on Cyber Security the State Data Protection Inspectorate of the Republic of Lithuania is authorised to monitor the activity of providers of electronic communications services and providers of public communications networks, to receive information about cybernetic incidents when these incidents is likely to adversely affect the personal data or privacy of an individual and to carry out investigations in case of personal data security breach.

The Director of the State Data Protection Inspectorate on July 2011 issued guidance “The order regulating personal data security breach notification procedures and the Form on data breach notification.”  

3. Major case law

3.1. Onapplicability of the Article 69 of the Law on Electronic Communications of the Republic of Lithuania (hereinafter – LEC) when direct marketing is carried out in respect of a legal person

The State Data Protection Inspectorate (hereinafter – SDPI)having received information on a possibly unlawful CJSC "T" direct marketing to CJSC "W" and consequently possible violation of the paragraph 1 of Article 69 of the LEC, carried out an investigation on its own initiative. During the investigation it was determined that the CJSC "T" without having prior consent of CJSC "W" used for direct marketing purposes CJSC "W" publicly published telephone number – offered to buy CJSC "T" goods. Due to that the SDPI issued for CJSC "T" order to ensure that electronic communications services for direct marketing purposes to be used only having obtained a prior consent of the subscriber, including use of a publicly available telephone numbers (hereinafter – Order).

CJSC "T" appealed the Order to the Vilnius County Administrative Court, stating that definition of "direct marketing" shall be interpreted and applied according to the aim of the Law on Legal Protection of Personal Data of the Republic of Lithuania (hereinafter – LLPPD) – to safeguard of the inviolability of an individual’s private life in the course of processing personal data. Accordingly, direct marketing shall be related only to private natural person, because the application of the same requirements to a legal person as to the natural person would misrepresent the essence and objectives of a legal regulation.

Vilnius County Administrative Court decided to abolish the Order stating that in view of the key objectives of the SDPI – supervision and control of personal data processing activities – it could be said that the SDPI is empowered to supervise and control the provisions of the LEC only related to the protection of personal data processing which in accordance with  definition provided in the paragraph 1 of Article 2 of the LLPPD shall be related only to the natural, rather than a legal person, processing.

Lithuanian Supreme Administrative Court (hereinafter – Court) having reviewed the case by the appeal of the SDPI concluded that the SDPI powers in the paragraph 12(1) of Article 5 of the LEC are not differentiated dependently on the type of subject – natural or legal person, to whom provisions of the LEC shall be applicable. The Court stated that deciding on the question of applicability of the Ninth Section of the LEC to a certain range of subjects there is no legal ground to follow provisions of the LLPPD because legal nature of relations regulated by these legal acts is not the same. The Court drew attention to the fact that the paragraph 12(1) of Article 5 of the LEC by referring to the LLPPD indicates a procedural aspect – notes that the SDPI in accordance with the LLPPD exercises powers granted ("...in accordance with the LLPPD investigates complaints on processing of personal data and privacy protection ..."). The Court stated that under the paragraph 1 of Article 69 of the LEC use of electronic communications services, including e-mail messaging for direct marketing purposes is permitted only with the prior consent of a subscriber or registered user of electronic communications services. Paragraph 1 of the Article 3 of the LEC states that the subscriber shall mean any person who or which is party to a contract for the provision of public electronic communications services with the provider of such services. Provisions of the LEC separates user (paragraph 3 of Article 69 of the LEC), which are considered a natural person. Thus, having evaluated Paragraph 1 of the Article 3 of the LEC the Court has decided that there is no legal ground to assert that definition of the subscriber established in this paragraph includes only natural persons. Vilnius County Administrative Court decision was annulled.

3.2. On law firms as data controllers and a managing partner of the law firm, as a subject of administrative liability

The SDPI received person’s complaint, in which it was stated that the law firm had illegally collected his personal data from the Real Property Register. During the investigation of person’s complaint the SDPI referred to the law firm with a request to provide information concerning the collection of applicant's personal data from the Real Property Register. The managing partner of the law firm, and repeatedly referred, the lawyer, temporally acting as a managing partner of the law firm, refused to provide information, indicating that the requested information contains the professional secrecy of lawyer. For interfering in the investigation, the SDPI for the managing partner and for the lawyer, temporarily acting as a managing partner, according to the law, drew up protocols of administrative violations.

District Court of Vilnius City terminated cases of administrative violations in the absence of incident and composition of administrative violation, stating that the law firm is not a legal person, its lawyers, who acted as their managing partner of the law firm, are not executives of a legal person, therefore there is no basis to conclude that a law firm is a date controller and protocols of administrative violation were drawn up reasonably.

Vilnius County Court, according to the appeal of the SDPI, reviewed the administrative violation case and established that an obligation defined in Article 50 of LLPPD is dedicated not only for data controllers, but also for other legal and natural persons. The court acknowledged that it is not allowed that information, which is not directly related to the lawyer's functions, would not be provided in conjunction of supposedly the professional secret of lawyer, thus interfering in the performance of state authorities. Vilnius County Court stated that the nature of the response to the SDPI by lawyers, who acted as managing partner of the law firm, constitutes, that they interfered in the investigation by the SDPI. Due to the fact that lawyers responded to the SDPI as representatives of a law firm, Vilnius County Court declared them as subjects of previously mentioned violation according to Article 214¹⁷ of Administrative Violations Code and imposed fines.

Supreme Court of Lithuania, by the request of lawyers, renewed administrative violations cases and established that the disposition of Article 214¹⁷ of Administrative Violations Code determines that there are no special requirements for the subject of this administrative violation – it can be any natural person to whom the SDPI provided lawful instructions and which could be objectively fulfilled. In cases where instructions are provided for legal persons, institutions, organizations, associations and etc., the subject according to Article 214¹⁷ of the Administrative Violations Code would be a certain responsible person. The judicial panel agreed with lawyers’ arguments that a law firm is not a legal person, but noted, that according to the rule of law there could be no situations where lawyers, working in a law firm, would not be obliged to exercise legitimate instructions by state authorities. Supreme Court of Lithuania emphasized that only the SDPI, which deals with complains according to LLPPD, decides how to investigate complaints within the shortest possible period, from where (from which source of information) it is faster to receive relevant data necessary for investigation of a complaint. The judicial panel also noted, that the liability for administrative violation, determined in Article 214¹⁷ of Administrative Violations Code, is incurred for one or several alternative violations – the disposition of this Article does not invalidate the possibility that not excising lawful instructions by the SDPI, these actions would also interfere in the investigation of the SDPI according to laws and other legal acts. Supreme Court of Lithuania dismissed lawyers’ request to renew cases.

4. Preventive activity

4.1. Consultations

Seeking better understanding requirements of data protection laws the SDPI provides consultations by telephone, by e-mail, by mail and organizing meetings of data controllers. 4379 consultations, 118 public information releases, 4 summaries on the preventive investigations results and case law, 61 conclusions on the EU and the Council of Europe documents, 49 responses to inquiries from parties of Convention (ETS No. 108), 7 public consultations have been executed.

4.2. Inspections on the SDPI initiative

SDPI made 72 planned investigations on its’ initiative in year 2014 in total. Inspections were conducted in 55 Governmental institutions in order to determine whether the aforementioned institutions ensure proper implementation of data subject’s rights and right of access.                     

4.3. Cooperation of data protection supervisory authoritiesof Baltic States

The Latvian, Lithuanian andEstonian data protection supervisory authorities met in aim to continue Baltic States cooperation in March 2014 in Vilnius, Lithuania. The Personal Data Supervision Authorities of the Baltic countries for the third time carried out a joint investigation regarding the personal data processing and protection within rehabilitation and health care centers.

MONACO

S'agissant des développements majeurs intervenus sur les 12 derniers mois en matière de protection des données personnelles, je vous apporte les informations suivantes :

1) textes

PERIODE ALLANT DE JUIN 2014 A JUIN 2015

Lois
____________

n°1411 – 2/12/14 - Loi portant modification de l’article 47 de la loi n°839 du 23 février 1968 sur les élections nationales et communales modifiée - Journal Monaco du 12/12/2014

n°1410 – 2/12/2014 - Loi sur la protection, l’autonomie et la promotion des droits et des libertés des personnes handicapées – Journal de Monaco du 12/12/2014

n°1409 – 9/10/2014 -  Loi modifiant la loi n°839 du 23 février 1968 sur les élections nationales et communales, modifiée et dispositions diverses relatives à ces élections – Journal de Monaco 31/10/2014

Ordonnances Souveraines
__________

n°4.694 du 30 janvier 2014 fixant les modalités d’application de l’article 7-1 de la loi n°1.165 du 23 décembre 1993 réglementant les traitements d’informations nominatives, modifiée par la loi n°1.353 du 4 décembre 2008 relative à la protection des informations nominatives

n°5.175 du 15 janvier 2015 rendant exécutoire le Protocole facultatif à la Convention des Nations Unies relative aux droits de l’enfant établissant une procédure de présentation de communications, ouvert à la signature à Genève le 28 février 2012

n°5.208 du 20 février 2015 rendant exécutoire la Convention du Conseil de l’Europe sur la prévention et la lutte contre la violence à l’égard des femmes et la violence domestique, ouverte à la signature à Istanbul le 11 mai 2011

n°5.209 du 20 février 2015 rendant exécutoire la Convention de l’Europe sur la protection des enfants contre l’exploitation et les abus sexuels, ouverte à la signature à Lanzarote le 25 octobre 2007

Arrêtés Ministériels
__________

n°2014-671 du 3 décembre 2014 portant modification de l’arrêté ministériel n°2003-72 du 7 février 2003 portant application de l’ordonnance souveraine n°15.656 du 7 février 2003 instituant un Comité Monégasque Antidopage, modifiée

n°2014-672 du 3 décembre 2014 portant modification de l’arrêté ministériel n°2003-531 du 21 octobre 2003 relatif à l’agrément, l’assermentation, la formation initiale et continue des médecins chargés des contrôles antidopage
n°2014-673 du 3 décembre 2014 portant modification de l’arrêté ministériel n°2003-532 du 21 octobre 2003 relatif à l’organisation et au déroulement des contrôles antidopage, modifié

n°2015—186 du 19 mars 2015 relatif aux traitements automatisés d’informations nominatives mis en œuvre oeuvre par les personnes morales de droit public, autorités publiques, organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public  

2) projets de lois déposés par le Gouvernement  

- projet de loi relative au télétravail ;
- projet de loi modifiant la loi n° 1389 du 2 juillet 2012 relative au financement des campagnes électorales
- projet de loi relative à la garde alternée
- projet de loi modifiant les dispositions du code civil relatives à l'adoption

3 ) recommandation CCIN

- Délibération n°2015-33 du 25 mars 2015 portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « vidéo protection du domicile » exclusivement mis en œuvre par les personnes physiques ayant recours à des personnels de maison ou des prestataires non occasionnels.

