Voici un grief fréquemment retenu, en matière de protection des données : l’absence ou l’insuffisance des tests, aussi bien quant à la conformité que pour vérifier les mesures de sécurité. Et ces contrôles doivent être reconduits périodiquement, pour éviter la sanction, comme l’ont récemment rappelé les autorités de protection des données polonaise (UODO, 2 novembre 2022, Municipality of Dobrzyniewo Duże, n° DKN.5131.8.2022) et danoise (Datatilsynet, …
En savoir pluspierre desmarais
-
-
Sécuriser les dossiers papier, un challenge des plus délicats
Confidentialité, cybersécurité, Donnée de santé, Sécurité informatique par Da_pierre le 27/02/2023Sauf à vivre dans « Le Bureau des Légendes » ou dans la version BCRA annoncée début février (et encore!), sécuriser l’accès à des dossiers papier constitue un challenge peut-être plus délicat encore que pour leur pendant numérique. C’est ce qu’a rappelé la CNIL roumaine en début d’année, en sanctionnant le responsable de traitement victime du vol du dossier administratif d’un salarié, entreposé sur une étagère. Loin …
En savoir plus -
Définir ce qu’est une « publicité » en faveur d’un produit de santé n’est pas chose aisée
Dispositifs médicaux, Publicité par Da_pierre le 23/02/2023Définir ce qu’est (ou pire encore, ce que n’est pas) une « publicité » en faveur d’un produit de santé n’est pas chose aisée. Et ce récent arrêt Euroaptieka de la CJUE ne va pas faciliter l’exercice. Le 22 décembre dernier, la Cour a en effet considéré comme une publicité en faveur du médicament les informations encourageant son achat, du fait de son prix, d’une remise ou …
En savoir plus -
Fréquence cardiaque, IMC et VO2max d’un sportif constituent des données de santé
Donnée de santé par Da_pierre le 20/02/2023C’est ce qu’a rappelé la CNIL finlandaise au fabriquant de montres connectées finlandais, dans une décision du 27 décembre 2022. La question reste débattue, en France. Si la CNIL a par exemple qualifié taille et poids de donnée de santé dans son Référentiel pour la gestion des pharmacies, le Conseil d’Etat a pu sembler faire revivre sa jurisprudence BNIE de 2010, en 2021. Il a …
En savoir plus -
Le chiffrement, mesure de sécurité indispensable mais insuffisante
Confidentialité, cybersécurité, Sécurité informatique par Da_pierre le 16/02/2023Mesure de sécurité faisant partie des « exigences élémentaires », le chiffrement du disque dur d’un ordinateur portable n’en demeure pas moins insuffisant pour assurer la confidentialité des données traitées. Dans une décision du 2 novembre 2022, la CNIL polonaise a ainsi sanctionné un responsable de traitement ayant omis, alors que sa politique le prévoyait et semblait majoritairement bien appliquée, de chiffrer le disque dur d’un terminal …
En savoir plus -
Le RGPD, nouvel allié de l’assurance maladie pour lutter contre l’optimisation du codage PMSI?
Accès au dossier médical, RGPD par Da_pierre le 13/02/2023Les établissements de santé qui optimisent le codage PMSI pour améliorer les résultats de la #T2A savent depuis longtemps maintenant qu’ils se doivent d’encadrer les prestataires susceptibles d’accéder aux données de santé. Une décision de la « CNIL finnoise » du 9 décembre dernier soulève un nouveau point auquel ils devraient désormais faire attention, dans ce cadre. L’autorité de protection des données finlandaises a sanctionné un responsable …
En savoir plus -
La résiliation d’un contrat vaudrait demande d’effacement des données, au sens du RGPD
Droit des données par Da_pierre le 06/02/2023Mais l’inverse n’est pas vrai. C’est en ce sens qu’a tranché la CNIL, alors que Free arguait de ce qu’il serait disproportionné d’en arriver à une telle conclusion. La Commission a considéré que du fait de la résiliation du contrat de fourniture d’un service de messagerie électronique, les données n’étaient plus nécessaires, à tout le moins en base active, et devaient être effacées. Le raisonnement …
En savoir plus -
La CNIL anglaise admettrait l’utilisation d’un OS n’étant plus supporté, si des mesures palliatives étaient prises
cybersécurité, RGPD, Sécurité informatique par Da_pierre le 30/01/2023C’est tout du moins ce qu’il semble résulter d’une lecture a contrario d’une décision Interserve Group Limited de l’Information Commissioner’s Office (ICO), du 24 octobre 2022. Il était reproché au responsable de traitement d’avoir recours au système d’exploitation Microsoft Server 2003 R2, dont le support avait définitivement pris fin en 2015. Dans ce genre de situation, le plus simple est de changer d’OS. Mais ce …
En savoir plus -
Le droit d’accès impose de transmettre à la personne concernée tous les documents lui étant relatifs
Droit des données, RGPD par Da_pierre le 26/01/2023Enfin, c’est la position d’un juge italien, dans un débat houleux quant à savoir ce qu’il faut entendre par la possibilité d’obtenir une « copie » des données. L’autre camp considère que le droit d’accès ne constitue pas un droit à communication des documents (par exemple et pour la CNIL). Pour mémoire, sous l’empire de la directive 95/46, la CJUE faisait partie de cet autre camp. La …
En savoir plus -
Déposer un colis à un voisin, sans le consentement du destinataire, constitue un manquement à la sécurité
RGPD, Sécurité informatique par Da_pierre le 23/01/2023L’autorité de protection des données espagnole a ainsi condamné UPS au paiement d’une amende de 50 000,00 euros, après avoir requalifié le transporteur en responsable de traitement. Ajoutons que dès lors que le consentement doit être libre, éclairé et spécifique, une clause contractuelle ne devrait pas permettre aux transporteurs de régler la question …
En savoir plus