Dans un récent jugement (TA Bordeaux, 3 octobre 2023, n° 2004029), le Tribunal Administratif de Bordeaux a considéré que « l’incapacité d’un établissement de santé à communiquer aux experts judiciaires l’intégralité d’un dossier médical n’est pas, en tant que telle, de nature à établir l’existence de manquements fautifs dans la prise en charge du patient ». Les conséquences « médico-légales » de cette carence doivent être appréciées par le …
En savoir plussécurité
-
-
Compliance et sécurité : la personne concernée peut-elle accorder une dérogation?
cybersécurité, secret médical, Sécurité informatique par Da_pierre le 11/10/2023La personne concernée peut-elle délier le responsable de traitement de son obligation de sécurité? Une comparaison avec un sujet proche, celui du secret professionnel, devrait conduire à une réponse négative (Crim., 8 avril 1998, n° 97-83656). La CADA, dans un avis un chouïa plus récent, avait rappelé que le choix du patient de recevoir par email son dossier médical n’exonérait pas l’hôpital de ses obligations …
En savoir plus -
L’extension des règles d’identitovigilance à la protection des données
Accès au dossier médical, Donnée de santé, Droit de la santé par Da_pierre le 06/09/2023La sécurité des soins suppose de pouvoir garantir qu’une personne est bel et bien le patient connu du système d’information. Les règles d’identitovigilance, désormais posées par le référentiel national d’identitovigilance, ont été élaborées à cette fin. Elles restent toutefois d’application délicate. Le Graal de l’identité qualifiée – supposant notamment le recours à « un dispositif à haut degré de confiance » – est en effet loin d’être …
En savoir plus -
Fiabilité de l’authentification et facilitation des droits RGPD : marcher sur la corde raide
Droit des données, RGPD, Sécurité informatique par Da_pierre le 16/08/2023S’assurer de l’identité de la personne concernée n’est pas une sinécure. Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou …
En savoir plus -
RGPD : entre respect du texte et rigidité de l’interprétation
Non classé par Da_pierre le 09/08/2023Le RGPD doit être interprété de telle sorte que son champ d’application soit le plus large possible. C’est une constante. Cette analyse extensive peut toutefois s’avérer lourde de conséquences, et virer au rigorisme. Dans une décision du 13 avril 2023, la « CNIL italienne » a ainsi dégagé une situation de coresponsabilité entre la ville de Bologne et l’un de ses partenaires (GPDP, 13 avril 2023, Ville …
En savoir plus -
3 règles de sécurité à respecter pour des vacances sans violation de données
cybersécurité, Sécurité informatique par Da_pierre le 26/07/20231) Ne pas laisser l’ordinateur sans surveillance (dans le train ou la voiture, par exemple) : les photos de PC « abandonnés » le temps d’une pause café sont désormais un grand classique (vraisemblablement constitutif d’un traitement de données… A bon entendeur). Pour éviter aussi bien cet affichage que le vol ou un piratage, mieux vaut donc ne jamais le laisser sans surveillance. Si le pire arrive, …
En savoir plus -
🔄⚖️ Sanctions disciplinaires à l’heure du RGPD : vers une révision systématique ?
Droit des données, RGPD par Da_pierre le 12/07/2023Le droit disciplinaire n’échappe pas au RGPD. Constitutif d’une mesure de sécurité – la CNIL impose qu’il soit évoqué dans la charte informatique – ou d’un aveu de manquement à l’article 32 (AEPD, 14 novembre 2022, Ministre régional de la santé de Madrid), il est également « assujetti » au droit à la protection des données. En tout cas pour des personnes autres que les magistrats, si …
En savoir plus -
🤔 Et si la confidentialité des données de l’entreprise passait par l’information de ses salariés?
cybersécurité, Sécurité informatique par Da_pierre le 05/07/2023En matière de sécurité informatique, « l’interface chaise/clavier » – comprendre l’utilisateur – constitue fréquemment le point d’entrée de l’incident. Pour réduire cette source de risque, différentes mesures peuvent être prises. Certaines sont d’ordre logique. Des dispositifs de contrôle et de surveillance de l’utilisation des outils informatiques, et notamment d’Internet et de la messagerie électronique, sont ainsi fréquemment mis en place. D’autres sont organisationnelles. Faut-il encore évoquer …
En savoir plus -
Règles de sécurité OIV pour les établissements de santé
cybersécurité, Droit de la santé, Droit des données, Droit hospitalier, Sécurité informatique par Da_pierre le 24/04/2023Les établissements supports de GHT et les quelques autres établissements de santé heureux destinataires d’un arrêté les désignant en tant qu’opérateur d’importance vitale (OIV) ont trois mois pour se conformer aux règles de sécurité fixées au terme d’un arrêté du 17 avril 2023. Elles couvrent 20 secteurs traditionnels de la sécurité : Ces règles sont complétées par les modalités de déclaration à l’ANSSI des systèmes …
En savoir plus -
Clés USB perdues et données « sensibles » exposées : comment éviter les sanctions ?
cybersécurité, Droit des données, RGPD, Sécurité informatique par Da_pierre le 22/03/2023Forces de l’ordre et juridictions, bien qu’on en parle peu, ne sont pas exonérées du respect du RGPD, ou de sa petite soeur, la directive Police-Justice. L’autorité de protection des données polonaise a ainsi prononcé une amende à l’encontre d’une juridiction, dont les membres avaient perdu trois clés USB, non chiffrées, contenant des projets de jugement. Le montant de l’amende prononcée semble – de l’ordre …
En savoir plus