4 ) autres informations :

- l'ordonnance souveraine du 6 juin 2014 a porté nomination des membres de la Commission  de Contrôle des Informations Nominatives pour une durée de 5 ans, à compter du 19 juin 2014.
En application des dispositions de l'article 5 de la loi n° 1165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, la Commission a élit M. GUY MAGNAN, Président et M. RAINIER BOISSON, Vice Président.

- suite à la décision du Tribunal Suprême déclarant l'article 18 de la loi du 23 décembre 1993 relative à la protection des informations nominatives non conformes à la Constitution, un projet de loi modifiant les articles 18 et 19 de la loi a été adopté par le Gouvernement lors de sa séance du 20 mai 2015. Il devrait être   déposé dans les prochains jours sur le bureau du Conseil National qui est notre Assemblée élue.

PORTUGAL

- Decree-Law 131/2014, of 29 of August

The purpose of this Decree-Law, is to update Law 12/2005, of the 26 January regarding the protection of the confidentiality of genetic information, the databases genetic human data existing for the purpose of health care and research in the field of health, as well as the conditions of the offer and realization of genetic tests and the terms and conditions to be observed to provide genetic medical consultation, taking into attention scientific and technological progresses that took place since 2005.

- Law 37/2015, of 5 May

The purpose of this Law is to establish the general principles regulating the organization and functioning of criminal identification while transposing the Council Framework-Decision 2009/315/JHA, of 26 February, about the organization and the content of the exchange of information extracted from the criminal registry between member-states.

 

SLOVAK REPUBLIC / REPUBLIQUE SLOVAQUE

Major developments in the data protection field in Slovak Republic from June 2014

After the entry into force of the new Slovak Act No. 122/2013 on data protection on 1 July 2013 (hereinafter “the Act”) the amendment of the Act No. 84/2014 was issued and entered into force on 15 April 2014.

The Amendment brought several important changes. The major change entailed the mandatory and optional fining mechanism. Another change was the reduction of the lower bound of the maximum amounts of administrative fines and the deletion of the direct punishment of the entitled persons and the data protection officers. The aim of the amendment was to simplify the requirements for data processing and relieve an administrative burden from controllers and processors. Due to this Amendment, the Decree No. 164/2013 of the Office for Personal Data Protection of the Slovak Republic on an extent of safety measures documentation was amended accordingly. The amendment to Decree No. 164/2013 entered into force on 30 April 2014.

The Office for Personal Data Protection of the Slovak Republic (hereinafter “the Office”) issued further three opinions (guidelines) in order to provide detailed answer to the most discussed themes after the entry into the force of the Act. The guidelines went further into the questions of CCTV cameras in public spaces, binding corporate rules and procedure for their authorisation, and on purpose limitation of personal data processing. The opinions were updated accordingly to the Amendment of the Act.

The Office further continued in a weekly services of monitoring and assessment of materials included in the legislative process within the inter-ministerial review proceeding. The aim of this process is tracking all materials included in the inter-ministerial review proceeding and therefor to effectively evaluate and comment of such materials. For this purpose every legislation draft that governs by its content processing of personal data must comply with the basic requirements of the Act on personal data protection.

In 2014, the Office commented on 50 dossiers put forward for the inter-ministerial legislation review and answered more than 2000 written questions from public.

With regard to the most important development in a case law in the reported period, on 29 April 2015, the Slovak Constitutional Court (PL. ÚS 10/2014) decided on invalidity of Articles in the Act No. 127/2005 Coll. on electronic communication, the Act No. 301/2005 Coll. Penal procedure and the Act No. 171/1993 Coll. on Police Force. The Constitutional Court declared that the national data retention Articles are not in accordance with Article 13 (4), 16 (1), 19 (2) and (3) and Art. 22 of the Constitution of the Slovak republic and Article 7 (1), 10 (2) and (3) and 13 of the Charter of Fundamental Rights of the European Union and Article 8 of the Convention for the Protection of Human Rights and Fundamental Freedoms.

Finally, in the reported period, the Office did not take any specific action for implementing Opinion on the implications for data protection of mechanisms for automatic inter-state exchanges of data for administrative and tax purposes” (T-PD(2014)05).

SLOVENIA / SLOVENIE

MAJOR DEVELOPMENTS IN THE DATA PROTECTION FIELD

Report by the Information Commissioner

of the Republic of Slovenia

A. Summary of activities

The Information Commissioner of the Republic of Slovenia is the inspection and offence authority in the area of data protection as provided by the Personal Data Protection Act of Slovenia (PDPA). In July 2014 a new Commissioner, Ms Mojca Prelesnik was appointed for the next 5 year mandate.

In 2014 the Information Commissioner (IC) received 722 complaints regarding a suspected breach of the PDPA provisions. Of these the IC initiated 628 inspection cases, 206 in the public and 422 in the private sector. These figures are a bit lower compared with previous years (852 complaints in 2013 and 747 in 2012 or 712 inspection cases in 2013 and 725 in 2012) but the number of inspection cases has nevertheless approached the level of 2011 (617 cases).  The IC also initiated 95 offence procedures (106 in 2013). In addition to the inspection and offence authority competencies the IC performs other tasks as provided by the PDPA. It issues non-binding opinions and clarifications on specific issues regarding data protection raised by the individuals, data controllers, public bodies and international bodies. In 2014 the IC issued 2.040 written opinions and clarifications. These constantly high numbers (exceeding 2000 written opinions every year in addition to thousands of telephone answers) may be attributed to the IC’s transparent work and intensive public campaigning on data protection. The IC is under PDPA also competent to conduct prior checks regarding biometric measures (only 4 in 2014, 11 both in 2013 and 2012), transfer of data to third countries and connection of filing systems. The data controllers in such cases need to obtain the IC’s permission in a form of administrative decision. The IC is also the appellate authority regarding access to an individual’s personal data (67 cases in 2014).

Under the Constitutional Court Act the IC is authorised to initiate the procedure for the review of the constitutionality or legality of regulations or general acts issued for the exercise of public authority, provided that a question of constitutionality or legality arises in connection with a procedure the IC is conducting. The Constitutional Court of the Republic of Slovenia abrogated the data retention provisions of the Act on Electronic Communications (ZEKom-1) in its judgment U-I-65/13-19 of 3 July 2014 following the constitutional request lodged by the Information Commissioner in March 2013 and ECJ judgment of 8 April 2014 in Joined Cases C-293/12 and C-594/12.

In the course of its awareness raising activities the IC continued its preventive work (lectures, conferences, workshops for different public groups). Together with the Centre for Safer Internet of Slovenia it covered awareness rising activities for children and young people as well as for the elderly people (lectures, publications). The Information Commissioner also published several new guidelines on various data protection topics: Guidelines on data protection in GPS tracking devices, on data protection in internet market research, on privacy impact assessment concerning the introduction of new police authorisations, on telephone calls recording, on video surveillance, etc. The IC also reviewed the text of the Slovenian translation of the Handbook on European data protection law and has widely popularized this publication.

In the context of the European Data Protection Day 2015 the IC organized an event titled “Practicum for elderly on data protection”, that provided this target group with information on data protection, specifically useful to them. Already traditionally on this occasion the data controllers were awarded for good practice in personal data protection – one of the awards being dedicated to the efforts for respect of Privacy by Design principle.

The IC was consulted by the legislator and competent authorities regarding  80 Acts and other legal texts to be reviewed from the data protection perspective.

The IC also participated in a number of international events and bodies such as: The Article 29 Working Party, Joint Supervisory Body of Europol, Joint Supervisory Authority for Schengen, Joint Supervisory Authority for customs, EURODAC, WPPJ, International Working Group on Data Protection in Telecommunications, Council of Europe’s Consultative Committee under the Convention 108 (T-PD).

B.         Information on interesting case-law

1. E-mail redirection after termination of employment contract

Information Commissioner fined a university and its responsible person for IT because an e-mail address of a former employee of the university (in the form [email protected]) was redirected to a general info e-mail address of the university, after he has already terminated the employment contract.

Information Commissioner found that the university and responsible person for IT had no legal basis for such personal data processing, since there was neither a legal basis in the law, nor has the individual consented to his e-mail being used after the termination of his employment contract with the university. Additionally, it was established that through the redirection of the e-mail address the persons that has access to the general e-mail address (IT person and secretary) unlawfully obtained access to additional personal data of the concerned individual, namely about identification of the senders of e-mail and time of the communications. The Information Commissioner held that such redirection was not necessary for the continuity of the work of the university since there are other means available in cases when a person terminates an employment contact, but his/her work needs to be continued by other persons, for example by blocking of e-mail address and auto-reply with new contact details, a measure commonly used in practice. Regarding the question of consent to such personal data processing being given in the employment contract the Information Commissioner emphasised that for such consent to be valid it would have to be freely given and respect the principle of proportionality, and would have to be given at the time of employment contract termination, not in the contract itself.

2. Identification of individuals, alleged of not paying parking tickets in Croatia, based on licence plates numbers

Information Commissioner initiated an inspection procedure against a law firm, based in Slovenia that was acquiring personal data of Slovenian citizens that have allegedly not paid parking tickets in two coastal towns in Croatia, authorised by two Croatian firms issuing parking tickets. The law firm firstly acquired identification data of Slovenian citizens, based on the registration plate number provided by the two firms issuing parking tickets, from different administrative unites in Slovenia, that have access to the  record of registered vehicles. Upon identification of the registration plate number holders, the law firm sent the individuals a reminder before enforcement, requesting them to pay the allegedly outstanding parking ticket fee and, additionally, the costs of the reminder. The law firm attached to the reminder a list of other registered plates numbers that were allegedly also in debt to the firms issuing parking tickets.

The Information Commissioner considered two issues: (1) whether the law firm had legal basis to acquire identification of the holders of the registered plate’s numbers and (2) whether the law firm had legal basis to disclose to the alleged debtor the licence plate numbers of other alleged debtors. Regarding the first question, Information Commissioner found that the law firm had legal basis for identification in the Attorneys Act, since the request to the administrative unites was made as part of a civil law matter in a case concerning a creditor and debtor, and not as part of the criminal law procedure. To acquire the information free of charge in such cases the law firm needs to present the power of attorney and explain why such information is necessary in a given case. Regarding the second issue the Information Commissioner found that the law firm had no legal basis for disclosure of the registered licence plate numbers (which constitute personal data) to all recipients of the reminder.

3. Video surveillance in a landscape park

A landscape park was ordered to stop video surveillance of the entrance to the park that involved three video surveillance cameras, located on a street lamp. The notification of the video surveillance was located at the reception building. The first camera was covering the access area to the entrance, the second was covering the reception and the persons collecting the entrance fee, and the third was monitoring the area in front of the entrance where drivers stop to pay the fee. The purpose of the video surveillance, as explained by the landscape park operator, was to control the traffic, and collection of entrance fee, to record the traffic in the season when fees are not charged and to provide live information about weather conditions for Environmental Agency of Slovenia and tourism purpose.

