Imaginez la scène. Vous recevez un appel au bureau, pour un collègue. Vous répondez à votre interlocuteur qu’il est absent, malade. Banal, non? Et bien dans une décision du printemps dernier, la Garante a estimé que cette réponse, sous son aspect anodin, revenait à la divulgation d’une donnée de santé (GPDP, 9 mai 2024, n° 10025870). Sévères, nos voisins du sud est? Une décision stricte, …
En savoir plus-
-
Confidentialité à la caisse : une pratique à revoir d’urgence !
Donnée de santé, Droit de la santé, Droit des données par Da_pierre le 17/09/2024Sans aucun doute, il vous est déjà arrivé de devoir partager à haute voix, à la caisse d’un commerce ou au guichet d’une administration, des données personnelles. Agaçantes, ces demandes analysées par l’autorité de protection des données hongroise comme un manquement à l’obligation de sécurité du responsable de traitement. Dans cette affaire, une chaine de magasin demandait ainsi la date de naissance des clients désirant …
En savoir plus -
Secret professionnel et commentaires en ligne : Réagir sans s’exposer
secret médical par Da_pierre le 11/09/2024🤬 Les commentaires sur Internet, qu’ils soient malveillants ou carrément faux, peuvent causer des torts considérables aux professionnels. Pour ces derniers, réagir devient un véritable casse-tête : comment se défendre sans violer le secret auquel ils sont tenus ? 🤐 Et ce préjudice est plus important encore lorsque – n’ayons pas peur des mots – la « cible » est assujettie au secret professionnel. Impossible alors, théoriquement, …
En savoir plus -
Enregistrements des appels médicaux : traquer les dysfonctionnements sans briser le secret médical
Non classé par Da_pierre le 04/09/2024Les enregistrements des appels aux services d’aide médicale urgente entrent indéniablement dans le champ du RGPD (𝐀𝐄𝐏𝐃, 21 𝐦𝐚𝐫𝐬 2023, 𝐂𝐨𝐧𝐞𝐜𝐭𝐚5 𝐓𝐞𝐥𝐞𝐜𝐢𝐧𝐜𝐨, 𝐧° 𝐏𝐒/00191/2022 ; 𝐃𝐚𝐭𝐚𝐭𝐢𝐥𝐬𝐲𝐧𝐞𝐭, 10 𝐟é𝐯𝐫𝐢𝐞𝐫 2021, 𝐋æ𝐠𝐞𝐯𝐚𝐠𝐭𝐞𝐧 𝐑𝐞𝐠𝐢𝐨𝐧 𝐒𝐲𝐝𝐝𝐚𝐧𝐦𝐚𝐫𝐤, 𝐧° 2019-32-0988 ; 𝐈𝐌𝐘, 6 𝐝é𝐜𝐞𝐦𝐛𝐫𝐞 2023, 𝐍𝐨𝐫𝐝𝐞𝐚 𝐁𝐚𝐧𝐤, 𝐧° 𝐈𝐌𝐘-2023-4559). Ne serait-ce que parce que la voix est un attribut de la personnalité (𝐓𝐉 𝐏𝐚𝐫𝐢𝐬, 25 𝐦𝐚𝐢 2023, 𝐧° 21/14909). Partant, ces …
En savoir plus -
L’erreur humaine : facteur de progrès, plutôt que faute
Sécurité informatique par Da_pierre le 28/08/2024« Vous êtes le maillon faible. » Admettons. Mais qui est désigné par ce pronom ? C’est là que le bât blesse, souvent. Prenons cette décision de la « CNIL espagnole« , l’AEPD, qui sanctionne Uniqlo pour manquement au principe d’intégrité et de confidentialité ainsi qu’à l’obligation de sécurité, un salarié ayant adressé par erreur les données de paie relatives à 446 employés de la société (n° EXP202304685). Jusque …
En savoir plus -
RGPD et certification ISO : quel impact?
RGPD par Da_pierre le 21/08/2024La certification ISO, c’est un peu la réponse tarte à la crème, en matière d’audit des garanties essentielles des sous-traitants et prestataires. A tel point que dans les dossiers de candidature qui peuvent m’être confiés pour certains jurys, nous sont régulièrement pointés des certifications : Le référentiel HDS donne du poids à la certification ISO27001Bon, s’il y a un domaine où la certification a un …
En savoir plus -
Le maître mot du principe de responsabilité? La cohérence!
Droit des données, RGPD par Da_pierre le 13/08/2024Il innerve la totalité du RGPD, sans que ses implications opérationnelles ne soient jamais décrites. Vous l’aurez deviné, je songe au principe de responsabilité. A moins que ce ne soit le titre 😉 Les sanctions prises au regard de l’article 5§2 du RGPD, suggérant que ce principe peut être décliné :➡️ techniquement : un dispositif technique doit ainsi permettre de confirmer ou d’infirmer l’effacement d’une …
En savoir plus -
Si l’erreur est humaine, négliger le verrouillage automatique est fautif
Confidentialité, Donnée de santé, Droit de la santé, Droit des données, Droit des patients, Droit hospitalier, RGPD, secret médical, Sécurité informatique par Da_pierre le 07/08/2024Malgré Pro Santé Connect, la Carte de Professionnel de Santé (CPS), ses variantes administratives et leur version dématérialisée, voire un simple couple identifiant / mot de passe restent souvent utilisées comme moyen d’identification électronique (MIE). Verrouillez systématiquement votre sessionEspérer que systématiquement, les utilisateurs récupèrent leur carte lorsqu’ils s’absentent, reviendrait à se voiler la face. Mais y a-t-il vraiment un risque? Un professionnel de santé italien …
En savoir plus -
Droits des personnes : une vigilance de toute l’organisation
cybersécurité, Droit des données, Droit des patients par Da_pierre le 31/07/2024Les statistiques publiées par les différentes autorités de protection des données des Etats membres de l’UE illustrent clairement l’appropriation par les personnes concernées de leurs droits. Des sanctions pour réponse tardiveL’examen de leur jurisprudence témoigne en revanche de difficultés persistantes, à l’autre bout de la ligne. En effet, de plus en plus de réponses tardives, imputées par les responsables de traitement à un adressage erroné …
En savoir plus -
Référentiel HDSv2 : Un échec du contingentement de l’activité 5?
Hébergeur par Da_pierre le 24/07/2024Le référentiel HDSv2 revoit le périmètre de l’activité 5 « Administration et exploitation du SI contenant les données de santé ». C’était l’une des prétentions majeures dudit document. C’était un chantier engagé 5 ans auparavant. Et c’est assez vraisemblablement un échec. La hiérarchie des normes empêche la modification de l’HDS 5Le droit est un ensemble de normes agencées de façon pyramidale. La plus élevée prime sur toutes …
En savoir plus