Author: Da_pierre

Désactiver les sauvegardes et effacer volontairement des données constituent une faute
Accès au dossier médical, cybersécurité, Droit de la santé, Droit des données par Da_pierre le 10/03/2023

Désactiver les sauvegardes automatiques et effacer volontairement des données constituent une faute grave. C’est en ce sens qu’a statué la Cour d’Appel de Douai dans un arrêt du 16 décembre 2022, approuvant ainsi le licenciement d’un salarié. Reste à savoir si l’employeur, en sanctionnant son salarié, ne contribue pas à matérialiser un manquement au RGPD. A cet égard, la « CNIL espagnole » avait considéré que sanctionner …
En savoir plus
Des références obsolètes dans une politique de confidentialité peuvent suffire à établir un manquement au RGPD
Droit des données, Information, Responsabilité par Da_pierre le 06/03/2023

C’est en tout cas l’un des moyens ayant permis à l’autorité de protection des données irlandaises de sanctionner un groupe d’EHPAD pour manquement aux principes d’intégrité et de confidentialité et à l’obligation de sécurité : DPC, 20 décembre 2022, Virtue Integrated Elder Care Ltd. Déjà, en juin 2022 et avril 2021, les CNIL italienne et tchèque avaient-elles pu considérer qu’un document obsolète et incomplet violait …
En savoir plus
Editeurs de logiciel, responsables de traitement et sous-traitants, avec ou sans « crayon », testez!
Confidentialité, Confidentialité, cybersécurité, Sécurité informatique par Da_pierre le 02/03/2023

Voici un grief fréquemment retenu, en matière de protection des données : l’absence ou l’insuffisance des tests, aussi bien quant à la conformité que pour vérifier les mesures de sécurité. Et ces contrôles doivent être reconduits périodiquement, pour éviter la sanction, comme l’ont récemment rappelé les autorités de protection des données polonaise (UODO, 2 novembre 2022, Municipality of Dobrzyniewo Duże, n° DKN.5131.8.2022) et danoise (Datatilsynet, …
En savoir plus
Sécuriser les dossiers papier, un challenge des plus délicats
Confidentialité, cybersécurité, Donnée de santé, Sécurité informatique par Da_pierre le 27/02/2023

Sauf à vivre dans « Le Bureau des Légendes » ou dans la version BCRA annoncée début février (et encore!), sécuriser l’accès à des dossiers papier constitue un challenge peut-être plus délicat encore que pour leur pendant numérique. C’est ce qu’a rappelé la CNIL roumaine en début d’année, en sanctionnant le responsable de traitement victime du vol du dossier administratif d’un salarié, entreposé sur une étagère. Loin …
En savoir plus
Définir ce qu’est une « publicité » en faveur d’un produit de santé n’est pas chose aisée
Dispositifs médicaux, Publicité par Da_pierre le 23/02/2023

Définir ce qu’est (ou pire encore, ce que n’est pas) une « publicité » en faveur d’un produit de santé n’est pas chose aisée. Et ce récent arrêt Euroaptieka de la CJUE ne va pas faciliter l’exercice. Le 22 décembre dernier, la Cour a en effet considéré comme une publicité en faveur du médicament les informations encourageant son achat, du fait de son prix, d’une remise ou …
En savoir plus
Fréquence cardiaque, IMC et VO2max d’un sportif constituent des données de santé
Donnée de santé par Da_pierre le 20/02/2023

C’est ce qu’a rappelé la CNIL finlandaise au fabriquant de montres connectées finlandais, dans une décision du 27 décembre 2022. La question reste débattue, en France. Si la CNIL a par exemple qualifié taille et poids de donnée de santé dans son Référentiel pour la gestion des pharmacies, le Conseil d’Etat a pu sembler faire revivre sa jurisprudence BNIE de 2010, en 2021. Il a …
En savoir plus
Le chiffrement, mesure de sécurité indispensable mais insuffisante
Confidentialité, cybersécurité, Sécurité informatique par Da_pierre le 16/02/2023

Mesure de sécurité faisant partie des « exigences élémentaires », le chiffrement du disque dur d’un ordinateur portable n’en demeure pas moins insuffisant pour assurer la confidentialité des données traitées. Dans une décision du 2 novembre 2022, la CNIL polonaise a ainsi sanctionné un responsable de traitement ayant omis, alors que sa politique le prévoyait et semblait majoritairement bien appliquée, de chiffrer le disque dur d’un terminal …
En savoir plus
Le RGPD, nouvel allié de l’assurance maladie pour lutter contre l’optimisation du codage PMSI?
Accès au dossier médical, RGPD par Da_pierre le 13/02/2023

Les établissements de santé qui optimisent le codage PMSI pour améliorer les résultats de la #T2A savent depuis longtemps maintenant qu’ils se doivent d’encadrer les prestataires susceptibles d’accéder aux données de santé. Une décision de la « CNIL finnoise » du 9 décembre dernier soulève un nouveau point auquel ils devraient désormais faire attention, dans ce cadre. L’autorité de protection des données finlandaises a sanctionné un responsable …
En savoir plus
Lorsqu’un escroc vide un compte bancaire, pourquoi ne pas attaquer l’opérateur de téléphonie, sur la base d’un manquement à la sécurité?
cybersécurité, RGPD, Sécurité informatique par Da_pierre le 09/02/2023

Le SIM swapping est à la mode, ces dernières années. A tel point que la Commission de Terminologie lui a fait les honneurs d’une traduction, le 19 mars 2022. Pour mémoire, cette attaque par usurpation de carte SIM consiste à détourner les SMS d’authentification double facteur (ou 2FA) pour pouvoir accéder au compte de la victime. Les victimes se retournent souvent contre leur établissement bancaire, …
En savoir plus
La résiliation d’un contrat vaudrait demande d’effacement des données, au sens du RGPD
Droit des données par Da_pierre le 06/02/2023

Mais l’inverse n’est pas vrai. C’est en ce sens qu’a tranché la CNIL, alors que Free arguait de ce qu’il serait disproportionné d’en arriver à une telle conclusion. La Commission a considéré que du fait de la résiliation du contrat de fourniture d’un service de messagerie électronique, les données n’étaient plus nécessaires, à tout le moins en base active, et devaient être effacées. Le raisonnement …
En savoir plus