Information Commissioner found that these purposes could have been fulfilled with milder means, not encroaching on the privacy of the visitors of the landscape park. Video surveillance is only admissible in cases when protection of property or safety of the persons needs to be ensured, which was not the case for the three mentioned cameras. Additionally, the Information Commissioner held that the operator of the landscape park did not execute any of its lawful interests by video surveillance, since it could fulfil all the purposes specified above by milder means, not including monitoring individuals. Video surveillance for monitoring employees is also not admissible. If video surveillance is used as means to protect property, it has to be located in a way to monitor the property and not an entrance point to the park in general.

4. Information about unpaid school meals in school kitchen

A school introduced a new system for managing the subscriptions to school meals. It included a monitor which showed the name and surname of a pupil and the data on the number of paid meals and the data on unpaid services. A beep warning was in place when a pupil with unpaid services approached, and this way the information about unpaid services were disclosed to unauthorised persons in the school kitchen.

Upon the Information Commissioner's warning the school disabled the monitor and the warning beep in the computer programme, and thus disabled the disclosure of data from the records of school meals in the school kitchen. The school cook was only authorised to process data on the pupils that require dietary specificities.

5.     E-mail data base trading

Information Commissioner received a complaint which pointed to a data controller offering a data base, consisting of roughly 40.000 e-mails, for sale on the internet. The question was whether the individuals, whose e-mails were in the data base, have consented to their e-mail being part of the data base and intended for sale. The data controller explained it acquired the e-mails through its own telephone studio and through its clients. The individuals have supposedly given their consent orally and have agreed to being sent the first commercial message. The data controller further argued that the data base included only e-mail that have been previously made public, also in the online business register BIZI, where the individuals entered indeed give permission to be sent the first commercial e-mail.

The IC held that the data controller must erase from the data base all emails of natural persons, since it has not showed that the individuals consented to their e-mails being processed this way. The IC further reasoned that publication of e-mails online does not by itself constitute legal basis for those e-mail to be included in a new data filling system. The legal bases for establishment of a new data base must be in accordance with Article 10 of the PDPA, namely based on consent of the individuals.

C.  Other important information

In terms of policy issues the IC has dealt with extensively, it is necessary to mention the increasing development of internet of things. Smart meters and smart digital TV are only a part of this phenomenon, which the IC faces in its work ever more often. Drones and the lack of legislation specifically regulating their use to ensure the protection of fundamental rights of individuals is another issue that is on the rise. The IC approached the National aviation agency and the competent ministry and offered expert help in the field of personal data protection in further development of legislation.

Information Commissioner was also active in the field of bilateral international cooperation. In 2014 it hosted study visits of the Bosnian, Croatian, Albanian, Romanian and Ukrainian representatives.

In a consortium with partners from different EU Member States the IC started to work on a 3 year project CRISP, which focuses on evaluation and certification schemes for security products. The IC is also one of the partners in the European project ARCADES, that centres on inclusion of data protection and privacy protection topics in curriculums of primary and secondary schools in the EU.

SWITZERLAND / SUISSE

A2015.05.13-0019 / 2014-00045 27.05.2015/WJ

Développements intervenus en Suisse depuis la dernière réunion plénière (état au

Loi fédérale sur la protection des données (LPD)

Le Conseil fédéral (gouvernement) a chargé de Département fédéral de justice et police de préparer un projet de révision de la loi fédérale du 19 juin 1992 sur la protection des données d’ici fin août 2016. Le projet devra en particulier tenir compte des réformes en cours au sein de l’Union européenne et de la Convention 108 modernisée. Cette révision doit ainsi permettre à la Suisse d’être en position de ratifier la Convention révisée. Elle devrait également permettre de renforcer les attributions et les pouvoirs du préposé fédéral à la protection des données et à la transparence, ainsi que les droits des personnes concernées. Le Conseil fédéral entend aussi améliorer le contrôle et la maîtrise des données, de même que la protection des mineurs. Il souhaite également que la protection des données soit assurée plus en amont, grâce notamment à la promotion de bonnes pratiques.

(Infos complémentaires sur http://www.ejpd.admin.ch/ejpd/fr/home/aktuell/news/2015/2015-04-010.html)

Loi fédérale sur le principe de la transparence dans l’administration (Ltrans)

Suite à la deuxième évaluation de l’application de la loi fédérale du 17 décembre 2004 sur le principe de la transparence dans l’administration fédérale (Ltrans), le Conseil fédéral a également chargé le Département fédéral de justice et police de préparer une révision partielle de la Ltrans, ceci afin d’améliorer la mise en œuvre du principe de transparence dans l’administration fédérale. La révision devrait permettre d’améliorer le traitement des demandes en médiation lors d’un refus d’accès à un document officiel et de clarifier les rapports entre la Ltrans et la protection des données.

(Infos complémentaires sur http://www.ejpd.admin.ch/ejpd/fr/home/aktuell/news/2015/2015-04-01.html)

Loi fédérale sur la surveillance de la correspondance par poste et télécommunication

Le Parlement examine un projet de révision totale de la loi fédérale du 6 octobre 2000 sur la surveillance de la correspondance par poste et télécommunication. Cette révision a notamment pour objectif que les surveillances nécessaires de la correspondance par poste et télécommunication ne puissent pas être tenues en échec par l’utilisation de nouvelles technologies. Il s’agit de donner aux autorités de poursuites les moyens nécessaires permettant d’éclaircir les infractions commises au moyen des nouvelles technologies. Il doit ainsi être possible de surveiller les personnes fortement soupçonnées d’avoir commis des infractions graves. Le projet ne permet pas des surveillances préventives. Le projet prévoit également des possibilités de surveillance dans le but de retrouver des personnes disparues et de rechercher une personne en fuite.

Le projet règle les tâches du service de surveillance de manière claire et étendue. Il règle la collecte et le traitement des données lors de la surveillance. Ces données seront conservées de manière centralisée et l’accès aux données, la consultation et la durée de conservation sont réglées. En particulier, les données de trafic ou secondaires ne pourront pas être conservées plus d’une année. Il règle également les obligations des fournisseurs de service. Des bases légales claires permettant le recours à des dispositifs spéciaux de surveillance (tels que IMSI-Catchers) et à des programmes informatiques spéciaux (GovWare, chevaux de Troie) sont créées. Le projet règle également les droits des personnes concernées. Les mesures de surveillance doivent être autorisées par une autorité judiciaire. Le projet tient compte des observations formulées par le préposé fédéral à la protection des données et à la transparence. Le projet devrait être adopté par le Parlement cette année encore. Un référendum n’est cependant pas exclu.

(infos complémentaires sur https://www.admin.ch/opc/fr/federal-gazette/2013/2379.pdf et https://www.admin.ch/opc/fr/federal-gazette/2013/2483.pdf; https://www.admin.ch/opc/fr/classified-compilation/20052319/201501010000/312.0.pdf; http://www.edoeb.admin.ch/dokumentation/00153/01073/01087/index.html?lang=fr)

Loi fédérale sur le renseignement

Le Parlement a également été saisi d’un projet de loi sur le renseignement. Cette loi devrait abrogée la loi fédérale du 3 octobre 2008 sur les renseignements civils. Ce projet tend à créer les bases légales formelles pour le service de renseignement civil de la Suisse (Service de renseignement de la Confédération, SRC). Ce service procède à la recherche d’informations, les analyse, les évalue et les transmet aux décideurs à tous le échelons pour qu’ils puissent accomplir leurs tâches de conduite à temps et de manière adaptée à la situation. La loi doit régler les tâches, les activités et le mandat du SRC. La collecte et le traitement des données font l’objet de dispositions détaillées. Le SRC peut, dans sa recherche d’informations, recourir à des mesures spéciales dans les domaines du terrorisme, de l’espionnage, de la prolifération d’armes nucléaires, chimiques ou biologiques et des attaques contre des infrastructures critiques ou pour la sauvegarde d’autres intérêts essentiels de la Suisse. Ces mesures spéciales telles que surveillance de la correspondance par poste et télécommunication, utilisation d’appareils de localisation, appareils de surveillance pour écouter ou enregistrer des propos non publics, observer ou enregistrer des événements dans des lieux privés, s’introduire dans des systèmes et des réseaux informatiques, procéder à des fouilles de locaux, de véhicules ou de conteneurs sont soumises l’autorisation du Tribunal administratif fédéral et du Ministre de la défense. Le recours à ces mesures particulièrement intrusives ne peut intervenir que s’il existe une menace concrète, la gravité de la menace le justifie et si la recherche d’informations par des moyens traditionnels est restée vaine. La loi règle également les droits des personnes concernées et prévoit un régime de contrôle à plusieurs niveaux des activités du SRC. Le préposé fédéral à la protection des données et à la transparence demeure en outre compétent pour le contrôle des traitements de données personnelles. Celui-ci a formulé des observations qui dans l’ensemble ont été suivies. Il aurait néanmoins souhaité restreindre le recours aux chevaux de Troie, soumettre à autorisation le recours à des drones, renforcer le contrôle de la protection des données et maintenir le SRC dans le champ d’application de la Ltrans.  Le projet devrait également être adopté cette année sous réserve d’un éventuel référendum.

(Infos complémentaires : https://www.admin.ch/opc/fr/federal-gazette/2014/2029.pdf ; https://www.admin.ch/opc/fr/federal-gazette/2014/3467.pdf ; https://www.admin.ch/opc/fr/federal-gazette/2014/2159.pdf ; http://www.edoeb.admin.ch/dokumentation/00153/01073/01088/index.html?lang=fr)

Echange automatique de renseignements dans le domaine fiscal

Le Conseil fédéral soumettra prochainement pour approbation au Parlement l’accord multilatéral entre autorités compétentes concernant l’échange automatique de renseignements relatifs aux comptes financiers, un projet de loi fédérale            sur l’échange international automatique (LEAR), ainsi que pour approbation la Convention du Conseil de l’Europe et de l’OCDE concernant l’assistance administrative mutuelle en matière fiscale. Ces projets devraient être conforme à l’avis du 4 juin 2014 (T-PD 2014 (05)). 

Information du Préposé fédéral à la protection des données et à la transparence (PFPDT)

Le PFPDT a achevé une longue procédure d’éclaircissement des faits concernant l’entreprise Moneyhouse active sur Internet notamment dans le renseignement de crédit. Il lui a adressé, en application de la LPD, toute une série de recommandations. Ces recommandations portent notamment sur des améliorations concernant le traitement des profils de la personnalité, l’information des personnes concernées, l’exactitude des données et les droits des personnes concernées (droit d’accès, de rectification ou d’effacement). L’entreprise a accepté une partie des recommandations. Le PFPDT va dès lors saisir le Tribunal administratif fédéral pour décision sur les points contestés par l’entreprise, à savoir l’examen de la justification d’un intérêt à consulter des données de solvabilité, l’examen de l’admissibilité de l’indexation des moteurs de recherche et de la question de savoir si Moneyhouse traite des profils de personnalité. L’objectif de cette action en justice est de renforcer la protection de la protection des données des personnes concernées et la sécurité du droit dans le domaine des agences de renseignement et de la commercialisation des adresses. (Info complémentaire sur  http://www.edoeb.admin.ch/datenschutz/00626/00747/01245/index.html?lang=fr&print_style=yes)

Le PFPDT a publié une feuille d’information sur les contrôles de sécurité et la protection des données dans le secteur de l’emploi (http://www.edoeb.admin.ch/datenschutz/00763/01244/index.html?lang=fr)

L’actuel préposé fédéral, Monsieur Hanspeter Thür a informé le gouvernement et le parlement qu’il ne souhaitait pas se représenter pour une nouvelle période et qu’il quittera ses fonctions à fin novembre 2015. La procédure de nomination de son successeur est en cours.

