L’usage d’appareils personnels de ses agents ne suffit pas, en effet, à écarter la responsabilité de l’employeur. Comme le rappelait la CNIL en mars 2019, l’un des principaux risques tient à l’indisponibilité des données professionnelles dans le SI du responsable de traitement. Mais la confidentialité est également un sujet. Dans le domaine de la santé, c’est principalement le partage de données de santé via des …
En savoir plusDroit des données
-
-
Mieux vaut ne pas sous-estimer la différence entre anonymat et pseudonymat dans le RGPD
Donnée de santé, Droit des données, Droit des patients, Pseudonymat, RGPD par Da_pierre le 29/03/2023C’est pourtant ce qui a été reproché à deux organismes de recherche français et au gestionnaire du registre du cancer de Hambourg, récemment. Le second s’est ainsi vu rappeler que même hachée au moyen d’un procédé irréversible, la donnée conserve un caractère personnel. La décision est logique : elle s’inscrit dans la lignée de la jurisprudence de la CEDH (S. et Marper c/ Royaume-Uni, 2008). …
En savoir plus -
Clés USB perdues et données « sensibles » exposées : comment éviter les sanctions ?
cybersécurité, Droit des données, RGPD, Sécurité informatique par Da_pierre le 22/03/2023Forces de l’ordre et juridictions, bien qu’on en parle peu, ne sont pas exonérées du respect du RGPD, ou de sa petite soeur, la directive Police-Justice. L’autorité de protection des données polonaise a ainsi prononcé une amende à l’encontre d’une juridiction, dont les membres avaient perdu trois clés USB, non chiffrées, contenant des projets de jugement. Le montant de l’amende prononcée semble – de l’ordre …
En savoir plus -
Un salarié peut obtenir copie de données personnelles relatives à ses collègues
Confidentialité, Droit des données, Droit hospitalier par Da_pierre le 15/03/2023Un salarié peut, au titre de son droit à la preuve, obtenir copie de données personnelles relatives à ses collègues. La décision ne manquera pas d’étonner – pour ne pas dire choquer – les purs et durs du RGPD. Mais elle émane directement de la Cour de Cassation et paraît donc délicate à contester (Soc., 8 mars 2023, n° 21-12492). Et surtout, elle intervient moins …
En savoir plus -
Désactiver les sauvegardes et effacer volontairement des données constituent une faute
Accès au dossier médical, cybersécurité, Droit de la santé, Droit des données par Da_pierre le 10/03/2023Désactiver les sauvegardes automatiques et effacer volontairement des données constituent une faute grave. C’est en ce sens qu’a statué la Cour d’Appel de Douai dans un arrêt du 16 décembre 2022, approuvant ainsi le licenciement d’un salarié. Reste à savoir si l’employeur, en sanctionnant son salarié, ne contribue pas à matérialiser un manquement au RGPD. A cet égard, la « CNIL espagnole » avait considéré que sanctionner …
En savoir plus -
Des références obsolètes dans une politique de confidentialité peuvent suffire à établir un manquement au RGPD
Droit des données, Information, Responsabilité par Da_pierre le 06/03/2023C’est en tout cas l’un des moyens ayant permis à l’autorité de protection des données irlandaises de sanctionner un groupe d’EHPAD pour manquement aux principes d’intégrité et de confidentialité et à l’obligation de sécurité : DPC, 20 décembre 2022, Virtue Integrated Elder Care Ltd. Déjà, en juin 2022 et avril 2021, les CNIL italienne et tchèque avaient-elles pu considérer qu’un document obsolète et incomplet violait …
En savoir plus -
La résiliation d’un contrat vaudrait demande d’effacement des données, au sens du RGPD
Droit des données par Da_pierre le 06/02/2023Mais l’inverse n’est pas vrai. C’est en ce sens qu’a tranché la CNIL, alors que Free arguait de ce qu’il serait disproportionné d’en arriver à une telle conclusion. La Commission a considéré que du fait de la résiliation du contrat de fourniture d’un service de messagerie électronique, les données n’étaient plus nécessaires, à tout le moins en base active, et devaient être effacées. Le raisonnement …
En savoir plus -
Le droit d’accès impose de transmettre à la personne concernée tous les documents lui étant relatifs
Droit des données, RGPD par Da_pierre le 26/01/2023Enfin, c’est la position d’un juge italien, dans un débat houleux quant à savoir ce qu’il faut entendre par la possibilité d’obtenir une « copie » des données. L’autre camp considère que le droit d’accès ne constitue pas un droit à communication des documents (par exemple et pour la CNIL). Pour mémoire, sous l’empire de la directive 95/46, la CJUE faisait partie de cet autre camp. La …
En savoir plus -
Des données numériques ne constituent pas une marchandise
Droit des données, RGPD par Da_pierre le 16/01/2023Des données numériques ne constituent pas une marchandise. Le litige portant sur le droit fiscal, très particulier, on pourrait estimer que cette conclusion du Conseil d’Etat n’est pas généralisable. Mais de leurs côtés, les rédacteurs de l’avant-projet de réforme des contrats spéciaux expliquent utiliser le terme « chose », plutôt que celui de « bien », pour pouvoir contractualiser sur des données. La différence? Le 2nd est appropriable, au …
En savoir plus -
Cloud Act : entre épouvantail législatif et chasse aux sorcières
bigdata, Confidentialité, cybersécurité, Donnée de santé, Droit des données par Da_pierre le 22/01/20202019 s’est clos sur la polémique relative à l’incompatibilité présumée entre le RGPD et l’hébergement de données de santé, d’une part, et d’autre part, le Clarifying Lawful Overseas Use of Data Act. Le législateur des Etats-Unis d’Amérique a-t-il fait exprès de titrer sa loi de sorte à former l’acrostiche CLOUD qui fait directement écho à l’appellation anglo-saxonne de l’informatique en nuage ? Auquel cas, il n’a …
En savoir plus