• Authentification multifacteur : la CNIL durcit le ton, les députés veulent des courriers postaux

    Droit des données par le 14/05/2025

    Nécessairement, vous en avez entendu parler : la CNIL s’oriente vers l’authentification multifacteur. Pourquoi cette généralisation? Notamment pour faire face à la multiplication des attaques par envoi massif d’identifiants (Commission de terminologie, avis CTNR2305304K – JORF n°0047 du 24 février 2023). Pour les entités utilisatrices du SMS, la douche froide est assurée. Peu importe qu’ils transitent par le protocole SS7 (notoirement obsolète: Recommandations relatives à …

    En savoir plus

  • RGPD & activité libérale à l’hôpital : qui gère (vraiment) les données ?

    Droit hospitalier, RGPD par le 07/05/2025

    Vous êtes vous déjà interrogé quant aux conséquences RGPD d’une activité libérale en établissement de santé? Dans le privé comme dans le public, les médecins exerçant en établissement sont en effet susceptibles de prendre en charge un patient à titre libéral. Le partage des responsabilités entre l’établissement et le professionnel est désormais assez clairement tranché. Des problématiques particulières surgissent, ici ou là, mais le cadre …

    En savoir plus

  • Sécurité : pour le juge judiciaire, enregistrer des logs nécessite le consentement

    cybersécurité par le 30/04/2025

    Quand le juge judiciaire fait cavalier seul avec le RGPD, cela peut très mal tourner. Exemple récent:La CA Rennes, considérant qu’expurgé des données nominatives, un rapport médical est anonyme et hors du champ d’application de ce texte (CA Rennes, 6 décembre 2023, RG n° 23/02428). L’erreur était flagrante : depuis août 2004, la loi Informatique et Libertés s’applique non plus aux seules données nominatives, mais …

    En savoir plus

  • IA : quand les algorithmes se nourrissent des doutes de l’équipe de soins

    Droit de la santé, Droit des données, RGPD par le 23/04/2025

    2016 marque un tournant dans l’échange et le partage de données de santé, avec son inscription à l’article L1110-4 CSP. Un tournant parce que l’évolution législative, voulue comme une sécurisation d’une pratique ancienne, s’avère en réalité un casse-tête, aussi bien informatique que pratique. Les conditions posées par la loi, et surtout ses textes d’application, excluent en effet toute possibilité de déclinaison « algorithmique ». Trop de casuistique …

    En savoir plus

  • La fable du dirigeant qui croyait avoir délégué le RGPD

    RGPD par le 16/04/2025

    Vous êtes dirigeant d’une personne morale et le RGPD n’est pas votre sujet prioritaire? Et si le gros lot des 20 millions d’euros d’amende vous menaçait également? C’est en tout cas le risque que fait poindre une récente décision de la CNIL slovène, sanctionnant à la fois la personne morale et son dirigeant (IP, 23 septembre 2024, n° 0603 30 2023 12). Mais… la CNIL …

    En savoir plus

  • Hospitaliers : et si vous deviez garder les logs plus d’un siècle?

    Droit de la santé, Droit des données, Droit des patients, Droit hospitalier, Hébergeur, RGPD, secret médical, Sécurité informatique par le 09/04/2025

    Cela pourrait devenir la norme si la recommandation Dossier Patient Informatisé (DPI) devait être adoptée en l’état. Pourquoi? Parce que le document prévoit que : « les traces de consultations et d’actions en lien avec le parcours de soin du patient (…) doivent être conservées avec la même durée que son dossier (20 ans après la dernière visite dans l’établissement). » Et ce renvoi peut mécaniquement aboutir …

    En savoir plus

  • Contrôle en ligne : vigilance quant à la forme

    RGPD par le 02/04/2025

    Saviez-vous que la CNIL peut effectuer des contrôles en ligne et que ses agents peuvent se dissimuler pour mener leur enquête ? Et qu’un doute dans le rattachement d’une adresse IP à une personne physique ou morale pouvait faire sauter une sanction? Dans une procédure, l’APD espagnole avait récupéré en ligne des adresses email et des IP pour identifier le responsable de traitement à incriminer. …

    En savoir plus

  • Sécurité mal comprise, sécurité compromise

    Sécurité informatique par le 26/03/2025

    Parlons franc. Comprenez-vous toutes les règles de sécurité mises en oeuvre dans votre entreprise? Leur bonne compréhension est pourtant indispensable, au risque de les priver de toute efficacité… voire de les transformer en risque. 🔥 L’exemple classique? dans les formations ISO27005, c’est l’extincteur qui est utilisé l’été pour bloquer une porte coupe-feu et faire un courant d’air. L’exemple réel? ✅ L’employé décidé à bien suivre …

    En savoir plus

  • Au XXIè siècle, Al aurait eu maille à partir avec la CNIL, plutôt qu’Eliot Ness

    RGPD par le 19/03/2025

    N’avez-vous jamais pensé qu’au XXIème siècle, c’est avec le RGPD – et non le droit fiscal – qu’Al Capone aurait été coincé? Désormais, si les sanctions pénales encourues pour fraudes fiscales restent plus sévères, il est plus facile de se faire épingler au titre RGPD que pour une fraude. Eliot Ness en serait presque jaloux… Admettons. Et alors? Imaginez qu’aucun élément du piratage « STAD » (système …

    En savoir plus

  • Achat de mots-clés? Attention aux données

    RGPD par le 12/03/2025

    Vous lancez une startup ou vous bossez au service marketing d’une entreprise? Vous vous apprêtez à acheter des mots clés sur un moteur de recherche ou un réseau social? STOP! Avant de cliquer OK, avez-vous prévenu le DPD ou le service juridique de l’entreprise? « Diantre, mais pourquoi donc? je ne vais pas utiliser de nom propre » vous dites-vous. Pas sûr. Et surtout, il y a …

    En savoir plus