Alors qu’il tend à se généraliser dans les relations avec l’administration, certaines décisions des autorités de protection des données de l’UE suggèrent qu’un droit à l’erreur pourrait justifier un accès injustifié à un dossier médical. Théoriquement, l’erreur humaine n’écarte pas un manquement au RGPD. Et la pratique est parfois alignée, considérant que l’erreur prouve une insuffisance des mesures (GPDP, 8 février 2024, n° 9994597 ; …
En savoir plus
Dégagé dans les années 60 / 70, le principe de sécurité juridique est désormais une constante. Récemment, la Cour Européenne des Droits de l’Homme a considéré comme y portant atteinte l’absence de prescription des fautes disciplinaires (Volkov c/ Ukraine, 2013). Qu’est-ce qui distingue les manquements au RGPD d’une faute disciplinaire? Pas grand chose, surtout pour les manquements les plus sévèrement sanctionnés qui relèvent de la …
En savoir plus
La Cour de Cassation vient de revenir sur la notion de « préjudice d’anxiété ». Elle couvre l’exposition à un risque élevé de développer une pathologie grave (Civ. 1ère, 18 décembre 2024, n° 24-14750). Deux éléments importants : le sérieux du risque et la gravité de la conséquence. À l’inverse, le régime d’indemnisation posé par le RGPD se montre bien plus favorable aux victimes. Contre l’avis de …
En savoir plus
Saviez-vous que tout patient peut interdire à ses ayants-droits l’accès à son dossier médical après son décès ? Ce droit d’opposition (Art. L1110-4, V, 3ème al. CSP) se retrouve dans plusieurs législations étrangères, l’objectif étant aisément compréhensibles. Dans une affaire mettant en oeuvre la législation slovène, la « CNIL locale » a toutefois remis en cause l’opposition d’un père à l’accès à son dossier par sa fille …
En savoir plus
Chiffrez vos données. Qu’elles soient personnelles ou non, traitées à des fins professionnelles ou exclusivement personnelles, peu importe, chiffrez! Cette règle de bon sens étant posée, retour sur deux solutions à l’extrême l’une de l’autre. Dans une décision de début 2024, l’autorité de protection des données finlandaise a sanctionné un établissement de santé pour avoir transmis des données de santé par SMS à un patient. …
En savoir plus
Chiffrez vos données. Qu’elles soient personnelles ou non, traitées à des fins professionnelles ou exclusivement personnelles, peu importe, chiffrez! Cette règle de bon sens étant posée, retour sur deux solutions à l’extrême l’une de l’autre. Dans une décision de début 2024, l’autorité de protection des données finlandaise a sanctionné un établissement de santé pour avoir transmis des données de santé par SMS à un patient. …
En savoir plus
Avec l’utilisateur lui-même (le récent enchainement des violations de données chez de grandes enseignes tient essentiellement à la réutilisation d’un mot de passe compromis), la chaîne de soustraitance est l’un des canaux les plus empruntés pour mener une cyber attaque. Comment s’en prémunir? Analyse de risques, vérifications des « garanties essentielles » et audit sont les mesures phares, évidemment. Mais insuffisantes, en droit comme en pratique. Dans …
En savoir plus
Faut-il normer les posologies médicamenteuses? Pour la DNS et la DGS, la réponse est évidemment positive. Ces deux ramifications du Ministère en charge de la santé ont en effet charger la Haute Autorité de Santé (HAS) de travailler sur le sujet. De façon générale, la Cour des Comptes vient de rappeler l’intérêt stratégique de l’activité normalisatrice (CDC, 30 septembre 2024, AFNor, n° S2024-1376). Mais en …
En savoir plus
Le mieux est l’ennemi du bien… et de la sécurité juridique. Voilà un employeur qui pensait bien faire en transmettant à l’équivalent bulgare de la DDTEP le projet de contrat proposé à un salarié. Malheureusement pour lui, la législation locale imposait la transmission du seul contrat signé, et non du projet. Saisie par la personne concernée, l’autorité de protection des données a rappelé à l’ordre …
En savoir plus
Voici une décision à double tranchant de la CNIL espagnole. Dans les faits, un escroc met en place une fausse annonce d’emploi, récoltant ainsi photo d’identité et copie de justificatif d’identité. Ces éléments en main, il usurpe l’identité de sa victime et obtient un prêt. Le prêteur se voit alors accuser d’un manquement à l’obligation de sécurité (des mesures antifraude auraient dû être mises en …
En savoir plus