Il présentera à la presse le 22^e rapport d’activités, le 30 juin 2015 (à consulter sur http://www.edoeb.admin.ch).

D’autres informations sur les activités du PFPDT sur http://www.edoeb.admin.ch/aktuell/index.html?lang=fr

.

9^e journée de la protection des données

A l’occasion de la 9^e journée de la protection des données, le PFPDT a débattu des enjeux des applis et des objets connectés dans le domaine de la santé. A cet effet il a organisé une table ronde avec des experts, ouvert un blog dédié à la question et est intervenu dans les médias audiovisuels.

ASSOCIATION EUROPEENNE POUR LA DEFENSE DES DROITS DE L’HOMME / EUROPEAN ASSOCIATION FOR THE DEFENSE OF HUMAN RIGHTS (AEDH)

Au cours de l’année passée, les 47 Etats membres du Conseil de l’Europe ont connu certains développements dans le cadre de la protection des données personnelles. Ce document recense, suivant l’ordre alphabétique par pays, les principaux évènements et évolutions des différentes situations nationales.

Acronymes utilisés dans le document :

ADP : Agence de Protection des Données

CJUE : Cour de Justice de l’Union Européenne

PNR : Passenger Name Records

UE : Union Européenne

Contenu

1.         Albanie  36

2.         Andorre  36

3.         Arménie  36

4.         Autriche  36

5.         Azerbaïdjan  37

6.         Allemagne  37

7.         Belgique  38

8.         Bosnie-Herzégovine  39

9.         Bulgarie  39

10.        Croatie  39

11.        Chypre  39

12.        Danemark  39

13.        Espagne  40

14.        Estonie  40

15.        Finlande  40

16.        France  Error! Bookmark not defined.

17.        Géorgie  44

18.        Grèce  45

19.        Hongrie  45

20.        Irlande  46

21.        Islande  46

22.        Italie  46

23.        Lettonie  47

24.        Liechtenstein  47

25.        Lituanie  47

26.        Luxembourg  47

27.        Macédoine  48

28.        Malte  48

29.        Moldavie  48

30.        Monaco  48

31.        Monténégro  48

32.        Norvège  48

33.        Pays-Bas  48

34.        Pologne  49

35.        Portugal 49

36.        République Tchèque  49

37.        Roumanie  50

38.        Royaume-Uni 50

39.        Russie  51

40.        San Marino  52

41.        Serbie  52

42.        Slovaquie  52

43.        Slovénie  52

44.        Suède (pas d’information pertinente sur le site anglais du Data Inspection Board) 52

45.        Suisse  52

46.        Turquie  53

47.        Ukraine  (site non disponible) 53

Scène internationale  53

Dénomination de l’ADP : Commissaire pour l’Information et la Protection des Données Titulaire du poste : M. Besnik DERVISHI             Loi no. 9887 du 10.03.2008 amendée par la loi no.48/2012 du 26.04.2012 « Sur la Protection des Données Personnelles »             Loi no.120/2014 amendant la loi no.9887 « Sur la Protection des Données Personnelles »             Loi no.119/2014 relative au « droit à l’information »

Albanie^[1]

LEGISLATION- 18 septembre 2014 :

Adoption de la loi no.119/2014 « Droit à l’Information »

Adoption de la loi no.120/2014 amendant la loi sur la protection des données personnelles^[2] pour assurer sa conformité à la loi sur le droit à l’information et étendre les pouvoirs de l’ADP au champ de la protection du droit à l’information (art.31/1)^[3].

27 janvier 2015 - Participation de M. Dervishi à la conférence régionale « Vie privée dans l’ère du numérique » organisée par l’ADP du Kosovo, réunissant hauts-fonctionnaires de la régie (Albanie, Kosovo, Monténégro, Bulgarie, Macédoine), experts japonais, norvégiens et slovènes ainsi que des représentants de grandes entreprises mondiales de l’Internet (Google, Microsoft, Facebook).

15 mars 2015 - Rencontre co-organisée par M. Dervishi et la Fondation Société Ouverte pour l’Albanie pour une formation du secteur public sur les obligations prévues dans la Loi sur la Liberté de l’Information (loi no.119/2014)

29 et 30 avril 2015 - 17^e meeting des ADP d’Europe Centrale et de l’Est à Durrës (Albanie). 17 Etats participants^[4].

Andorre^[5](site tenu à jour mais en catalan. Pas de rapport annuel en anglais)

Arménie (absence de site internet et absence de rapport)

Autriche (site uniquement en langue allemande. La partie en anglais se résume à quelques informations de contact et de fonctionnement)

Clause constitutionnelle, article 1, Section 1-3 de l’Acte pour la Protection des Données, amendée le 01.01.2014

FACEBOOK- L’activiste autrichien Max SCHREMS, un juriste de 26 ans, mène une procédure judiciaire à l’encontre de Facebook concernant sa politique de confidentialité, sa participation au programme américain d’espionnage Prism, la fonction « Graph Search » et le tracking réalisé par le réseau social. Son groupe, Europe v Facebook (EvF) est à l’origine de la plainte déposée contre Facebook Ireland Ltd et l’ADP irlandaise dont l’affaire a été portée devant la Cour de Justice de l’Union Européenne (CJUE) concernant la politique de confidentialité Facebook.

9 avril 2015 - Dépôt d’un recours collectif par Max Schrems auprès de la cour civile (tribunal) de Vienne, avec constitution de partie civile de 25.000 plaignant, chacun réclamant le versement de 500€ au titre de dommages et intérêts.

13 avril 2015 : Publication du rapport de confidentialité 2014 (disponible uniquement en allemand)^[6]

Azerbaïdjan (rapport annuel 2013 disponible en anglais^[7])

LEGISLATION- 29 avril 2015 - Décret présidentiel portant création d’un système informatique électronique unifié pour les requêtes des citoyens au niveau des autorités exécutives locales^[8].

15 mai 2015 - Audience citoyenne sur les services de télécommunications (Internet, e-mail, radio, télévision) organisée par le Ministre des Communications et des Hautes Technologies Ali ABBASOV.

ADP : Federal Data Protection Commissioner Titulaire : Andrea Voßhoff (CDU)  depuis le 19.12.2013 Législation fédérale en matière de protection des données :             Loi de mise en œuvre de la directive 95/46/EC, 11.06.2010             Loi sur les télécommunications du 22.06.2004

Allemagne(rapport uniquement en allemand)

SURVEILLANCE- Les révélations d’Edward Snowden ont eu de fortes répercutions en Allemagne. S

Suite au hacking du téléphone personnel de la Chancelière Angela Merkel, une commission d’enquête du Bundestag s’est penchée sur les activités de renseignement en Allemagne. Fin avril 2015, Der Spiegel a révélé l’existence d’une proche coopération entre les services de renseignement allemands (BND) et américains (NSA), remontant au moins à 2008. Les cibles de cet espionnage concerneraient entre autres la Commission européenne, des entreprises européennes ainsi que les autorités françaises. Dans un pays marqué par une méfiance certaine à l’égard du fichage, le débat s’intensifie et prend une tournure politique. Le 27 avril, le parti social-démocrate a demandé l’ouverture d’une enquête immédiate ciblant le bureau du Chancelier. Der Spiegel Online a par la suite rapporté qu’environ 220 millions de métadonnées collectées de manière quotidienne, quelques 1.3 milliards par mois, étaient transférées à la NSA^[9].

13 avril 2015 - Publication par le Ministre de l’Economie et de l’Energie de 12 documents concernant un projet de loi pour l’Internet en nuage : le projet fédéral ‘Trusted Cloud’, sur lequel se penche depuis 3 ans 30 experts légaux.

15 mai 2015 - Publication d’un nouveau projet de loi de conservation des données (environ un millier de compagnies internet et de télécoms concernées)

Données cellulaires et adresses IP : 10 semaines

Données de géolocalisation : 4 semaines

Depuis l’annulation par la CJUE de la Directive sur la rétention des données (2006/24/EC) le 8 avril 2014, l’Allemagne est un des premiers pays à vouloir réintroduire une loi de conservation des données. Le projet de loi est présenté au gouvernement fédéral à la fin du mois de mai et débattu au Bundestag en juin. Pour le moment, les fuites témoignent d’un manque de clarté du projet. Une première loi en la matière  a déjà été rejetée par la Cour constitutionnelle en 2010.

Belgique

ADP : Commission de la Protection de la Vie Privée (CPVP) Législation en matière de protection des données :             Loi Vie Privée, 08.12.1992, modifiée par la Loi du 11.12.1998 pour mise en conformité de la directive 95/46/EC, nouvelle modification par la loi du 26.02.2003             Loi ‘Registre national des personnes physiques’ du 08.08.1983             Loi relative à la création et à l’organisation d’intégrateur de services fédérales, le 15.08.2012

La Belgique est très active en matière d’études et rapports d’analyse des législations sur la protection des données (nouveau Code Thématique sur la législation européenne et belge en matière de protection des données^[10]).

10 juin 2014 - Publication par la CPVP d’un formulaire de notification pour les fuites de données à caractère personnel en dehors du secteur des télécoms. La législation belge oblige les entreprises de télécoms à notifier toute fuite ou faille dans la protection des données dans les 24 heures suivant leur constat (précisions sur les données concernées, quantité, conséquences). La CPVP préconise l’application de cette même obligation à d’autres acteurs (délai allongé à 48 heures). Pour l’instant, l’obligation de notification ne s’applique qu’au secteur des télécoms mais est fortement conseillée à tous.

+ Publication du Rapport annuel 2013^[11].

Décembre 2014 - Publication par la CPVP de Lignes Directrices pour la Sécurité de l’Information de Données à Caractère Personnel^[12].

19 décembre 2014 - Lettre ouverte écrite et signée par 21 ADP participantes au GPEN (Global Privacy Enforcement Network) adressée aux exploitants de 7 boutiques virtuelles d’applications (dont Google Play et l’AppStore d’Apple) soulignant l’importance d’une politique de confidentialité pour chaque application.

Règles d’Entreprise Contraignantes (Binding Corporate Rules, BCR) : la CPVP, chef de file de la procédure de coopération européenne coordonnée pour les BCR, a présenté le 6 janvier 2015 son projet de règlement reprenant :

Les principes fondamentaux de protection des données (transparence, proportionnalité, nécessité…) ;

Des mesures de mise en œuvre (audit, formation du personnel, nomination de ‘représentants’ à la protection des données au sein des entreprises, système de gestion de plaintes…)

Ces règles doivent encore être validées par les différentes ADP au niveau national. A noter que le projet de Règlement européen de protection des données prévoit la suppression de cette 2^e étape relative à la procédure nationale^[13].

