« Vous êtes le maillon faible. » Admettons. Mais qui est désigné par ce pronom ? C’est là que le bât blesse, souvent. Prenons cette décision de la « CNIL espagnole« , l’AEPD, qui sanctionne Uniqlo pour manquement au principe d’intégrité et de confidentialité ainsi qu’à l’obligation de sécurité, un salarié ayant adressé par erreur les données de paie relatives à 446 employés de la société (n° EXP202304685). Jusque …
En savoir plus
La certification ISO, c’est un peu la réponse tarte à la crème, en matière d’audit des garanties essentielles des sous-traitants et prestataires. A tel point que dans les dossiers de candidature qui peuvent m’être confiés pour certains jurys, nous sont régulièrement pointés des certifications : Le référentiel HDS donne du poids à la certification ISO27001Bon, s’il y a un domaine où la certification a un …
En savoir plus
Il innerve la totalité du RGPD, sans que ses implications opérationnelles ne soient jamais décrites. Vous l’aurez deviné, je songe au principe de responsabilité. A moins que ce ne soit le titre 
Les sanctions prises au regard de l’article 5§2 du RGPD, suggérant que ce principe peut être décliné :
techniquement : un dispositif technique doit ainsi permettre de confirmer ou d’infirmer l’effacement d’une …
Malgré Pro Santé Connect, la Carte de Professionnel de Santé (CPS), ses variantes administratives et leur version dématérialisée, voire un simple couple identifiant / mot de passe restent souvent utilisées comme moyen d’identification électronique (MIE). Verrouillez systématiquement votre sessionEspérer que systématiquement, les utilisateurs récupèrent leur carte lorsqu’ils s’absentent, reviendrait à se voiler la face. Mais y a-t-il vraiment un risque? Un professionnel de santé italien …
En savoir plus
Les statistiques publiées par les différentes autorités de protection des données des Etats membres de l’UE illustrent clairement l’appropriation par les personnes concernées de leurs droits. Des sanctions pour réponse tardiveL’examen de leur jurisprudence témoigne en revanche de difficultés persistantes, à l’autre bout de la ligne. En effet, de plus en plus de réponses tardives, imputées par les responsables de traitement à un adressage erroné …
En savoir plus
Le référentiel HDSv2 revoit le périmètre de l’activité 5 « Administration et exploitation du SI contenant les données de santé ». C’était l’une des prétentions majeures dudit document. C’était un chantier engagé 5 ans auparavant. Et c’est assez vraisemblablement un échec. La hiérarchie des normes empêche la modification de l’HDS 5Le droit est un ensemble de normes agencées de façon pyramidale. La plus élevée prime sur toutes …
En savoir plus
A partir de quand traite-t-on des données?Car l’examen de la jurisprudence en témoigne: tout est traitement, rien n’est traitement, c’est la dose qui fait le traitement! Illustration avec quelques cas récents, et parfois mal interprétés. Le 28 mars 2023, le Conseil d’Etat autrichien a ainsi considéré que des suppositions émises par des personnes – en l’absence de toute donnée – ne constituaient pas un traitement. …
En savoir plus
Tout prestataire proposant une solution hébergée par un tiers certifié HDS doit reprendre dans son contrat les clauses imposées d’un contrat HDS. En hébergement B2B2C, les clauses réglementaires doivent figurer dans le contrat B2CL’exigence, clairement mentionnée au II de l’article R1111-11 du Code de la Santé Publique, n’est malheureusement que très rarement satisfaite. Parfois, un lien hypertexte est proposé. Ce qui ne semble pas réellement …
En savoir plus
Le droit d’accès aux documents administratifs est un sujet qui préoccupe la CNIL. Enfin, c’était le cas sous la précédente législature Dans un domaine où la transparence est une règle, la Commission a publié, en juillet 2023, plusieurs recommandations, tout en annonçant sur un Guide pratique de la publication en ligne document élaboré par la CADA et la CNIL et de la réutilisation, en …
La question peut être posée, à la lecture d’un récent arrêt du Conseil d’Etat (CE, 31 mai 2024, Assoc. Ouvre-boîte, n° 472883). En résumé, la plus haute juridiction administrative conclut ici que des données statistiques contenant des renseignements individuels ou permettant l’identification des personnes ne peuvent être communiquées à des tiers, à peine de violation dudit secret. Dans cette situation, point de risque d’attaque par …
En savoir plus