Sécurité informatique

Le chiffrement, mesure de sécurité indispensable mais insuffisante
Confidentialité, cybersécurité, Sécurité informatique par Da_pierre le 16/02/2023

Mesure de sécurité faisant partie des « exigences élémentaires », le chiffrement du disque dur d’un ordinateur portable n’en demeure pas moins insuffisant pour assurer la confidentialité des données traitées. Dans une décision du 2 novembre 2022, la CNIL polonaise a ainsi sanctionné un responsable de traitement ayant omis, alors que sa politique le prévoyait et semblait majoritairement bien appliquée, de chiffrer le disque dur d’un terminal …
En savoir plus
Lorsqu’un escroc vide un compte bancaire, pourquoi ne pas attaquer l’opérateur de téléphonie, sur la base d’un manquement à la sécurité?
cybersécurité, RGPD, Sécurité informatique par Da_pierre le 09/02/2023

Le SIM swapping est à la mode, ces dernières années. A tel point que la Commission de Terminologie lui a fait les honneurs d’une traduction, le 19 mars 2022. Pour mémoire, cette attaque par usurpation de carte SIM consiste à détourner les SMS d’authentification double facteur (ou 2FA) pour pouvoir accéder au compte de la victime. Les victimes se retournent souvent contre leur établissement bancaire, …
En savoir plus
La CNIL anglaise admettrait l’utilisation d’un OS n’étant plus supporté, si des mesures palliatives étaient prises
cybersécurité, RGPD, Sécurité informatique par Da_pierre le 30/01/2023

C’est tout du moins ce qu’il semble résulter d’une lecture a contrario d’une décision Interserve Group Limited de l’Information Commissioner’s Office (ICO), du 24 octobre 2022. Il était reproché au responsable de traitement d’avoir recours au système d’exploitation Microsoft Server 2003 R2, dont le support avait définitivement pris fin en 2015. Dans ce genre de situation, le plus simple est de changer d’OS. Mais ce …
En savoir plus
Déposer un colis à un voisin, sans le consentement du destinataire, constitue un manquement à la sécurité
RGPD, Sécurité informatique par Da_pierre le 23/01/2023

L’autorité de protection des données espagnole a ainsi condamné UPS au paiement d’une amende de 50 000,00 euros, après avoir requalifié le transporteur en responsable de traitement. Ajoutons que dès lors que le consentement doit être libre, éclairé et spécifique, une clause contractuelle ne devrait pas permettre aux transporteurs de régler la question …
En savoir plus
Transmettre des données à l’OCAM violerait le secret professionnel
Donnée de santé, RGPD, secret médical, Sécurité informatique par Da_pierre le 19/01/2023

La CNIL a appelé, le 14 novembre 2022, à l’élaboration d’un cadre pour la transmission des données de santé aux OCAM, notamment au regard du secret professionnel. Admettons qu’une clarification soit nécessaire. Plusieurs points posent problème: 1) Le cadre relatif au secret professionnel n’a pas évolué, depuis l’entrée en vigueur du RGPD : pourquoi le problème n’est-il soulevé que maintenant? 2) La CNIL est saisie …
En savoir plus
Contrôler l’accès au dossier médical reste un challenge constant, en UE
cybersécurité, Donnée de santé, Droit de la santé, e-santé, RGPD, Sécurité informatique par Da_pierre le 13/01/2023

Certaines situations semblent en pratique assez faciles à gérer. Le Conseil d’Etat a ainsi considéré que faute de participer à la prise en charge du malade, un le médecin-conseil d’une assurance ne pouvait adresser son rapport à un expert judiciaire, et ce alors que le malade s’y était opposé (CE, 15 novembre 2022, n° 441387). Logique sur le plan juridique, la situation peut être traitée …
En savoir plus
Utiliser des fichiers Excel pour stocker des données à caractère personnel est un manquement à la sécurité
RGPD, Sécurité informatique par Da_pierre le 12/01/2023

C’est en ce sens qu’à trancher la « CNIL portugaise« , considérant que la présence d’un mot de passe à l’ouverture du fichier n’écartait pas le manquement. La commission lusitanienne, en expliquant les motifs de sa décision, ouvre toutefois une piste de réflexion pour permettre l’utilisation de cet outil bureautique. Elle reproche en effet au système de fichier de ne pas journaliser les accès, consultations et modifications …
En savoir plus
HDS & vigilance, un cadre discriminant pour les hébergeurs français
Donnée de santé, Droit de la santé, Droit des données, Droit européen & Santé, Hébergeur, Sécurité informatique par Da_pierre le 06/11/2019

Dans la vie, il y a le droit et la pratique. Et force est de considérer que souvent, la pratique prend le pas sur le droit. Qui peut prétendre respecter le droit tout au long de leur journée ? Hier, êtes-vous certain de n’avoir pris que des passages piétons, et ce au feu vert ? En matière d’HDS, il y a le droit, la pratique… et le …
En savoir plus
CNIL : la contestation de la régularité des contrôles en ligne vouée à l’échec?
Confidentialité, Droit des données, Responsabilité, RGPD, Sécurité informatique par Da_pierre le 02/10/2019

Les sanctions prononcées par la formation restreinte de la CNIL depuis l’entrée en application du RGPD mettent en évidence une contestation systématique de la régularité de la procédure suivie. En droit, rien d’étonnant. Etant administrative, la sanction est susceptible d’un recours en excès de pouvoir. Et en la matière, même si les arguments sont voués à l’échec, il est classique d’attaquer la régularité formelle. …
En savoir plus
La norme ISO, le droit français et le législateur européen
cybersécurité, Donnée de santé, Droit de la santé, Droit des données, normes, Sécurité informatique par Da_pierre le 11/09/2019

Mon précédent billet revenait sur l’impossibilité pour les pouvoirs publics d’imposer le respect d’une norme, d’un standard, d’un code de conduite payant ou de s’y référer dans un texte réglementaire. Cette règle découle directement du principe de sécurité juridique. La loi est déjà suffisamment complexe et évolutive sans qu’en plus les assujettis soient obligés de payer pour en prendre connaissance. La problématique est que l’Union …
En savoir plus