Ne nous mentons pas. Pour bon nombre de ses détracteurs, le RGPD se résume à beaucoup de paperasses et des dépenses – et non des investissements – dans la cybersécurité. Voilà une décision de l’APD belge établissant clairement que la sécurité ne se limite pas au « cyber » et que le pragmatisme peut garder de la « procédurite ». En l’occurrence, le responsable de traitement poursuivi avait de …
En savoir plusAuthor: Da_pierre
-
-
Le consentement RGPD, un biais méthodologique en termes de recherche
Consentement, Recherche médicale par Da_pierre le 20/09/2023Alors que la CNIL a récemment indiqué que sa doctrine en termes de cookies n’avait pas induit de « fatigue du consentement« , l’autorité de protection des données italienne a admis, dans une décision du 2 mars 2023, que le recueil du consentement, en matière de recherche dans le domaine de la santé, introduisait nécessairement et systématiquement un biais scientifique (GPDP, 2 mars 2023, CHU Città della …
En savoir plus -
Pas de shrinkflation pour la sécurité des hopitaux: NIS2, MATURIN-H… et maintenant une recommandation CNIL
cybersécurité, Donnée de santé, Droit de la santé, Droit des données, Hébergeur, RGPD, Sécurité informatique, SIH par Da_pierre le 13/09/2023Ils avaient pour certains été désignés OIV, pour d’autres OSE et plus encore sont en passe de devenir des entités sinon essentielles, à tout le moins importantes. Les établissements de santé sont probablement en passe de tous être considérés comme des responsables de « traitements critiques ». Durant l’été, la CNIL a publié un projet de recommandation relative à la sécurité de ces traitements. Sont notamment concernés …
En savoir plus -
L’extension des règles d’identitovigilance à la protection des données
Accès au dossier médical, Donnée de santé, Droit de la santé par Da_pierre le 06/09/2023La sécurité des soins suppose de pouvoir garantir qu’une personne est bel et bien le patient connu du système d’information. Les règles d’identitovigilance, désormais posées par le référentiel national d’identitovigilance, ont été élaborées à cette fin. Elles restent toutefois d’application délicate. Le Graal de l’identité qualifiée – supposant notamment le recours à « un dispositif à haut degré de confiance » – est en effet loin d’être …
En savoir plus -
Responsabilité RGPD : La ligne fine entre le manquement non intentionnel et l’incident
Responsabilité, RGPD par Da_pierre le 30/08/2023En cas de manquement RGPD, le responsable peut-il s’exonérer de sa responsabilité? Difficilement, voire quasiment pas, au regard du principe de responsabilité. Conséquence directe, le caractère non-intentionnel, involontaire de la violation est sans effet (AEPD, Free Energy, n° PS-00099-2022 ; Délibération de la formation restreinte n° SAN-2022-023 du 19 décembre 2022). De la même façon, les faits commis par un membre du personnel, sans instruction …
En savoir plus -
RGPD au tribunal: les dilemmes du responsable de traitement
RGPD par Da_pierre le 23/08/2023A l’instar du dépositaire du secret professionnel, un responsable de traitement peut se retrouver devant une alternative dans le cadre d’une procédure judiciaire. Peut-il ou non transmettre des données lui étant demandées par un juge ou pour sa défense? La Cour de Cassation a répondu positivement à la 1ère branche de cette interrogation, dans un arrêt remarqué du 8 mars 2023 (Soc., 8 mars 2023, …
En savoir plus -
Fiabilité de l’authentification et facilitation des droits RGPD : marcher sur la corde raide
Droit des données, RGPD, Sécurité informatique par Da_pierre le 16/08/2023S’assurer de l’identité de la personne concernée n’est pas une sinécure. Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou …
En savoir plus -
RGPD : entre respect du texte et rigidité de l’interprétation
Non classé par Da_pierre le 09/08/2023Le RGPD doit être interprété de telle sorte que son champ d’application soit le plus large possible. C’est une constante. Cette analyse extensive peut toutefois s’avérer lourde de conséquences, et virer au rigorisme. Dans une décision du 13 avril 2023, la « CNIL italienne » a ainsi dégagé une situation de coresponsabilité entre la ville de Bologne et l’un de ses partenaires (GPDP, 13 avril 2023, Ville …
En savoir plus -
Destinataire des données : interprétée strictement, la notion restreint le champ du droit à connaître leur identité
Droit des données par Da_pierre le 02/08/2023« Toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées » Tel est le titre retenu par la CJUE pour son communiqué de presse n° 107/23, relatif à l’arrêt Pankki S. Il se bornerait donc à reprendre l’arrêt Österreichische Post AG, qui imposait la transmission de la liste des destinataires des données. Mais à …
En savoir plus -
3 règles de sécurité à respecter pour des vacances sans violation de données
cybersécurité, Sécurité informatique par Da_pierre le 26/07/20231) Ne pas laisser l’ordinateur sans surveillance (dans le train ou la voiture, par exemple) : les photos de PC « abandonnés » le temps d’une pause café sont désormais un grand classique (vraisemblablement constitutif d’un traitement de données… A bon entendeur). Pour éviter aussi bien cet affichage que le vol ou un piratage, mieux vaut donc ne jamais le laisser sans surveillance. Si le pire arrive, …
En savoir plus