En janvier 2018, la CNIL avait distingué trois types de données de santé: par nature, par croisement ou par destination. Près de six ans plus tard, on peut se demander si cette distinction a toujours un sens, alors que les décisions des juridictions et autorités de protection des données se contredisent, divergent ou multiplient les exceptions lorsqu’il s’agit de qualifier une donnée comme étant relative …
En savoir plus Ne nous mentons pas. Pour bon nombre de ses détracteurs, le RGPD se résume à beaucoup de paperasses et des dépenses – et non des investissements – dans la cybersécurité. Voilà une décision de l’APD belge établissant clairement que la sécurité ne se limite pas au « cyber » et que le pragmatisme peut garder de la « procédurite ». En l’occurrence, le responsable de traitement poursuivi avait de …
En savoir plus Alors que la CNIL a récemment indiqué que sa doctrine en termes de cookies n’avait pas induit de « fatigue du consentement« , l’autorité de protection des données italienne a admis, dans une décision du 2 mars 2023, que le recueil du consentement, en matière de recherche dans le domaine de la santé, introduisait nécessairement et systématiquement un biais scientifique (GPDP, 2 mars 2023, CHU Città della …
En savoir plus Ils avaient pour certains été désignés OIV, pour d’autres OSE et plus encore sont en passe de devenir des entités sinon essentielles, à tout le moins importantes. Les établissements de santé sont probablement en passe de tous être considérés comme des responsables de « traitements critiques ». Durant l’été, la CNIL a publié un projet de recommandation relative à la sécurité de ces traitements. Sont notamment concernés …
En savoir plus La sécurité des soins suppose de pouvoir garantir qu’une personne est bel et bien le patient connu du système d’information. Les règles d’identitovigilance, désormais posées par le référentiel national d’identitovigilance, ont été élaborées à cette fin. Elles restent toutefois d’application délicate. Le Graal de l’identité qualifiée – supposant notamment le recours à « un dispositif à haut degré de confiance » – est en effet loin d’être …
En savoir plus En cas de manquement RGPD, le responsable peut-il s’exonérer de sa responsabilité? Difficilement, voire quasiment pas, au regard du principe de responsabilité. Conséquence directe, le caractère non-intentionnel, involontaire de la violation est sans effet (AEPD, Free Energy, n° PS-00099-2022 ; Délibération de la formation restreinte n° SAN-2022-023 du 19 décembre 2022). De la même façon, les faits commis par un membre du personnel, sans instruction …
En savoir plus A l’instar du dépositaire du secret professionnel, un responsable de traitement peut se retrouver devant une alternative dans le cadre d’une procédure judiciaire. Peut-il ou non transmettre des données lui étant demandées par un juge ou pour sa défense? La Cour de Cassation a répondu positivement à la 1ère branche de cette interrogation, dans un arrêt remarqué du 8 mars 2023 (Soc., 8 mars 2023, …
En savoir plus S’assurer de l’identité de la personne concernée n’est pas une sinécure. Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou …
En savoir plus Le RGPD doit être interprété de telle sorte que son champ d’application soit le plus large possible. C’est une constante. Cette analyse extensive peut toutefois s’avérer lourde de conséquences, et virer au rigorisme. Dans une décision du 13 avril 2023, la « CNIL italienne » a ainsi dégagé une situation de coresponsabilité entre la ville de Bologne et l’un de ses partenaires (GPDP, 13 avril 2023, Ville …
En savoir plus « Toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées » Tel est le titre retenu par la CJUE pour son communiqué de presse n° 107/23, relatif à l’arrêt Pankki S. Il se bornerait donc à reprendre l’arrêt Österreichische Post AG, qui imposait la transmission de la liste des destinataires des données. Mais à …
En savoir plus