Le 3 décembre 2019, l’Agence Européenne de Cybersécurité – l’ENISA – a mis en ligne un guide des bonnes pratiques en matière de pseudonymisation[1], venant ainsi approfondir le travail réalisé un an auparavant. Définie par le RGPD comme « le traitement de données (…) de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires », …
En savoir plus
La question de l’authentification des personnes présentant une demande d’accès, d’effacement, de rectification, etc. est au cœur des débats. D’un côté, les autorités de protection des données et partisans d’une lecture stricte du RGPD arguent du principe de minimisation des données pour faire juger disproportionnée toute demande de justificatif d’identité faite par le responsable de traitement. L’autorité de protection des données danoise « semble » – mon …
En savoir plus
La certification « Hébergement de données de santé » vient de fêter sa première année et déjà, les pouvoirs publics annoncent vouloir la réformer. A l’occasion du 7èmeCongrès National de la Sécurité des Systèmes d’Information de Santé (CNSSIS), un représentant de l’Agence des systèmes d’information partagés de santé (ASIP Santé) aurait annoncé, selon Tic Santé, qu’était en cours de révision la liste des activités susceptibles de donner …
En savoir plus
Dans mon précédent billet, je pointais du doigt la tendance à l’alignement des nouvelles réglementations européennes relatives à l’encadrement des sous-traitants avec la norme ISO27001. L’examen des textes les plus récents montre que d’autres normes sont prises en considération. Le futur référentiel relatif à la certification Hébergeur de données de santé vise ainsi, en plus de la 27001, les normes : ISO27018 qui définit un Code …
En savoir plus
Engager une démarche opendata est une obligation A l’instar des directives Public Sector Information, la loi pour une République Numérique tend à favoriser l’apparition d’un véritable marché de la donnée, en imposant aux administrations comptant plus de 50 « équivalents temps plein » (ETP) et aux collectivités de plus de de 3 500 habitants, de s’engager dans une démarche d’ouverture des « données publiques ». Concilier Opendata et RGPD …
En savoir plus
La généralisation du consentement, innovation majeure du RGPD ? La place accordée au consentement est décrite comme l’une des innovations majeures du RGPD. Rien n’est moins vrai. Son recueil était déjà une règle cardinale dans la loi de 1978 et dans la directive de 1995. L’une des vraies nouveautés du RGPD, ce serait plutôt que ne pas le recueillir expose en principe le responsable de …
En savoir plus
L’information vient de tomber et elle va sûrement faire du bruit : la CNIL vient d’annoncer sur son site internet que les traitements de données, nécessaires à des activités de télémédecine, de dossier médical partagé et d’éducation thérapeutique ne relèvent plus du régime d’autorisation préalable ! Conséquence : une simple déclaration suffit pour la mise en œuvre d’un traitement de données, soit un gain de temps …
En savoir plus
La doctrine de la CNIL cassée par le législateur. Le 20 février 2007, la CNIL publiait ses conclusions « sur l’utilisation du NIR comme identifiant de santé », au terme desquelles elle décidait de restreindre l’utilisation du numéro de Sécurité Sociale à la sphère sociale et interdisait son utilisation en tant qu’identifiant de santé. Neuf ans plus tard, la Ministre de la Santé cassait cette doctrine en …
En savoir plus
A l’occasion de la quatrième édition du Hacking Health Camp à Strasbourg, je suis intervenu sur le thème de l’internet des objets en matière de santé. Le choix a été fait de dresser une sorte de comparatif permettant de réaliser l’écart existant entre un dispositif médical et un objet connecté santé n’entrant pas dans ce périmètre (est-il besoin de rappeler qu’il appartient au fabricant de décider si …
En savoir plus
Vous pensiez avoir des données anonymes et quelqu’un vous a dit qu’elles étaient en fait « pseudonymisées« ? Vous vous demandez quelle est la différence entre des données anonymisées et des données anonymes? La réponse en un clin d’oeil! …
En savoir plus