Tout prestataire proposant une solution hébergée par un tiers certifié HDS doit reprendre dans son contrat les clauses imposées d’un contrat HDS. En hébergement B2B2C, les clauses réglementaires doivent figurer dans le contrat B2CL’exigence, clairement mentionnée au II de l’article R1111-11 du Code de la Santé Publique, n’est malheureusement que très rarement satisfaite. Parfois, un lien hypertexte est proposé. Ce qui ne semble pas réellement …
En savoir plus
Le droit d’accès aux documents administratifs est un sujet qui préoccupe la CNIL. Enfin, c’était le cas sous la précédente législature 😉 Dans un domaine où la transparence est une règle, la Commission a publié, en juillet 2023, plusieurs recommandations, tout en annonçant sur un Guide pratique de la publication en ligne document élaboré par la CADA et la CNIL et de la réutilisation, en …
En savoir plus
La question peut être posée, à la lecture d’un récent arrêt du Conseil d’Etat (CE, 31 mai 2024, Assoc. Ouvre-boîte, n° 472883). En résumé, la plus haute juridiction administrative conclut ici que des données statistiques contenant des renseignements individuels ou permettant l’identification des personnes ne peuvent être communiquées à des tiers, à peine de violation dudit secret. Dans cette situation, point de risque d’attaque par …
En savoir plus
Le scandale ORPEA a conduit à l’énoncé d’une problématique difficile : faut-il de la vidéosurveillance dans les chambres des ESMS? En réponse, la CNIL a fait publier, au JO du 2 mai 2024, une « recommandation » précisant les conditions strictes de mise en place de ces dispositifs. 𝐂𝐨𝐧𝐭𝐞𝐱𝐭𝐞 Après une analyse des enjeux, elle détermine les conditions applicable. Fort logiquement, celles-ci sont drastiques : …
En savoir plus
Une autorité de protection des données peut-elle sanctionner des faits déjà pénalement sanctionnés? La réponse varie, d’un Etat à l’autre. Le 8 décembre 2022, l’APD espagnole n’avait pas hésité à prononcer une amende administrative à l’encontre d’un mineur déjà sanctionné au pénal. A l’inverse, son homologue finlandaise estimait (le lendemain!) qu’elle n’était pas compétente si l’infraction était pénalement réprimable. La nuance est de taille : …
En savoir plus
Un amendement – adopté par le Sénat – au projet de loi « Simplification de la vie économique » a récemment fait polémique parmi les juristes et les utilisateurs du droit d’accès et de communication des documents administratifs. L’objectif de cet amendement n° COM-355 ? Ecarter purement et simplement ce droit pour les documents reçus et produits par la CNIL dans le cadre de l’instruction …
En savoir plus
La charte informatique constitue aussi bien une mesure de sécurité organisationnelle, au titre du RGPD, qu’un instrument disciplinaire, en droit du travail. Cette dualité n’est pas sans conséquence, pour l’employeur, comme pour le salarié. Ainsi, le droit du travail impose-t-il de permettre un usage personnel – raisonnable et licite – des moyens mis à disposition du salarié. Concrètement, il est ainsi autorisé à envoyer et …
En savoir plus
Les référentiels HDSv2 d’accréditation et de certification ont été publiés au JO du 16 mai 2024. Pour le second, il entre en vigueur au 17 novembre prochain. Si le document s’est épaissi de 2 pages, par rapport à la version soumise à concertation, le nombre d’exigences a très faiblement diminué. La version finale passe de 32 à 31 exigences. Des modifications à la marge, me …
En savoir plus
« Mais qu’est-ce qu’il nous chante, encore » vous dites-vous peut-être. En synthèse, que tout responsable de traitement est réputé traiter les données qu’il collecte et produit, mais également celles pouvant être inférées à partir des premières. Est-ce plus clair? Non? Prenons alors un cas concret. Imaginez que vous ayez à remplir une déclaration d’intérêts, faisant apparaître l’identité de votre conjoint. A priori neutre, l’information fait pourtant …
En savoir plus
Dans une décision peut-être un peu trop irréaliste, la « CNIL italienne » a reproché au responsable de traitement de ne pas avoir mis en œuvre les mesures de sécurité logiques adéquates sur les postes de travail de ses salariés. Traditionnellement, les mesures phares dans le domaine sont l’installation, la configuration et le maintien à jour d’un antivirus (CNIL – Guide pratique RGPD – Sécurité des données …
En savoir plus