La CPVP, l’autorité belge de protection des données, a rendu une vingtaine d’avis depuis juin 2014, disponibles ici : http://www.privacycommission.be/fr/avis-1

Sa mission de contrôle de la conformité des projets de loi avec les garanties relatives à la vie privée et la protection des données semble effective.

Avis n°05/2015 (25.02.2015) relatif au projet de loi visant à renforcer la lutte contre le terrorisme (demande d’avis par le ministre de la justice pour l’autorisation « d’écoute, la prise de connaissance et l’enregistrement de communications ou de télécommunications privées ». Les « infractions liées au terrorisme » ont été listée par la loi du 18.02.2013 (modifiant le Code pénal). « Le contrôle ne peut être effectué que par des officiers de police judiciaire, qui font régulièrement un rapport au juge d’instruction ». Rapport CPVP favorable (respect principe de nécessité et niveau de garantie jugé suffisant)^[14].

13 mai 2015 - Recommandation de la CPVP relative à Facebook préconisant l’utilisation de modules complémentaires (add-ons) de navigateur pour bloquer tout traçage, de bonnes pratiques (dont la ‘navigation privée’), ainsi que le recours au site Internet d’opt-out de la European interactive Digital Advertising Alliance (www.youronlinechoices.eu) permettant de se désinscrire du traçage publicitaire opéré par Facebook (mais efficacité limitée).

Bosnie-Herzégovine

RETENTION DES DONNEES - 28 avril 2015 - Dans son arrêt – Civil Service of the Federation of Bosnia and Herzgovina – la Cour a déclaré que “conserver les documents de candidature de tous les participants est contraire au principe de protection des données ».

Bulgarie

Rapport annuel 2014 de la Commission de Protection des Données Personnelles (CPDP) au registre de l’Assemblée nationale le 30.01.2015. Adopté à l’unanimité le 27.03.2015.

10 mars 2015 - Lancement d’un programme de formation des employés du secteur public (« Capacité Administrative ») du Fonds Social Européen

Croatie (absence d’informations pertinentes sur la version anglaise du site)

Chypre (absence d’informations sur la version anglaise du site)

Danemark

Juillet 2014- Une mise en place d’un Système national de reconnaissance automatique des plaques d’immatriculation est prévue dans les prochaines années (influence britannique). Des inquiétudes sont soulevées, concernant notamment l’accès complet à la base de données sans nécessité d’autorisation judiciaire.

16 mars 2015 : Signature du Protocole Additionnel à la Convention 108 (STE 1814)concernant les autorités de contrôle et les flux transitoires de données. Entrée en vigueur le 01.07.2015.

PROJET DE LOI - En avril 2015, et pour la seconde fois de l’année 2014-2015, le gouvernement danois a présenté un projet de loi étendant l’accès aux PNR. L’objectif est de donner aux services de renseignement danois (PET) l’accès aux données collectées par les services de douane (SKAT). Le SKAT collecte déjà toutes les données PNR, vols internes à l’UE inclus. Attention : le PET est exempté de la loi danoise sur la protection des données et partage ses données avec les services de renseignement de la défense (DDIS), lui-même totalement libre d’échanger les données avec d’autres services de renseignements (question du transfert transfrontalier de données personnelles). A noter que le « système PNR danois » présente de nombreuses similitudes avec le projet de directive sur les PNR européens.

8 mai 2015 - Déclaration d’intention du Ministre de la Culture portant sur une campagne contre le piratage sur Internet sur la base d’une coopération volontaire avec les fournisseurs de services informatiques et autres compagnies comme Google ou Microsoft. Ce « code de conduite pour promouvoir le comportement respectueux de la loi sur Internet » (ciblant par exemple les droits d’auteur) fait partie d’une des « actions non-législatives » défendue par la Stratégie européenne pour un marché numérique unique. L’approche ‘follow-the-money’ vise à lutter contre le piratage sans pénaliser les utilisateurs qui peuvent ne pas être conscient d’accéder à des contenus illégaux.

Espagne

LEGISLATION– La loi 9/2014 sur les télécommunications remplace la loi générale 32/2003 : règlementation du secret des télécommunications et la protection des données personnelles. Cette loi combine et coordonne les législations locales, régionales et nationales en matière de télécoms.

26 mars 2015 - Adoption de la Loi pour la Sécurité des Citoyens (réformant le Code Pénal), instaurant des mécanismes de sanction pour les « crimes terroristes en ligne ». Entrée en vigueur le 01.06.2015

Estonie

LEGISLATION- 20 juin 2015 - Amendements du Public Information Act (2000)^[15]. Entrée en vigueur le 31.12.2014

1 juillet 2014 - Entrée en vigueur des amendements du Personal Data Protection Act (2007) adoptés le 19.02.2014

AUDIT- 5 mars 2015 - Publication d’un rapport d’audit sur les spas médicaux des 3 Etats baltes. Selon le rapport publié, les 12 spas auditionnés adhèrent au principe de légalité de leurs activités, y compris dans le domaine de la protection des données, respectant les principes de nécessité et de proportionnalité dans le traitement et le stockage des données^[16].

Finlande (deux ADP : le Médiateur pour la protection des données [Reijo AARNIO) et le Comité de Protection des Données)

La Finlande se montre tout particulièrement active dans la lutte contre les contenus à caractère pédopornographique (conférence de Londres, 10-11 décembre 2014). Une série de bonnes pratiques pour la coopération entre les services sociaux et de police est déjà mis en place.

France

Juillet 2014

Interconnexion de fichiers

Contre la fraude la CNIL a autorisé l’URSSAF à croiser des données de fichiers.

La Commission nationale de l’informatique et des libertés (CNIL) a autorisé au début du mois l’URSSAF d’Ile-de-France à procéder à différents recoupements de données relatives aux employeurs ayant déjà eu des démêlés judiciaires pour des problèmes de travail illégal.

Ce dispositif consiste à collecter des données à caractère personnel relatives aux personnes physiques dirigeants d’entreprises ayant fait l’objet d’un procès-verbal d’infraction ou d’une condamnation pénale pour infractions telles que le travail illégal, l’établissement de fausses déclarations de paiement des cotisations, ainsi que de condamnations civiles comme l’interdiction de gérer et la faillite personnelle. Ces données sont ensuite rapprochées de celles du fichier des entreprises nouvellement immatriculées sur la base du nom et du prénom des dirigeants, de leur date et lieu de naissance, et le cas échéant, de leur adresse professionnelle et personnelle.

Août 2014

Délibération n°2014-219 de la CNIL reconnaissant le risque d’atteinte au principe de proportionnalité du dispositif LAPI (Lecture automatisé de plaques d’immatriculation). Une telle collecte pourrait conduire à l’identification de toute personne empruntant la voie publique à l’entrée/sortie du territoire d’une commune.

septembre 2014

CONDAMNATION par la CEDH du FICHIER STIC

Condamnation de la France par la CEDH pour le fichier de police STIC pour atteinte disproportionnée au respect de la vie privée au regard des principes de proportionnalité, de pertinence, de non-excessivité et de non-stigmatisation et non accès à un véritable recours au procureur de la République pour obtenir un effacement effectif de ses données.

Le fichier STIC est constitué de plus de six millions de fiches, il est destiné à conserver pendant vingt ans les données relatives à des mises en cause, quelle que soit la gravité des faits, sans perspective d’effacement pour ceux qui n’auraient pas bénéficié d’une relaxe ou d’un classement sans suite pour infraction insuffisamment caractérisée (et même pour ceux-là, l’effacement n’est pas garanti).

octobre 2014

VOTE DE LA LOI ANTITERRORISTE

Loi destinée à lutter contre l'embrigadement dans des « parcours de radicalisation » terroristes, donc d'empêcher des individus de rejoindre des zones de combat, ou de se radicaliser sur internet.

La loi autorise les services de police à demander aux fournisseurs d'accès internet de bloquer l'accès à certains sites ou contenus sur le web, pour empêcher les internautes résidents en France d'accéder à des contenus qui feraient l'apologie du terrorisme. Ce blocage opéré par une autorité administrative sans intervention préalable du juge judiciaire renforce à nouveau les pouvoirs coercitifs de l’autorité administrative et il contourne sciemment le contrôle de l’autorité judiciaire, gardienne constitutionnelle des libertés individuelles sur des questions aussi essentielles pour chaque citoyen que le contrôle de l’Internet et la liberté d’expression.

octobre 2014

Publication au Journal Officiel du décret de mise en place de la Plateforme Nationale des interceptions judiciaires. Ces interceptions des correspondances et les réquisitions des données de connexion les écoutes des communications électroniques interceptées peuvent se faire de façon dématérialisée, depuis un point unique, dans les locaux de l’entreprise privée Thalès. La CNIL a examiné ce texte qui organise la collecte de millions de données, elle exige « un haut niveau de protection » des informations sensibles (outre l’identité complète de la personne émettrice ou destinataire de la communication ou la dénomination de personne morale, toutes les informations permettant d'identifier son domicile, son lieu ou son établissement, les logs de connexion, les outils de communications utilisés, les données de géolocalisation, les numéros de téléphone, l’adresse mail, les données relatives au trafic des communications de la liaison interceptée au cours de ces opérations pourront être enregistrées : les opinions politiques, philosophiques ou religieuses des personnes ainsi que leur appartenance syndicale, leur état de santé ou leur vie sexuelle, outre des informations sur leurs « origines raciales ou ethniques »).

novembre 2014

Adoption par la CNIL de la norme simplifiée n.57 relative aux traitements de données sur le lieu de travail.

janvier 2015

Signature d’une convention de partenariat entre la CNIL et le Défenseur des Droits (Jacques TOUBON) portant sur la coordination en matière de traitement des plaintes (échange et mutualisation des informations, actions et évènements conjoints).

Publication par la CNIL de sa Revue 2014 (16.04.2015). Au total, 5 825 plaintes ont été enregistrées en 2014. 39% concernent l’e-reputation. La plupart du temps, les sanctions ne sont pas effectives ; les organisations ciblées cessant leur manquement.

Février 2015

La CNIL a de nouveau dénoncé les trop nombreuses erreurs dans le fichier TAJ (Traitement des Antécédents Judiciaires). Ce fichier compte 12,2 millions de fiches concernant des « mis en causes » et comporte le nom, l’adresse, le sexe, la photo, la date ou encore lieu de naissance de l’intéressé, des informations « laissant apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». Il peut être exploité pour l’accès à la nationalité française, les titres de séjour, mais encore les enquêtes administratives notamment en vue d’un emploi public dans une activité à risque (défense, etc.).

