Alors que la CNIL a annoncé que le droit d’accès constituera une priorité pour ses contrôles, en 2024, faisons le point sur l’authentification de la personne concernée. Comment votre organisation s’en assure-t-elle ? Intégrité et confidentialité justifient que le responsable s’assure de ce que les droits RGPD sont bel et bien exercés par la personne concernée (AEPD, n° PS/00456/2022). Ce que rappelle d’ailleurs son article …
En savoir plus
Général et absolu, le secret médical – entendu ici largement, comme le secret professionnel applicable dans le domaine de la santé – a vu son cadre évoluer récemment. Les actions en concurrence déloyale entre PSDM ou éditeurs de solution d’e-santé ont conduit à des solutions innovantes(1). La Chambre Sociale de la Cour de Cassation a également été confrontée à un (en l’occurrence, més)usage nouveau. Dans …
En savoir plus
Peut-être avez-vous déjà lu quelques lignes sur cet arrêt Public.Resource.Org, rendu hier par la CJUE (CJUE, 5 mars 2024, n° C‑588/21). Dans la négative, en synthèse, la Cour a jugé qu’aucun texte juridique ne peut rendre obligatoire, directement ou indirectement, une « norme ». Par norme, il faut entendre un document élaboré par un organisme privé, se voulant « l’étalon-or » du sujet et commercialisé. D’aucuns diraient même vendus très …
En savoir plus
C’est en tout cas ce que l’on peut se demander, à la lecture d’une décision impliquant un directeur de clinique finlandaise tout aussi embarrassé que la Ville de Paris (Tietosuojavaltuutetun toimisto, 15 novembre 2022, n° 4022/171/22). Il s’est lui aussi fait voler son cartable! A l’intérieur, point de plans secrets, mais un compte-rendu médical d’un patient, un ordinateur et deux disques durs. Au total, 3 …
En savoir plus
Vous savez – pour certains, craignez – que la CNIL peut vous contrôler à tout moment. Voici ce qu’il faut savoir pour être prêt. Grosso modo, il peut être déclenché suite à une plainte ou une notification de violation de données, parce que vous entrez dans le champ du programme annuel ou suite à un autre contrôle (vérification ou contrôle « en cascade »). Ce contrôle peut …
En savoir plus
Cela avait fait couler beaucoup d’encre, il y a quelques années : l’assujettissement des GHT – et souvent de l’établissement support – à la législation HDS. La solution avait été proposée par la DGOS (Mémento RGPD – Sensibilisation au règlement général sur la protection des données à l’usage des directeurs d’établissement) : signer une convention de coresponsabilité pour écarter tout rapport de sous-traitance entre les …
En savoir plus
Le Flash DGSI de janvier 2024 est consacré aux risques associés au recours à des cabinets d’audit étrangers. A l’instar de ces bons vieux FISA et Cloud Act, nombre de législations étrangères ont pour effet, voire pour objet, de transmettre des informations confidentielles à des autorités extraeuropéennes. Face à un tel risque, comment vous protéger? Notre service de contre-espionnage rappelle l’existence d’une « loi de blocage », …
En savoir plus
Saviez-vous que l’exactitude des données est l’un des principes les plus délicats à mettre en œuvre dans le RGPD ? En règle générale, il peut être appréhendé de trois façons différentes. La plus évidente, pas la plus simple à gérer, est le cas où la personne exerce son droit de rectification. Ici, la personne doit démontrer l’inexactitude des données (NSA, 2 août 2023, n° III …
En savoir plus
« Mais… la donnée était accessible sur Internet ». La défense est classique. Son efficacité est… quasi illusoire. Elle est principalement rencontrée dans deux cas de figure : la collecte de données pour alimenter un traitement (IA, recherche, etc.) ou rassembler des informations sur des personnes déterminées (databroker, analyse d’opinions, etc.). Certes, le RGPD écarte effectivement l’interdiction de traiter des « données sensibles », lorsqu’elles ont été « manifestement rendues …
En savoir plus
Voici une affaire à suivre, par tout professionnel ou établissement de santé désireux d’accéder aux données conservées par un logiciel qu’il utilise (TJ Paris, 22 décembre 2023, RG n° 22/03126). Au centre, la question de leur possession – j’éprouve des difficultés à évoquer la propriété – et de leur exploitation. A la base, une situation assez classique. L’éditeur d’un logiciel de gestion d’officine (LGO) bloque …
En savoir plus