Les établissements supports de GHT et les quelques autres établissements de santé heureux destinataires d’un arrêté les désignant en tant qu’opérateur d’importance vitale (OIV) ont trois mois pour se conformer aux règles de sécurité fixées au terme d’un arrêté du 17 avril 2023. Elles couvrent 20 secteurs traditionnels de la sécurité : Ces règles sont complétées par les modalités de déclaration à l’ANSSI des systèmes …
En savoir plus
S’il y a bien une menace informatique qui est connue du grand public, c’est le rançongiciel. Récemment, c’est un autre aspect de ce type d’incident qui a été mis en évidence. GDPRHub rapporte en effet trois sanctions, deux prononcées par l’autorité de protection des données roumaine, l’autre par celle de Norvège, à l’encontre de sociétés et d’une municipalité victimes d’un rançongiciel. Evidemment, ce sont le …
En savoir plus
L’usage d’appareils personnels de ses agents ne suffit pas, en effet, à écarter la responsabilité de l’employeur. Comme le rappelait la CNIL en mars 2019, l’un des principaux risques tient à l’indisponibilité des données professionnelles dans le SI du responsable de traitement. Mais la confidentialité est également un sujet. Dans le domaine de la santé, c’est principalement le partage de données de santé via des …
En savoir plus
Forces de l’ordre et juridictions, bien qu’on en parle peu, ne sont pas exonérées du respect du RGPD, ou de sa petite soeur, la directive Police-Justice. L’autorité de protection des données polonaise a ainsi prononcé une amende à l’encontre d’une juridiction, dont les membres avaient perdu trois clés USB, non chiffrées, contenant des projets de jugement. Le montant de l’amende prononcée semble – de l’ordre …
En savoir plus
Désactiver les sauvegardes automatiques et effacer volontairement des données constituent une faute grave. C’est en ce sens qu’a statué la Cour d’Appel de Douai dans un arrêt du 16 décembre 2022, approuvant ainsi le licenciement d’un salarié. Reste à savoir si l’employeur, en sanctionnant son salarié, ne contribue pas à matérialiser un manquement au RGPD. A cet égard, la « CNIL espagnole » avait considéré que sanctionner …
En savoir plus
Voici un grief fréquemment retenu, en matière de protection des données : l’absence ou l’insuffisance des tests, aussi bien quant à la conformité que pour vérifier les mesures de sécurité. Et ces contrôles doivent être reconduits périodiquement, pour éviter la sanction, comme l’ont récemment rappelé les autorités de protection des données polonaise (UODO, 2 novembre 2022, Municipality of Dobrzyniewo Duże, n° DKN.5131.8.2022) et danoise (Datatilsynet, …
En savoir plus
Sauf à vivre dans « Le Bureau des Légendes » ou dans la version BCRA annoncée début février (et encore!), sécuriser l’accès à des dossiers papier constitue un challenge peut-être plus délicat encore que pour leur pendant numérique. C’est ce qu’a rappelé la CNIL roumaine en début d’année, en sanctionnant le responsable de traitement victime du vol du dossier administratif d’un salarié, entreposé sur une étagère. Loin …
En savoir plus
Mesure de sécurité faisant partie des « exigences élémentaires », le chiffrement du disque dur d’un ordinateur portable n’en demeure pas moins insuffisant pour assurer la confidentialité des données traitées. Dans une décision du 2 novembre 2022, la CNIL polonaise a ainsi sanctionné un responsable de traitement ayant omis, alors que sa politique le prévoyait et semblait majoritairement bien appliquée, de chiffrer le disque dur d’un terminal …
En savoir plus
Le SIM swapping est à la mode, ces dernières années. A tel point que la Commission de Terminologie lui a fait les honneurs d’une traduction, le 19 mars 2022. Pour mémoire, cette attaque par usurpation de carte SIM consiste à détourner les SMS d’authentification double facteur (ou 2FA) pour pouvoir accéder au compte de la victime. Les victimes se retournent souvent contre leur établissement bancaire, …
En savoir plus
C’est tout du moins ce qu’il semble résulter d’une lecture a contrario d’une décision Interserve Group Limited de l’Information Commissioner’s Office (ICO), du 24 octobre 2022. Il était reproché au responsable de traitement d’avoir recours au système d’exploitation Microsoft Server 2003 R2, dont le support avait définitivement pris fin en 2015. Dans ce genre de situation, le plus simple est de changer d’OS. Mais ce …
En savoir plus