La Commission estime du coup qu’« en ne respectant pas les délais qui leur sont ainsi impartis, les services de la Police nationale et les Parquets privent les personnes concernées d’un droit d’accès indirect efficace aux données les concernant enregistrées dans le TAJ. ». Les citoyens ont un droit d’accès indirect et peuvent donc saisir la CNIL mais celle-ci dénonce le fait que les services de la police nationale et les Parquets ne respectent pas les délais ».

Mars - juin 2015 – Vote en cours

Projet de loi sur le renseignement

Le projet de loi définit les missions des services de renseignement et même s’il rappelle l’importance du respect de la vie privée et notamment que sont garantis par la loi, l’inviolabilité du domicile et le secret des correspondances, il organise une surveillance généralisée par son champ d’action et les techniques qui pourront être mises en œuvre : enregistrement des données (anonymes) de connexions chez les fournisseurs d’accès internet et de téléphonie et analyse par des algorithmes permettant de repérer des terroristes potentiels, sonorisation des domiciles, logiciels espions, balises de géolocalisation et IMSI catchers, sans que le judiciaire garant des libertés publiques n’intervienne. Ce projet instaure la surveillance, sans aucun contrôle, des communications qui passent par l’étranger, alors que de très nombreux serveurs utilisés par des Français sont installés à l’étranger. Le contrôle des services de renseignement sera pratiquement aux seules mains du pouvoir politique (Premier ministre), la commission de contrôle n’ayant qu’un avis consultatif.

avril 2015

Création du fichier des auteurs d’infractions terroristes (FIJAIT)

L’objectif du fichier FIJAIT est de créer un fichier d’adresses spécifiques à une catégorie particulière d’infractions liées au terrorisme afin d’assurer un suivi des personnes qui y sont inscrites au travers de différentes obligations (justification d’adresses, des déplacements à l’étranger, etc.). La CNIL a formulé des observations sur la durée de conservation des données potentiellement excessive, sur l’accès aux données à l'ensemble des forces de sécurité publique ainsi que sur les destinataires des données qui devraient être réservées aux services de justice et de police dans le seul cadre de leurs missions de lutte contre le terrorisme.

Délibération n°2015-119 du 7 avril 2015 portant avis sur un projet de dispositions législatives visant à créer un fichier national des auteurs d'infractions terroristes (FIJAIT)

Avril 2015

Plainte contre les pratiques de la NSA

La FIDH et la LDH ont déposé devant le TGI de Paris une plainte avec constitution de partie civile afin que toute la lumière soit faite sur les supposées atteintes aux libertés individuelles résultant du programme PRISM.

La FIDH et la LDH, qui avaient déposé une plainte simple le 11 juillet 2013, ont décidé d’introduire une plainte avec constitution de partie civile devant l’inaction du Parquet de Paris qui, plus de 18 mois après l’ouverture d’une enquête préliminaire sur ces faits, n’a toujours pas fait connaître les suites qu’il entendait donner à cette affaire.

deux nouvelles plaintes de la fidh et de la ldh visent à faire la lumière sur les pratiques de surveillance

avril 2015

LOI SANTE : inquiétudes sur la création d’une base de données

Le projet de loi Santé instaure un portail d'accès public aux données médicales qui suscite l'inquiétude de certains professionnels. Une plateforme dédiée (le système national des données de santé ou "SNDS") proposera l'accès gratuit au public à des données de santé anonymisées. (Voir les dispositions incluses dans l'article 47 du texte : http://www.legifrance.gouv.fr/affichLoiPreparation.do?idDocument=JORFDOLE000029589477&type=contenu&id=2&typeLoi=proj&legislature=14 )

mai 2015

Fichier « Stade »

Le Conseil d’État a suspendu provisoirement la mise en œuvre d’un fichier (dénommé « stade ») en raison d’un doute sérieux sur la légalité de l’arrêté du ministre de l’intérieur. Ce fichier autorise le préfet de police à mettre en œuvre un traitement automatisé de données à caractère personnel avec pour objectif de prévenir les troubles à l’ordre public, les atteintes à la sécurité des personnes et des biens ainsi que les infractions susceptibles d’être commises à l’occasion des manifestations sportives se tenant à Paris et dans les départements limitrophes, ainsi que des matchs du club de football « Paris-Saint-Germain » dans quelque département qu’elles se déroulent. Le fichier concerne toute personne, majeure ou mineure de plus de treize ans, « se prévalant de la qualité de supporter d’une équipe ou se comportant comme tel ». Les données dont le fichier prévoit la collecte ne sont pas « adéquates, pertinentes et non excessives » ainsi que l’exige la loi I&L (les raisons qui ont motivé l’enregistrement de la personne dans le fichier, son identité, profession, adresse, signes physiques particuliers, etc. Des données issues d’autres fichiers du ministère de l’intérieur peuvent être transmises non seulement à des autorités administratives et judiciaires, mais aussi aux clubs sportifs.

Mise en œuvre mécanismes d’échange interétatique et automatique de données à des fins administratives et fiscales» (T-PD(2014)05).

Depuis mars 2015, les BCR (Binding Corporates Rules) sont mises en œuvre. La CNIL délivre une autorisation unique à chaque groupe ayant adopté les BCR et donc soumis aux obligations de la Loi Informatiques et Libertés.

Géorgie

En Géorgie, la mise en place d’une règlementation respectueuse des normes européennes en matière de protection des données s’inscrit dans le cadre d’un Accord d’Association avec l’Union Européenne, conclu le 27 Juin 2014. Considérée comme une priorité du gouvernement géorgien, la mise en œuvre du cadre législatif a débuté à l’été 2014.

1^e juillet 2014 - 1^e bilan annuel de la fonction d’Inspecteur pour la Protection des Données (IPD), l’ADP géorgienne. L’IPD s’est concentré sur la mise en œuvre de standards au sein d’organismes publics et privés. L’IPD a mis en place une coopération avec plusieurs organisations internationales :

Le Conseil de l’Europe (T-PD et CAHDATA) depuis 2013

Les ADP d’Europe centrale et de l’est (CEEPDA) depuis avril 2014

La Conférence européenne des autorités de protection des données depuis juin 2014

5-6 juillet 2014 - La 4^e conférence de la Mer Noire portait sur le thème « Nouveaux défis pour le droit au respect de la vie privée » (inviolabilité des communications, collecte et traitement de données personnelles). Etaient représentées les autorités judiciaires des Etats de la région, des Etats Baltes et de l’Allemagne ainsi que des membres de la Commission de Venise, des représentants d’ONG et des universitaires.

1^e septembre 2014 - Extension du mandat de l’IPD aux forces du maintien de l’ordre. Sa procédure de nomination a été modifiée pour accroître sa légitimité (élection par le Parlement parmi des candidats présentés par le Premier Ministre et sélectionnés par un comité spécial). Les règles en matière de vidéosurveillance ont été renforcées, et le traitement de données génétiques a été restreint.

Depuis septembre 2014, les Géorgiens peuvent envoyer des requêtes simplifiées pour demander de mettre un terme au traitement de leurs données personnelles.

16 septembre 2014 - Adoption de la « White List » regroupant 47 pays bénéficiant d’un niveau adéquat de protection des données avec lesquels la Géorgie peut à  présent échanger des données sans autorisation préalable de l’APD.

1^e novembre 2014- Extension du mandat de l’IPD au secteur privé.

17 mars 2015 - Rapport 2014 de l’IPD soumis au Comité pour les affaires juridiques du Parlement géorgien.

8 mai 2015 - Publication du 3^e rapport de la Commission Européenne accueillant favorablement la réforme de la protection des données en Géorgie. Toutes les obligations ont été remplies, permettant d’avancer dans le processus de négociation pour la libéralisation des visas.

Grèce

Dénomination de l’ADP : Autorité Hellénique de Protection des Donnes Personnelles [ΑρχήΠροστασίαςΔεδομένωνΠροσωπικούΧαρακτήρα]

Titulaire du poste : M. Petros Christoforos

Loi no. 2472/1997 sur la protection de l’individu du traitement des données à caractère personnel

En 2014 l’AHPDP a adopté 4 avis :

No 1 sur le projet de décret présidentiel sur l’application-pilote du système de surveillance électronique des détenus (bracelet électronique).

No 2 sur le projet de décision ministérielle sur le système de contrôle des unités qui fournissent des services de santé mentale.

No 3 sur le projet de décision ministérielle sur les données biométriques sur les cartes de séjour.

No 4 sur le projet de décision ministérielle sur la procédure de certification du personnel portant des armes des compagnies privées de sécurité. 

L’AHPDP a aussi infligé une amende de 75.000 euro a l’organisme d’informations bancaires sur la solvabilité (« liste noire ») pour excès de la finalité du traitement (décision 185/2014) et une amende de 115.000 euro à 2 sociétés privées de collecte des informations de solvabilité pour collecte illégale d’adresses e-mail à des fins de marketing (décision 100/2014).

Hongrie

L’Union Hongroise pour les Libertés Civiles (HCLU) a lancé une procédure juridique contre deux fournisseurs devant la Cour Constitutionnelle, une tentative visant à forcer la Cour à abroger la loi hongroise sur les communications électroniques. Des ONG (Open Right Group-ORG, Privacy International) et un groupe d’experts interviennent en tant que « file amicus ». La décision finale de la Cour est attendue pour fin mai 2015.

Irlande (Rapport 2013 publié en mai 2014^[17]. Le rapport 2014 n’est toujours pas disponible)

ADP : Data Protection Commissioner (DPC) : Helen DIXON (nommée en 2014) Principale législation :             Data Protection Act 1988, amendé en 2003 (mise en conformité avec la Directive 95)             ePrivacy Regulations 2011 (en conformité avec la Directive ePrivacy 2002/58/EC)

La législation sur la protection des données personnelles apparaît aux yeux de certains relativement laxistes. De nombreuses entreprises numériques américaines (Google, Facebook, Amazon et maintenant Twitter) installent leurs sièges sociaux européens en Irlande.

26 mai 2014 - Signature d’un mémorandum^[18] entre le DPC et l’agence de santé irlandais (Health Information and Quality Authority, HIQA), soulignant l’importance d’une étroite coopération entre ces deux agences étatiques afin de s’assurer de la protection des données de santé des citoyens irlandais.

FACEBOOK- Le 18 juin 2014, après un refus de la DPC d’enquêter sur l’implication de Facebook dans le programme PRISM révélé par E. Snowden (au motif que les transferts de données de Facebook n’étaient pas couverts par l’accord Safe Harbour), la Haute Cour d’Irlande a saisi la CJUE de l’affaire^[19]. C’est une première victoire pour l’activiste autrichien Max SCHREMS (et son groupe Europe v Facebook). L’avis de l’avocat général est attendu pour le 24 juin 2015.

LEGISLATION- 18 juillet 2014 - Entrée en vigueur de nouvelles sections du Data Protection Act.

            Section 4(13) : interdiction pour les employeurs de conditionner l’embauche à la requête d’une copie de données personnelles^[20]. 

