C’est pourtant ce qui a été reproché à deux organismes de recherche français et au gestionnaire du registre du cancer de Hambourg, récemment. Le second s’est ainsi vu rappeler que même hachée au moyen d’un procédé irréversible, la donnée conserve un caractère personnel. La décision est logique : elle s’inscrit dans la lignée de la jurisprudence de la CEDH (S. et Marper c/ Royaume-Uni, 2008). …
En savoir plus
Forces de l’ordre et juridictions, bien qu’on en parle peu, ne sont pas exonérées du respect du RGPD, ou de sa petite soeur, la directive Police-Justice. L’autorité de protection des données polonaise a ainsi prononcé une amende à l’encontre d’une juridiction, dont les membres avaient perdu trois clés USB, non chiffrées, contenant des projets de jugement. Le montant de l’amende prononcée semble – de l’ordre …
En savoir plus
Un salarié peut, au titre de son droit à la preuve, obtenir copie de données personnelles relatives à ses collègues. La décision ne manquera pas d’étonner – pour ne pas dire choquer – les purs et durs du RGPD. Mais elle émane directement de la Cour de Cassation et paraît donc délicate à contester (Soc., 8 mars 2023, n° 21-12492). Et surtout, elle intervient moins …
En savoir plus
Désactiver les sauvegardes automatiques et effacer volontairement des données constituent une faute grave. C’est en ce sens qu’a statué la Cour d’Appel de Douai dans un arrêt du 16 décembre 2022, approuvant ainsi le licenciement d’un salarié. Reste à savoir si l’employeur, en sanctionnant son salarié, ne contribue pas à matérialiser un manquement au RGPD. A cet égard, la « CNIL espagnole » avait considéré que sanctionner …
En savoir plus
C’est en tout cas l’un des moyens ayant permis à l’autorité de protection des données irlandaises de sanctionner un groupe d’EHPAD pour manquement aux principes d’intégrité et de confidentialité et à l’obligation de sécurité : DPC, 20 décembre 2022, Virtue Integrated Elder Care Ltd. Déjà, en juin 2022 et avril 2021, les CNIL italienne et tchèque avaient-elles pu considérer qu’un document obsolète et incomplet violait …
En savoir plus
Voici un grief fréquemment retenu, en matière de protection des données : l’absence ou l’insuffisance des tests, aussi bien quant à la conformité que pour vérifier les mesures de sécurité. Et ces contrôles doivent être reconduits périodiquement, pour éviter la sanction, comme l’ont récemment rappelé les autorités de protection des données polonaise (UODO, 2 novembre 2022, Municipality of Dobrzyniewo Duże, n° DKN.5131.8.2022) et danoise (Datatilsynet, …
En savoir plus
Sauf à vivre dans « Le Bureau des Légendes » ou dans la version BCRA annoncée début février (et encore!), sécuriser l’accès à des dossiers papier constitue un challenge peut-être plus délicat encore que pour leur pendant numérique. C’est ce qu’a rappelé la CNIL roumaine en début d’année, en sanctionnant le responsable de traitement victime du vol du dossier administratif d’un salarié, entreposé sur une étagère. Loin …
En savoir plus
Définir ce qu’est (ou pire encore, ce que n’est pas) une « publicité » en faveur d’un produit de santé n’est pas chose aisée. Et ce récent arrêt Euroaptieka de la CJUE ne va pas faciliter l’exercice. Le 22 décembre dernier, la Cour a en effet considéré comme une publicité en faveur du médicament les informations encourageant son achat, du fait de son prix, d’une remise ou …
En savoir plus
C’est ce qu’a rappelé la CNIL finlandaise au fabriquant de montres connectées finlandais, dans une décision du 27 décembre 2022. La question reste débattue, en France. Si la CNIL a par exemple qualifié taille et poids de donnée de santé dans son Référentiel pour la gestion des pharmacies, le Conseil d’Etat a pu sembler faire revivre sa jurisprudence BNIE de 2010, en 2021. Il a …
En savoir plus
Mesure de sécurité faisant partie des « exigences élémentaires », le chiffrement du disque dur d’un ordinateur portable n’en demeure pas moins insuffisant pour assurer la confidentialité des données traitées. Dans une décision du 2 novembre 2022, la CNIL polonaise a ainsi sanctionné un responsable de traitement ayant omis, alors que sa politique le prévoyait et semblait majoritairement bien appliquée, de chiffrer le disque dur d’un terminal …
En savoir plus