« Vous êtes le maillon faible. » Admettons. Mais qui est désigné par ce pronom ? C’est là que le bât blesse, souvent. Prenons cette décision de la « CNIL espagnole« , l’AEPD, qui sanctionne Uniqlo pour manquement au principe d’intégrité et de confidentialité ainsi qu’à l’obligation de sécurité, un salarié ayant adressé par erreur les données de paie relatives à 446 employés de la société (n° EXP202304685). Jusque …
En savoir plusSécurité informatique
-
-
Si l’erreur est humaine, négliger le verrouillage automatique est fautif
Confidentialité, Donnée de santé, Droit de la santé, Droit des données, Droit des patients, Droit hospitalier, RGPD, secret médical, Sécurité informatique par Da_pierre le 07/08/2024Malgré Pro Santé Connect, la Carte de Professionnel de Santé (CPS), ses variantes administratives et leur version dématérialisée, voire un simple couple identifiant / mot de passe restent souvent utilisées comme moyen d’identification électronique (MIE). Verrouillez systématiquement votre sessionEspérer que systématiquement, les utilisateurs récupèrent leur carte lorsqu’ils s’absentent, reviendrait à se voiler la face. Mais y a-t-il vraiment un risque? Un professionnel de santé italien …
En savoir plus -
robots.txt : quand un simple fichier texte vaut mesure de sécurité
Sécurité informatique par Da_pierre le 03/07/2024Le droit d’accès aux documents administratifs est un sujet qui préoccupe la CNIL. Enfin, c’était le cas sous la précédente législature 😉 Dans un domaine où la transparence est une règle, la Commission a publié, en juillet 2023, plusieurs recommandations, tout en annonçant sur un Guide pratique de la publication en ligne document élaboré par la CADA et la CNIL et de la réutilisation, en …
En savoir plus -
Utiliser une messagerie pro pour des communications perso : une pratique courante, mais aux conséquences complexes
RGPD, Sécurité informatique par Da_pierre le 29/05/2024La charte informatique constitue aussi bien une mesure de sécurité organisationnelle, au titre du RGPD, qu’un instrument disciplinaire, en droit du travail. Cette dualité n’est pas sans conséquence, pour l’employeur, comme pour le salarié. Ainsi, le droit du travail impose-t-il de permettre un usage personnel – raisonnable et licite – des moyens mis à disposition du salarié. Concrètement, il est ainsi autorisé à envoyer et …
En savoir plus -
La sécurité des postes de travail à l’ère du smartphone
Sécurité informatique par Da_pierre le 08/05/2024Dans une décision peut-être un peu trop irréaliste, la « CNIL italienne » a reproché au responsable de traitement de ne pas avoir mis en œuvre les mesures de sécurité logiques adéquates sur les postes de travail de ses salariés. Traditionnellement, les mesures phares dans le domaine sont l’installation, la configuration et le maintien à jour d’un antivirus (CNIL – Guide pratique RGPD – Sécurité des données …
En savoir plus -
Ne vous fiez pas aux déclarations de votre interlocuteur
Sécurité informatique par Da_pierre le 10/04/2024Voici le résumé le plus bref possible du dernier flash DGSI dédié aux risques associés à l’usurpation d’identité. Evidemment, le document se focalise sur des tentatives d’escroquerie ciblant des entreprises, mais cette règle simple se retrouve également dans la jurisprudence des autorités de protection des données. En matière de télécom, plusieurs condamnations ont ainsi été prononcées par la « CNIL espagnole » à l’encontre d’opérateurs de télécommunication …
En savoir plus -
Fin de sous-traitance RGPD : Une zone de risque sous-estimée?
RGPD, Sécurité informatique par Da_pierre le 03/04/2024Voici une décision d’une juridiction munichoise qui donne à réfléchir en ce qui concerne l’encadrement des fins de sous-traitance RGPD. Le texte impose aux parties de prévoir la restitution ou l’effacement des données. Mais au cas d’espèce, jugé le 9 février 2023 et rectifié le 14 mars suivant, le client d’un prestataire cloud s’est vu reprocher, alors que le contrat avait été résilié, de n’avoir …
En savoir plus -
A quand le retour des cartables menottés au poignet?
Droit hospitalier, secret médical, Sécurité informatique par Da_pierre le 28/02/2024C’est en tout cas ce que l’on peut se demander, à la lecture d’une décision impliquant un directeur de clinique finlandaise tout aussi embarrassé que la Ville de Paris (Tietosuojavaltuutetun toimisto, 15 novembre 2022, n° 4022/171/22). Il s’est lui aussi fait voler son cartable! A l’intérieur, point de plans secrets, mais un compte-rendu médical d’un patient, un ordinateur et deux disques durs. Au total, 3 …
En savoir plus -
ePrescription : peut-être eût-il fallu exclure les ordonnances « anonymes »?
cybersécurité, Donnée de santé, Droit de la santé, Droit des patients, e-santé, RGPD, secret médical, Sécurité informatique par Da_pierre le 27/12/2023Vous l’avez sans doute vu passer. Le décret sur l’e-prescription est paru la semaine dernière. Il revient notamment sur les prescriptions en matière d’IVG. Dans cette situation, les patientes ont le droit au secret, aux fins de préserver leur anonymat. Le décret tente de le transposer. Mais le Gouvernement a-t-il vraiment atteint l’objectif? Le texte se borne en effet à prévoir une restriction d’accès à …
En savoir plus -
Compliance et sécurité : la personne concernée peut-elle accorder une dérogation?
cybersécurité, secret médical, Sécurité informatique par Da_pierre le 11/10/2023La personne concernée peut-elle délier le responsable de traitement de son obligation de sécurité? Une comparaison avec un sujet proche, celui du secret professionnel, devrait conduire à une réponse négative (Crim., 8 avril 1998, n° 97-83656). La CADA, dans un avis un chouïa plus récent, avait rappelé que le choix du patient de recevoir par email son dossier médical n’exonérait pas l’hôpital de ses obligations …
En savoir plus