26 novembre 2014 - La Ministre de la Justice (Frances FITZGERALD) a introduit de nouvelles compétences permettant aux autorités étrangères d’intercepter des e-mails et appels téléphoniques de citoyens irlandais ; octroyant en parallèle aux autorités irlandais de demander des écoutes téléphoniques à l’étranger. Cette modification de la législation de 2008 relative à l’assistance mutuelle s’est faite par un « statutory instrument », i.e une compétence de l’exécutif de faire passer une loi sans discussion parlementaire préalable.

Depuis le 14 avril 2015, le bureau du CDP est partiellement soumis au Freedom Information Act 2014 (en matière administrative uniquement). Ses enquêtes et dossiers ne sont pas concernés pour des raisons de confidentialité.

Islande (Data Protection Act – 2000)

L’Islande est considérée comme un des endroits les plus sûrs pour ses données personnelles. Par exemple, certaines entreprises de communications de cryptage (ex : Unseen.is) opèrent depuis l’Islande.

ADP : Garante per la Protezione dei Dati Personali Droit au respect de la vie privée : art. 13, 14, 15 et 21 de la Constitution italienne Décret législatif no. 196 (30.06.2003) : Code sur la Protection des Données             Section 1 : droit (absolu) au contrôle des données par les individus             Section 11 : obligations en matière de traitement des données             Sections 23 et 24 : obligation de consentement explicite

Italie

Etude Federprivacy : les principales violations de la règlementation en matière de protection des données concernent l’obligation d’information sur le traitement des données (art.13) et la requête de consentement (art.23).

DROIT A L’OUBLI – Seulement 27.6% des requêtes en provenance de l’Italie ont été acceptée par Google. « Anomalie italienne » : La plupart des requêtes proviendrait d’hommes politiques et personnalités publiques impliquées dans des enquêtes judiciaires et de mauvaise réputation. On se heurte ici à l’équilibre nécessaire entre le droit à l’oubli et le droit à l’information du public.

TERRORISME- 15 avril 2015 – Adoption par le Sénat d’un décret gouvernemental « mesures urgentes de lutte contre le terrorisme ». Les paragraphes 2, 3 et 4 de l’article 2 prévoient des mesures de blocage et de démantèlement des sites liés au terrorisme. Ont été retirés de la liste des éléments d’interception préventive des communications après que le député Stefano Quintarelli ait attiré l’attention du public sur les atteintes potentielles aux  droits des citoyens italiens.

COOKIES– Antonello SORO, président de l’ADP italienne, a fixé la deadline pour la mise en conformité des mesures relatives aux cookies au 3 juin 2015. En cas de non-respect, la sanction prendra la forme d’une amende (montant maximum de 480.000€).

Lettonie (site non disponible)

REGLEMENTATION– 01 juin 2014 – Entrée en vigueur du règlement no.1322 (17.11.2009) relatif aux obligations en matière d’audit concernant le traitement des données personnelles par les institutions gouvernementales locales.

Liechtenstein (site non disponible en anglais)

Lituanie (la loi sur la protection des données amendée pour la dernière fois le 12 mai 2011)

ADP : Commission Nationale pour la Protection des Données (CNPD) Dernières nominations en date (7 novembre 2014) : Tine A. LARSEN (juriste, présidente), Th. LALLEMANG (juriste) et Georges WANTZ (informaticien) Loi du 02.08.2002 (protection des personnes à l’égard du traitement des données à caractère personnel) modifiée en juillet et décembre 2006 et juillet 2007. Recueil de législation ‘Protection des données dans le secteur des télécommunications’ , 10.08.2011 explicite

Luxembourg

CONSEIL DE L’EUROPE – 16 octobre 2014 – Ratification par le Luxembourg de la Convention du Conseil de l’Europe sur la Cybercriminalité (dite « Convention de Budapest ») et son protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques. Entrée en vigueur le 01.02.2015.

AMAZON – mars 2015 – Enquête de conformité du Data Processing Addendum et des clauses contractuelles d’Amazon Web Services (AWS) Inc., en collaboration avec d’autres ADP européenne. Conclusions (06.03.2015) : conformité.

 FYROM (Macédoine)

CEEPDA – 2 et 3 avril 2014 – 16^e rencontre des Autorités de Protection des Données d’Europe de l’Est et d’Europe Centrale (CEEPDA) à Skopje (Macédoine). Adoption de 2 déclarations :

Adhésion de la Géorgie,

Déclaration d’assistance mutuelle et de coopération renforcée en vue de mettre les cadres nationaux légaux en conformité avec les évolutions européennes en matière de protection des données

SURVEILLANCE – 10 février 2015 – Révélations d’activités de surveillance de masse (20.000 personnes mises sur écoute).

Malte (site non mis à jour)

Moldavie (processus de révision de la législation en cours)

27 février 2015 – Décision de l’ADP moldave (National Center for Personal Data Protection) de contrôler les activités de traitement des données personnelles de la base de données « StarNet Solutions LLc ») suite à une cyber-attaque.

27 avril 2015 – Conclusion d’un accord de partenariat public-privé entre l’ADP et l’entreprise à responsabilité limitée DAAC System Integrator pour une coopération renforcée en matière d’échange d’expérience, de programmes de formation, d’expertise législative, de sensibilisation et d’organisation conjointe d’évènements.

29 avril 2015 – Décision administrative de cesser les opérations de traitement des données stockées dans le Registre national de la population, le traitement ayant été jugé contraire aux articles 23 et 34§4 de la Loi sur la protection des données personnelles

Monaco (dernier rapport annuel disponible : 2013)

Monténégro (site an anglais non tenu à jour)

Instauration du PROJET TWINNING visant à renforcer la capacité du Monténégro en matière de protection des données.

            Volet 1 : Harmonisation de la législation monténégrine avec la Directive 95/46/EC,

            Volet 2 : Formation professionnelle des employés des autorités étatiques, institutions publiques et secteur privé

Norvège (site anglais non mis à jour)

Pays-Bas

RETENTION DES DONNEES – 12 avril 2015 – Annulation de la loi sur la conservation des données par la Cour du district de La Haye (cf. Décision de la CJUE du 29 avril 2014 invalidant la directive européenne sur la rétention des données).

RAPPORT ANNUEL 2014^[21] (28.04.2014) dont les thèmes principaux sont :

Le profilage (la compagnie de publicité Yieldr et la télévision publique ont été reconnus coupables de violation de la loi via l’usage de cookies permettant la collecte de données sans consentement préalable des utilisateurs)

La décentralisation

Le traitement des données personnels dans le cadre de l’emploi (les agences de l’emploi Randstad et Adecco se sont révélées non-conformes, requérant notamment les données médicales pour les travailleurs temporaires en arrêt maladie et opérant une conservation des données plus longue que nécessaire)

CONFERENCES– Les Pays-Bas accueillent régulièrement des évènements relatifs à la protection des données (deux séminaires annuels organisés par le Consultation Forum of Regulatory Bodies ou encore la Conférence Internationale des ADP du 26 au 29 octobre 2015).

FACEBOOK– L’ADP néerlandaise enquête sur la politique de confidentialité 2015 de Facebook. L’ADP a du sanctionner Facebook d’une amende (pour refus de coopération) pour que Facebook accepte de lui transmettre certaines informations.

Pologne

7 novembre 2014 – Amendement de l’article 46c de la loi sur la protection des données instaurant une plateforme informatique d’accès aux contenus de plusieurs registres publics nationaux.

26 janvier 2015 – Lancement d’un système informatique pour assurer l’accès du public au registre national ouvert des administrateurs de sécurité informatique.

CONSEIL DE L’EUROPE – 20 février 2015 – Ratification par la Pologne de la Convention du Conseil de l’Europe sur la Cybercriminalité (dite « Convention de Budapest »). Entrée en vigueur le 01.06.2015. A présent, 45 Etats ont ratifié la Convention.

22 avril 2015 – Dr. Edyta BIELAK-JOMAA est nommée nouvelle Inspecteur Général pour la Protection des Données Personnelles (GIODO). Mme Bielak est juriste spécialisée dans le droit du travail et la protection des données personnelles) après que M. Wojciech WIEWIOROWSKI ait démissionné de son pote pour devenir Contrôleur-adjoint européen pour la Protection des données.

Article 35 de la Constitution de la République portugaise relatif utilisation des données informatiques

Portugal(site très restreint en anglais et français)

République Tchèque

RAPPORT ANNUEL 2014 disponible en anglais depuis le 26 mai 2015^[22]. Au total, l’APD a mené 2.965 enquêtes et consultations dont presque la moitié (1 819) concerne les citoyens. 742 procédures concernent les personnes de droit moral et les indépendants, tandis que les entités publiques ont fait l’objet de 239 procédures.

 L’APD tchèque accueille et organise de manière régulière des ateliers de formation pour les différents secteurs (Guide de protection des données pour les employés, workshop sur le traitement des données privées dans le cadre d’enquête sur la fraude fiscale…)

Roumanie

DECLARATIONS D’INCONSTITUTIONNALITE – La Cour Constitutionnelle Roumaine (CCR) a prononcé l’inconstitutionnalité de :

La loi sur la Rétention des Données (5 juillet 2014)

La loi sur la Cybersécurité (21 janvier 2015)

Royaume-Uni (Information Commissionner, ICO)

LEGISLATION

1^e octobre 2014 – Entrée en vigueur des nouvelles règles de copyright au Royaume-Uni.

2 février 2015 – Renforcement des droits d’enquête de l’ICO. L’ICO dispose à présent du pouvoir de soumettre un organisme de santé publique à un audit obligatoire. Ce n’était auparavant possible que pour les départements du gouvernement central.

10 mars 2015 – ‘Enforced Subject Access’ : Le fait pour un employeur d’exiger d’un candidat que ce dernier demande l’accès à son casier judiciaire (condamnations et mises en garde) en vue d’un entretien d’embauche constitue à présent une infraction pénale. La loi s’applique également aux contrats de biens, facilités et services (incluant de fait les propriétaires ou les compagnies d’assurance).

11 mars 2015 (ECOSSE) – Le gouvernement écossais a lancé une consultation publique afin d’utiliser la base de données du registre national des services de santé (National Health Service, NHS) comme base de données nationale. Cette proposition se rapproche du projet d’ « Identity Database » introduite au Royaume-Uni, puis abandonnée en 2006.

6 avril 2015 : Révision de la loi sur la nuisance des télécoms (Nuisance Calls and Texts Law), simplifiant la charge de la preuve pour l’ICO. L’ICO devait auparavant prouver l’existence d’un dommage ou d’une détresse substantielle. A présent, il  devra juste prouver que la compagnie a commis une infraction sérieuse à la loi sur la vie privée et les communications électroniques. Cette législation vise tout particulièrement les messages et appels de marketing. L’ICO a reçu 175 330 rapports de nuisances par voie de télécommunication en 2014.

ENQUETES

30 janvier 2015 – Changement de la politique de confidentialité Google après une enquête de l’ICO (manque de clarté et de transparence). L’ICO a mené sa propre enquête, en parallèle de sa participation au Groupe de Travail Article 29 avec d’autres APD européennes.

