Le mieux est l’ennemi du bien… et de la sécurité juridique. Voilà un employeur qui pensait bien faire en transmettant à l’équivalent bulgare de la DDTEP le projet de contrat proposé à un salarié. Malheureusement pour lui, la législation locale imposait la transmission du seul contrat signé, et non du projet. Saisie par la personne concernée, l’autorité de protection des données a rappelé à l’ordre …
En savoir plusRGPD
-
-
Usurpation d’identité : victime collatérale ou coupable, le dilemme du responsable de traitement
RGPD, Sécurité informatique par Da_pierre le 27/11/2024Voici une décision à double tranchant de la CNIL espagnole. Dans les faits, un escroc met en place une fausse annonce d’emploi, récoltant ainsi photo d’identité et copie de justificatif d’identité. Ces éléments en main, il usurpe l’identité de sa victime et obtient un prêt. Le prêteur se voit alors accuser d’un manquement à l’obligation de sécurité (des mesures antifraude auraient dû être mises en …
En savoir plus -
Le RGPD contraint-il les détenteurs de données à l’auto-incrimination?
RGPD par Da_pierre le 02/10/2024Le RGPD contraint-il les détenteurs de données à l’auto-incrimination?Cela fait très série policière, mais le droit de ne pas contribuer à sa propre incrimination est protégé, en France, au travers de l’article 6 de la CEDH. L’objectif est clair : ne pas être contraint à fournir aux autorités des éléments qui pourraient être retournés contre la personne. Ce droit n’est toutefois pas absolu. Il est …
En savoir plus -
RGPD et certification ISO : quel impact?
RGPD par Da_pierre le 21/08/2024La certification ISO, c’est un peu la réponse tarte à la crème, en matière d’audit des garanties essentielles des sous-traitants et prestataires. A tel point que dans les dossiers de candidature qui peuvent m’être confiés pour certains jurys, nous sont régulièrement pointés des certifications : Le référentiel HDS donne du poids à la certification ISO27001Bon, s’il y a un domaine où la certification a un …
En savoir plus -
Le maître mot du principe de responsabilité? La cohérence!
Droit des données, RGPD par Da_pierre le 13/08/2024Il innerve la totalité du RGPD, sans que ses implications opérationnelles ne soient jamais décrites. Vous l’aurez deviné, je songe au principe de responsabilité. A moins que ce ne soit le titre 😉 Les sanctions prises au regard de l’article 5§2 du RGPD, suggérant que ce principe peut être décliné :➡️ techniquement : un dispositif technique doit ainsi permettre de confirmer ou d’infirmer l’effacement d’une …
En savoir plus -
Si l’erreur est humaine, négliger le verrouillage automatique est fautif
Confidentialité, Donnée de santé, Droit de la santé, Droit des données, Droit des patients, Droit hospitalier, RGPD, secret médical, Sécurité informatique par Da_pierre le 07/08/2024Malgré Pro Santé Connect, la Carte de Professionnel de Santé (CPS), ses variantes administratives et leur version dématérialisée, voire un simple couple identifiant / mot de passe restent souvent utilisées comme moyen d’identification électronique (MIE). Verrouillez systématiquement votre sessionEspérer que systématiquement, les utilisateurs récupèrent leur carte lorsqu’ils s’absentent, reviendrait à se voiler la face. Mais y a-t-il vraiment un risque? Un professionnel de santé italien …
En savoir plus -
Au XXIe siècle, Paracelse eut été juriste RGPD, et non alchimiste
RGPD par Da_pierre le 17/07/2024A partir de quand traite-t-on des données?Car l’examen de la jurisprudence en témoigne: tout est traitement, rien n’est traitement, c’est la dose qui fait le traitement! Illustration avec quelques cas récents, et parfois mal interprétés. Le 28 mars 2023, le Conseil d’Etat autrichien a ainsi considéré que des suppositions émises par des personnes – en l’absence de toute donnée – ne constituaient pas un traitement. …
En savoir plus -
Cumul de manquements RGPD : Les autorités poussent-elles les limites ?
RGPD par Da_pierre le 12/06/2024Une autorité de protection des données peut-elle sanctionner des faits déjà pénalement sanctionnés? La réponse varie, d’un Etat à l’autre. Le 8 décembre 2022, l’APD espagnole n’avait pas hésité à prononcer une amende administrative à l’encontre d’un mineur déjà sanctionné au pénal. A l’inverse, son homologue finlandaise estimait (le lendemain!) qu’elle n’était pas compétente si l’infraction était pénalement réprimable. La nuance est de taille : …
En savoir plus -
Utiliser une messagerie pro pour des communications perso : une pratique courante, mais aux conséquences complexes
RGPD, Sécurité informatique par Da_pierre le 29/05/2024La charte informatique constitue aussi bien une mesure de sécurité organisationnelle, au titre du RGPD, qu’un instrument disciplinaire, en droit du travail. Cette dualité n’est pas sans conséquence, pour l’employeur, comme pour le salarié. Ainsi, le droit du travail impose-t-il de permettre un usage personnel – raisonnable et licite – des moyens mis à disposition du salarié. Concrètement, il est ainsi autorisé à envoyer et …
En savoir plus -
Les données traitées peuvent dépasser le cadre de votre pensée!
RGPD par Da_pierre le 15/05/2024« Mais qu’est-ce qu’il nous chante, encore » vous dites-vous peut-être. En synthèse, que tout responsable de traitement est réputé traiter les données qu’il collecte et produit, mais également celles pouvant être inférées à partir des premières. Est-ce plus clair? Non? Prenons alors un cas concret. Imaginez que vous ayez à remplir une déclaration d’intérêts, faisant apparaître l’identité de votre conjoint. A priori neutre, l’information fait pourtant …
En savoir plus