La personne concernée peut-elle délier le responsable de traitement de son obligation de sécurité? Une comparaison avec un sujet proche, celui du secret professionnel, devrait conduire à une réponse négative (Crim., 8 avril 1998, n° 97-83656). La CADA, dans un avis un chouïa plus récent, avait rappelé que le choix du patient de recevoir par email son dossier médical n’exonérait pas l’hôpital de ses obligations …
En savoir plusdata protection officer
-
-
Donnée de santé : comment l’inférence remet en question la typologie de la CNIL
Donnée de santé, Droit de la santé, Droit des données par Da_pierre le 04/10/2023En janvier 2018, la CNIL avait distingué trois types de données de santé: par nature, par croisement ou par destination. Près de six ans plus tard, on peut se demander si cette distinction a toujours un sens, alors que les décisions des juridictions et autorités de protection des données se contredisent, divergent ou multiplient les exceptions lorsqu’il s’agit de qualifier une donnée comme étant relative …
En savoir plus -
RGPD : de la paperasse, de la cybersécurité, mais aussi du bon sens et du pragmatisme
Sécurité informatique par Da_pierre le 27/09/2023Ne nous mentons pas. Pour bon nombre de ses détracteurs, le RGPD se résume à beaucoup de paperasses et des dépenses – et non des investissements – dans la cybersécurité. Voilà une décision de l’APD belge établissant clairement que la sécurité ne se limite pas au « cyber » et que le pragmatisme peut garder de la « procédurite ». En l’occurrence, le responsable de traitement poursuivi avait de …
En savoir plus -
Le consentement RGPD, un biais méthodologique en termes de recherche
Consentement, Recherche médicale par Da_pierre le 20/09/2023Alors que la CNIL a récemment indiqué que sa doctrine en termes de cookies n’avait pas induit de « fatigue du consentement« , l’autorité de protection des données italienne a admis, dans une décision du 2 mars 2023, que le recueil du consentement, en matière de recherche dans le domaine de la santé, introduisait nécessairement et systématiquement un biais scientifique (GPDP, 2 mars 2023, CHU Città della …
En savoir plus -
Pas de shrinkflation pour la sécurité des hopitaux: NIS2, MATURIN-H… et maintenant une recommandation CNIL
cybersécurité, Donnée de santé, Droit de la santé, Droit des données, Hébergeur, RGPD, Sécurité informatique, SIH par Da_pierre le 13/09/2023Ils avaient pour certains été désignés OIV, pour d’autres OSE et plus encore sont en passe de devenir des entités sinon essentielles, à tout le moins importantes. Les établissements de santé sont probablement en passe de tous être considérés comme des responsables de « traitements critiques ». Durant l’été, la CNIL a publié un projet de recommandation relative à la sécurité de ces traitements. Sont notamment concernés …
En savoir plus -
L’extension des règles d’identitovigilance à la protection des données
Accès au dossier médical, Donnée de santé, Droit de la santé par Da_pierre le 06/09/2023La sécurité des soins suppose de pouvoir garantir qu’une personne est bel et bien le patient connu du système d’information. Les règles d’identitovigilance, désormais posées par le référentiel national d’identitovigilance, ont été élaborées à cette fin. Elles restent toutefois d’application délicate. Le Graal de l’identité qualifiée – supposant notamment le recours à « un dispositif à haut degré de confiance » – est en effet loin d’être …
En savoir plus -
Responsabilité RGPD : La ligne fine entre le manquement non intentionnel et l’incident
Responsabilité, RGPD par Da_pierre le 30/08/2023En cas de manquement RGPD, le responsable peut-il s’exonérer de sa responsabilité? Difficilement, voire quasiment pas, au regard du principe de responsabilité. Conséquence directe, le caractère non-intentionnel, involontaire de la violation est sans effet (AEPD, Free Energy, n° PS-00099-2022 ; Délibération de la formation restreinte n° SAN-2022-023 du 19 décembre 2022). De la même façon, les faits commis par un membre du personnel, sans instruction …
En savoir plus -
Fiabilité de l’authentification et facilitation des droits RGPD : marcher sur la corde raide
Droit des données, RGPD, Sécurité informatique par Da_pierre le 16/08/2023S’assurer de l’identité de la personne concernée n’est pas une sinécure. Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou …
En savoir plus -
Destinataire des données : interprétée strictement, la notion restreint le champ du droit à connaître leur identité
Droit des données par Da_pierre le 02/08/2023« Toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées » Tel est le titre retenu par la CJUE pour son communiqué de presse n° 107/23, relatif à l’arrêt Pankki S. Il se bornerait donc à reprendre l’arrêt Österreichische Post AG, qui imposait la transmission de la liste des destinataires des données. Mais à …
En savoir plus -
3 règles de sécurité à respecter pour des vacances sans violation de données
cybersécurité, Sécurité informatique par Da_pierre le 26/07/20231) Ne pas laisser l’ordinateur sans surveillance (dans le train ou la voiture, par exemple) : les photos de PC « abandonnés » le temps d’une pause café sont désormais un grand classique (vraisemblablement constitutif d’un traitement de données… A bon entendeur). Pour éviter aussi bien cet affichage que le vol ou un piratage, mieux vaut donc ne jamais le laisser sans surveillance. Si le pire arrive, …
En savoir plus