 1 avril 2015 – Lancement d’une enquête de l’ICO sur les firmes partageant des données personnelles sensibles (y compris pensions de retraite). Une enquête a en effet révélé que plusieurs compagnies de démarchage téléphonique ne respectaient par la législation en vigueur.

DECISIONS DE JUSTICE

26 mars 2015 – La Cour Suprême britannique a rendu son jugement définitif dans une affaire longue de 10 ans concernant les révélations de la correspondance secrète entretenue entre le Prince Charles et le gouvernement Tony Blair, remettant de fait en cause le principe de neutralité de la famille royale. L’ICO avait auparavant jugé que l’intérêt public justifiait la publicité des lettres en question, au détriment du principe du secret des correspondances.

SANCTIONS

30 mars 2015 – Le Service des fraudes (Serious Fraud Office) s’est u infliger une amende de 180 000£ après qu’un témoin dans une affaire de fraude et corruption ait transféré par erreur un message à 64 autres personnes impliquées dans l’affaire.

18 mai 2015 – La police galloise a reçu une amende de 160.000£ pour une faille dans les données (une vidéo d’un abus sexuel sur mineur a été dévoilée).

Russie (Roskomnadzor : Vadim AMPELONSKY), site en  anglais lancé en mars 2014, extrêmement détaillé et tenu à jour

LEGISLATION

4 juillet 2014 – Adoption par la Douma d’une loi obligeant les acteurs étrangers de l’Internet (réseaux sociaux, moteurs de recherche, services de messagerie) à stocker les données de leurs utilisateurs sur le territoire russe. L’emplacement du serveur devra être communiqué aux autorités russes (entrée en vigueur le 01.09.2016).

1 août 2014 – Signature de l’ordre établissant une commission d’expertise sur l’identification du nombre d’utilisateurs de sites ou de pages internet par le chef du Service Fédéral pour la Supervision de la Sphère des Télécoms, les Technologies de l’Information et les Communications de Mass (Roskomnadzor) en application de la loi fédérale no.97-FZ du 5 mai 2014.

6 septembre 2014 : Publication officielle du nouveau règlement du gouvernement de la Fédération de Russie No. 211 (21.03.2012) abolissant la dépersonnalisation des données personnelles traitées par les systèmes informatiques. Mise en œuvre le 18.09.2014. Dès lors, les données traitées par les autorités publiques ne sont plus systématiquement anonymes.

INTERNATIONAL– Signature d’un accord de coopération entre la Russie et la Chine en matière de sécurité informatique (échanges d’informations, réponse conjointe en cas de menaces sérieuses)

BLOCAGE DE SITES INTERNET

27 octobre 2014 - Blocage d’une vidéo enregistrée par ISIS (Sword Ring), touchant 400 hébergeurs (dont YouTube) et que la plupart ont supprimé de leur contenu.

29 janvier 2015 – 60 sites internet ont été reconnus coupables de violation de la loi sur les données personnelles par la Cour de la ville de Moscou. Entrée en vigueur le 1^e mars 2015, suite à quoi les sites seront ajoutés au Registre unique des informations interdites (registre des bloggeurs) et bloqués par les opérateurs télécoms.

21 mai 2015 – Le Roskomnadzor a averti Google, Facebook et Twitter qu’ils seraient bloqués s’ils ne se soumettaient pas à la législation russe. Pour se faire, les trois firmes doivent remettre au Roskomnadzor les données de bloggeurs russes ayant plus de 3.000 visiteurs par jour et enlever certains contenus.

JOURNEE DE LA PROTECTION DES DONNEES DES ENFANTS : 1^e octobre 2014. En 4 mois, le Roskomnadzor a contrôlé environ 2.500 sites internet afin d’identifier les sites procédant à la ‘dissémination illégal de données personnelles de mineurs’. 

10 mai 2015 – La période de transition pour l’enregistrement des médias en Crimée est terminée. Au total, 232 médias ont été enregistrées (8 médias en ligne, 19 chaines de TV, 42 chaines de radio et 163 agences et presse écrites). A noter qu’en juin 2014, Twitter a retiré les données personnelles du Président du Conseil d’Etat de la République de Crimée à la demande du Roskomnodzor.

San Marino

6 mars 2015 – Signature par San Marino de la Convention 108.

Serbie

Mars 2015 – Publication du Rapport annuel 2014 (en anglais)^[23] relatif à l’application de la loi sur l’accès libre à l’information d’importance publique et la loi sur la protection des données personnelles. Le rapport déclare que les autorités publiques (gouvernementales et autres) ont échoué dans la mise en œuvre des mesures obligatoires en matière de protection des données (en conformité avec les standards européens). Une seule mesure de mise en œuvre de la loi sur la protection des données personnelles a été prise, celle relative à la responsabilité du Commissaire à la protection des données. Plus d’un an après l’expiration du Plan d’Action entre la Serbie et l’Union Européenne, le Plan demeure lettre morte, sans aucun effet pratique.

Selon le rapport, le Commissaire a géré un total de 11 387 cas en 2014 (les 2/3 rentrants dans le champ de la liberté d’information, le reste dans le champ de la protection des données).

Slovaquie

RETENTION DES DONNEES – 29 avril 2015 – La Cour Constitutionnelle de la République Slovaque a déclaré la loi sur la rétention des données (ayant permis une surveillance de masse des citoyens)inconstitutionnelle. La procédure a été initiée think-tank basé en Slovaquie (the European Information Society Institute, EISi), soutenus par 30 MEPs.

La loi (Act on Electronic Communications, no.351/2011) exigeait des fournisseurs de réseau cellulaire de tracer les communications des utilisateurs et de les stocker pour une période pouvant aller jusque 12 mois (6 mois pour les données de trafic, géolocalisation, email et Voice over IP). La collecte des données a donc été complètement annulée.

Slovénie

RETENTION DES DONNEES – 3 juillet 2014 – Abrogation des dispositions relatives à la rétention des données de la Loi sur les Communications Electroniques (ZEKom-1, art.162-169). La Cour Constitutionnelle de la République de Slovénie a ordonné la suppression immédiate des données conservées, au motif du caractère disproportionné des conditions de conservation des données.

Suède (pas d’information pertinente sur le site anglais du Data Inspection Board)

Suisse

Pouvoirs de contrainte limités du Préposé fédéral à la protection des données et à la transparence (PFPDT) : il ne peut imposer d’amende, ni interdire le traitement de données sans défendre sa recommandation devant un tribunal !

30 juin 2014 – Publication du 21^e rapport d’activité (01.04.2013 – 31.03.2014)

8 octobre 2014 – Le PFPDT a obtenu que les nouvelles conditions générale de Postfinance continent une possibilité de libre choix sans exclusion du service de paiement en ligne.

30 octobre 2014 – Jugement du Tribunal fédéral en matière de réticence : une assurance est supposée connaître toutes les données importantes traitées dans son organisation et reconnait un devoir d’information de l’assurance de base à l’assurance complémentaire.

28 novembre 2014 –

Contrôle a posteriori du PFPDT (depuis 2013) du programme de fidélisation de la clientèle Cumulus, permettant à la société Migros de traiter les données relatives à plus de deux millions de clients. Recommandation et série de propositions, toutes acceptées par Migros (rapport seulement en allemand).

(Rapport final) Contrôle du système de gestion des risques d’un institut financier : absence de transparence des traitements effectués + obligation de modifier l’application afin de respecter le principe de proportionnalité du délai de stockage des données. (Obligations acceptées en août 2014).

8 décembre 2014 – Publication d’un feuillet thématique « Exploitation des systèmes de contrôle d’accès dans les centres de loisirs »

1 avril 2015 – Le Conseil Fédéral a chargé le Département Fédéral de Justice et Police (DFJP) de révision la loi sur la protection des données et lancé une révision partielle de la loi sur la transparence (LTrans).

30 avril 2015 – 3^e recommandation sur l’agence de renseignement MoneyHouse, demandant des améliorations sur le profilage de personnalités, information des personnes et exactitude des données. Les nombreuses plaintes déposées ont mené au lancement d’une enquête depuis 2012. Objectif du recours devant le Tribunal Administratif Fédéral (TAF) : renforcer la protection des données par les agences de renseignement et de commercialisation d’adresses.

Turquie

29 septembre 2014 : Ratification par la Turquie de la Convention du Conseil de l’Europe sur la Cybercriminalité (dite « Convention de Budapest »). Entrée en vigueur le 01.01.2015.

19 mars 2015 – Adoption par le Parlement turc d’une disposition autorisant le gouvernement à bloquer un site web sans décision de justice èaction préventive de l’Autorité turques des Télécommunication (TIB), contrôle a posteriori d’un juge pour valider ou annuler la mesure.

Cette disposition avait pourtant été censurée par la Cour constitutionnelle en octobre 2014.

Ukraine  (site non disponible)

La demande d’adhésion du SENEGAL à la Convention 108 (et Protocole additionnel) a été enregistrée.

Scène internationale

Juin  2014, - L’Agence des Droits fondamentaux de l’UE et le Conseil de l’Europe ont publié leur nouveau manuel sur le droit européen de la protection des données dans 4 nouvelles langues. Il est aujourd’hui disponible en 18 langues (ici).

5 juin 2014 - Conférence de printemps des autorités européennes de protection des données sur la coopération entre ADP. Des résolutions relatives à la modernisation de la Convention 108 y ont été adoptées.

10-20 septembre 2014 – 8^e Assemblée générale de l’Association francophone des autorités de protection des données personnelles (AFAPDP) :

Adoption d’une résolution sur l’accompagnement des entreprises (notamment en matière d’innovation technologique) 

Prise en compte de la collective de plus en plus massive des DP et intérêts des entreprises dans cette collecte

26 novembre 2014 - Adoption des Lignes directrices du Groupe de travail Article 29 relatif à la décision de la CJUE sur le « droit à l’oubli » (arrêt Google Spain de mars 2014). Le G29 a estimé que le déréférencement ne doit pas se limiter aux versions européennes de Google mais doit également concerner les déclinaisons internationales d’autres moteurs de recherche. De plus, le G29 a rédigé une liste de 13 critères communs afin de guider les autorités nationales de protection des données lors du traitement de plaintes reçues concernant des refus de déréférencement. A noter que depuis juin 2014, Google a lancé un formulaire permettant aux citoyens européens de se déréférencer, afin de se mettre en conformité avec la décision de la CJUE. Le 15 décembre 2014, l’autorité de protection des données néerlandaise a imposé une pénalité de paiement à Google d’un montant de 15 millions d’euros.

1 avril 2015 – Recommandation CM/Rec (2015)5  du Comité des ministres du Conseil de l’Europe sur le traitement des données personnelles dans le cadre de l’emploi.

11-15 mai 2015 -  3^e ‘ratissage’ organisé par le GPEN (Global Privacy Enforcement Network) portant sur la vie privée des enfants (résultats attendus pour l’automne).