J’y revenais la semaine dernière. Le dernier alinéa de l’article L1111-8 interdit la cession des données de santé directement ou indirectement identifiantes. Un texte peu crédible, au vu d’une question parlementaire du 3 octobre 2024 intitulée « Vente des données médicales des Français ». Se plonger dans les travaux législatifs permet de mieux comprendre les problématiques actuelles. Exclure le dossier médical du secteur marchandA l’été 2004, le …
En savoir plus
Le sujet devrait être clos, après la prise de position de la CNIL (Entrepôt de données santé IQVIA : la CNIL rappelle les conditions et le cadre légal ayant permis son autorisation en 2018). Pourtant, le 3 octobre 2024, une sénatrice a relancé le débat, avec une question n° 00381 sur la vente des données médicales des Français. La date est intéressante. Le lendemain, la …
En savoir plus
Le RGPD contraint-il les détenteurs de données à l’auto-incrimination?Cela fait très série policière, mais le droit de ne pas contribuer à sa propre incrimination est protégé, en France, au travers de l’article 6 de la CEDH. L’objectif est clair : ne pas être contraint à fournir aux autorités des éléments qui pourraient être retournés contre la personne. Ce droit n’est toutefois pas absolu. Il est …
En savoir plus
Imaginez la scène. Vous recevez un appel au bureau, pour un collègue. Vous répondez à votre interlocuteur qu’il est absent, malade. Banal, non? Et bien dans une décision du printemps dernier, la Garante a estimé que cette réponse, sous son aspect anodin, revenait à la divulgation d’une donnée de santé (GPDP, 9 mai 2024, n° 10025870). Sévères, nos voisins du sud est? Une décision stricte, …
En savoir plus
Sans aucun doute, il vous est déjà arrivé de devoir partager à haute voix, à la caisse d’un commerce ou au guichet d’une administration, des données personnelles. Agaçantes, ces demandes analysées par l’autorité de protection des données hongroise comme un manquement à l’obligation de sécurité du responsable de traitement. Dans cette affaire, une chaine de magasin demandait ainsi la date de naissance des clients désirant …
En savoir plus
🤬 Les commentaires sur Internet, qu’ils soient malveillants ou carrément faux, peuvent causer des torts considérables aux professionnels. Pour ces derniers, réagir devient un véritable casse-tête : comment se défendre sans violer le secret auquel ils sont tenus ? 🤐 Et ce préjudice est plus important encore lorsque – n’ayons pas peur des mots – la « cible » est assujettie au secret professionnel. Impossible alors, théoriquement, …
En savoir plus
Les enregistrements des appels aux services d’aide médicale urgente entrent indéniablement dans le champ du RGPD (𝐀𝐄𝐏𝐃, 21 𝐦𝐚𝐫𝐬 2023, 𝐂𝐨𝐧𝐞𝐜𝐭𝐚5 𝐓𝐞𝐥𝐞𝐜𝐢𝐧𝐜𝐨, 𝐧° 𝐏𝐒/00191/2022 ; 𝐃𝐚𝐭𝐚𝐭𝐢𝐥𝐬𝐲𝐧𝐞𝐭, 10 𝐟é𝐯𝐫𝐢𝐞𝐫 2021, 𝐋æ𝐠𝐞𝐯𝐚𝐠𝐭𝐞𝐧 𝐑𝐞𝐠𝐢𝐨𝐧 𝐒𝐲𝐝𝐝𝐚𝐧𝐦𝐚𝐫𝐤, 𝐧° 2019-32-0988 ; 𝐈𝐌𝐘, 6 𝐝é𝐜𝐞𝐦𝐛𝐫𝐞 2023, 𝐍𝐨𝐫𝐝𝐞𝐚 𝐁𝐚𝐧𝐤, 𝐧° 𝐈𝐌𝐘-2023-4559). Ne serait-ce que parce que la voix est un attribut de la personnalité (𝐓𝐉 𝐏𝐚𝐫𝐢𝐬, 25 𝐦𝐚𝐢 2023, 𝐧° 21/14909). Partant, ces …
En savoir plus
« Vous êtes le maillon faible. » Admettons. Mais qui est désigné par ce pronom ? C’est là que le bât blesse, souvent. Prenons cette décision de la « CNIL espagnole« , l’AEPD, qui sanctionne Uniqlo pour manquement au principe d’intégrité et de confidentialité ainsi qu’à l’obligation de sécurité, un salarié ayant adressé par erreur les données de paie relatives à 446 employés de la société (n° EXP202304685). Jusque …
En savoir plus
La certification ISO, c’est un peu la réponse tarte à la crème, en matière d’audit des garanties essentielles des sous-traitants et prestataires. A tel point que dans les dossiers de candidature qui peuvent m’être confiés pour certains jurys, nous sont régulièrement pointés des certifications : Le référentiel HDS donne du poids à la certification ISO27001Bon, s’il y a un domaine où la certification a un …
En savoir plus
Il innerve la totalité du RGPD, sans que ses implications opérationnelles ne soient jamais décrites. Vous l’aurez deviné, je songe au principe de responsabilité. A moins que ce ne soit le titre 😉 Les sanctions prises au regard de l’article 5§2 du RGPD, suggérant que ce principe peut être décliné :➡️ techniquement : un dispositif technique doit ainsi permettre de confirmer ou d’infirmer l’effacement d’une …
En savoir plus