La protection des données de tiers impliqués dans une procédure d’assistance administrative en matière fiscale

TAF, 03.09.2019, A-5715/2018

Les tiers qui ne sont pas formellement visés par la demande d’assistance administrative en matière fiscale doivent néanmoins être informés par l’AFC de l’existence de la procédure aussitôt que celle-ci envisage de transmettre à l’État étranger des données les concernant.

Faits

En matière d’assistance administrative fiscale avec l’Internal Revenue Service (IRS), l’Administration fédérale des contributions (AFC) procède à la transmission de données de personnes non formellement concernées sans les en informer au préalable.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est avisé de cette pratique. Il adresse à l’AFC une recommandation quant au devoir d’informer les tiers indirectement concernés de l’existence de la procédure (cf. art. 27 al. 4 LPD). L’AFC ne suit pas cette recommandation, soutenant que l’information des tiers serait incompatible avec une procédure d’assistance efficace, et donc avec les obligations internationales de la Suisse. Le PFPDT porte l’affaire au Département fédéral des finances (DFF) (cf. art. 27 al. 5 LPD), lequel confirme la pratique de l’AFC de ne pas informer les tiers avant la transmission des renseignements à l’IRS (Décision du DFF du 20 septembre 2018).… Lire la suite

Fashion ID, Facebook, le bouton “j’aime” et la notion de coresponsable du traitement

CJUE, 29.07.2019, C-40/17 (Fashion ID GmbH & Co. KG vs Verbraucherzentrale NRW eV)

Le gestionnaire d’un site Internet qui insère sur celui-ci le bouton “j’aime” de Facebook devient coresponsable (avec Facebook) du traitement  des données personnelles des visiteurs de son site Internet pour la collecte et la transmission de ces données à Facebook . Si le gestionnaire désire se prévaloir du consentement comme motif justifiant le traitement, il doit l’obtenir et informer les visiteurs de leurs droits avant la collecte des données. 

Faits

Fashion ID est une entreprise de vente de vêtements de mode en ligne. Elle insère sur son site Internet le bouton « j’aime » de Facebook. Grâce à l’insertion de ce bouton, Facebook reçoit de Fashion ID des données personnelles de chaque visiteur du site de cette entreprise, sans que celui-ci en soit informé et indépendamment du fait qu’il soit inscrit sur Facebook ou qu’il clique sur le bouton “j’aime”.

La Verbraucherzentrale NRW, association d’utilité publique de défense des intérêts des consommateurs, reproche à Fashion ID d’avoir transmis à Facebook des données personnelles appartenant aux visiteurs de son site Internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles.… Lire la suite

Le programme Helsana+ (2/2)

TAF, 19.03.2019, A-3548/2018

Dans le contexte de l’art. 4 al. 1 LPD, un traitement de données personnelles n’est illicite du fait de sa finalité que si la norme violée vise directement ou indirectement la protection de la personnalité des personnes concernées. 

Faits

Helsana Assurances complémentaires SA exploite le programme de bonus « Helsana+ » par le biais d’une app pour téléphones. L’app permet aux assurés (de l’assurance obligatoire et de l’assurance complémentaire) qui exercent certaines activités de collecter des points, lesquels donnent droit à des versements en espèces et à d’autres avantages. L’app n’enregistre pas d’informations concernant la santé des assurés. Les assurés fournissent en effet les informations nécessaires (p. ex. la preuve d’avoir exercé une certaine activité) en chargeant des photos.

Dans le processus d’enregistrement au programme, l’app requiert l’indication de l’adresse email, du code postal, de la date de naissance et du numéro d’assurance des personnes assurées. En outre, le consentement des participants à ce que des données de l’assurance obligatoire soient collectées auprès de ses sociétés sœurs est également demandé. Helsana vérifie ensuite périodiquement que les informations fournies par l’assuré correspondent à celles de l’assurance obligatoire en possession de sa société sœur.

En avril 2018, le Préposé fédéral à la protection des données et à la transparence (“Préposé”) émet des recommandations à l’attention de Helsana concernant le programme.… Lire la suite

Le programme Helsana+ (1/2)

TAF, 19.03.2019, A-3548/2018

Dans le cadre de son programme Helsana+, Helsana agit en tant que personne privée et peut se prévaloir du consentement valable des personnes concernées pour le traitement de données personnelles obtenues directement auprès de ces personnes. En revanche, le consentement à la collecte de données relatives à l’assurance obligatoire obtenues auprès de sociétés sœurs n’est pas valable, les conditions plus restrictives applicables aux organes fédéraux étant alors applicables.

Faits

Helsana Assurances complémentaires SA exploite le programme de bonus « Helsana+ » par le biais d’une app pour téléphones. L’app permet aux assurés (de l’assurance obligatoire et de l’assurance complémentaire) qui exercent certaines activités de collecter des points, lesquels donnent droit à des versements en espèces et à d’autres avantages. L’app n’enregistre pas d’informations concernant la santé des assurés. Les assurés fournissent en effet les informations nécessaires (p. ex. la preuve d’avoir exercé une certaine activité) en chargeant des photos.

Dans le processus d’enregistrement au programme, l’app requiert l’indication de l’adresse email, du code postal, de la date de naissance et du numéro d’assurance des personnes assurées. En outre, le consentement des participants à ce que des données de l’assurance obligatoire soient collectées auprès de ses sociétés soeurs est également demandé.… Lire la suite

La surveillance des télécommunications par les services secrets (CourEDH) (III/III)

CourEDH, 13.09.2018, Affaire Big Brother Watch et autres c. Royaume-Uni, requêtes nos. 58170/13, 62322/14 et 24960/15 (III/III)

La base légale nationale permettant aux services secrets britanniques d’obtenir des données de communications viole le droit de l’UE. Or, le droit communautaire prévaut sur le droit national en cas de conflit. Le régime de surveillance anglais ne satisfait dès lors pas à l’exigence de légalité et viole de ce fait le droit à la vie privée (art. 8 CEDH).

Faits

À la suite des révélations d’Edward Snowden, plusieurs personnes physiques et morales contestent la conformité de la surveillance électronique déployée par les services secrets du Royaume-Uni au droit à la vie privée garanti par la CEDH (art. 8 CEDH).

Après avoir épuisé les voies de droit nationales, les requérants agissent devant la Cour européenne des droits de l’homme.

Dans ce contexte, la CourEDH examine la conventionnalité de trois types de surveillance : (I) l’interception massive de communications ; (II) le partage de renseignements avec les services secrets étrangers ; et (III) l’obtention de données secondaires de communications auprès de fournisseurs de télécoms.

Le présent résumé s’attache au dernier de ces trois types de surveillance.

Les données secondaires de communications permettent de déterminer quels utilisateurs ont communiqués, ainsi que le lieu et le moment des communications (qui, où et quand), à l’exclusion du contenu de ces communications.… Lire la suite