Pour l’autorité de protection des données islandaise, le fait pour un membre du personnel d’un sous-traitant, participant à un recherche dans le domaine de la santé, d’être le 1er auteur d’un article sur le sujet de ladite recherche ne suffit pas à requalifier le sous-traitant en responsable de traitement (Persónuvernd, 8 septembre 2022, deCode Genetics, n° 2020123091). La décision rassure le chercheur. Elle surprend le …
En savoir plus
Le droit disciplinaire n’échappe pas au RGPD. Constitutif d’une mesure de sécurité – la CNIL impose qu’il soit évoqué dans la charte informatique – ou d’un aveu de manquement à l’article 32 (AEPD, 14 novembre 2022, Ministre régional de la santé de Madrid), il est également « assujetti » au droit à la protection des données. En tout cas pour des personnes autres que les magistrats, si …
En savoir plus
En matière de sécurité informatique, « l’interface chaise/clavier » – comprendre l’utilisateur – constitue fréquemment le point d’entrée de l’incident. Pour réduire cette source de risque, différentes mesures peuvent être prises. Certaines sont d’ordre logique. Des dispositifs de contrôle et de surveillance de l’utilisation des outils informatiques, et notamment d’Internet et de la messagerie électronique, sont ainsi fréquemment mis en place. D’autres sont organisationnelles. Faut-il encore évoquer …
En savoir plus
Le 9 mars dernier, le Conseil d’Etat enjoignait au Gouvernement de clarifier les conditions d’accès aux dossiers médicaux par les commissaires aux comptes (CAC) et prestataires externes aidant à l’optimisation du PMSI (CE, 9 mars 2023, n° 468007). Trois mois et demi plus tard, les éclaircissements ont été publiés au Journal Officiel. Cette rare célérité des pouvoirs publics – le décret initial avait été annulé …
En savoir plus
L’article 82 du RGPD permet à la personne concernée subissant un dommage du fait d’un manquement au RGPD de solliciter la réparation de son préjudice. Régulièrement actionné dans certains Etats membres de l’UE, le dispositif en est à ses balbutiements en France. Deux récentes décisions de Cour d’Appel ont ainsi rejeté les demandes d’indemnisation, faute de preuve du préjudice subi (CA Pau, Ch. sociale, 1 …
En savoir plus
Destinée à actualiser la doctrine « Cloud au centre » de l’Etat, la circulaire n° 6404/SG pose 15 règles que l’Etat et les organismes placés sous sa tutelle devront respecter. Etant rattachés à l’Etat, les établissements de santé publics sont concernés. Et nul doute que c’est, au moins en partie, en considération de cela que la règle n° 9 a été élaborée. Elle commence par imposer la …
En savoir plus
Le CCNE et le CNPEN ont mis en ligne un avis commun relatif aux plateformes de partage des données de santé. Il martèle l’incessibilité des données de santé et les deux instances auto-saisies en concluent que la condition préalable à la cession de données de santé serait leur anonymisation. En pratique, force est de constater que ces cessions restent monnaie courante – et ce dans …
En savoir plus
Le Tribunal de l’Union Européenne a considéré, le 26 avril 2023, que le caractère anonyme ou non d’une donnée devait se mesurer à l’aune : 1) du seul destinataire desdites données : la possibilité pour un tiers d’identifier la personne n’entrerait ainsi pas en ligne de compte; 2) des moyens légaux et réalisables en pratique, dont il dispose pour identifier les personnes concernées. Et ce …
En savoir plus
Si la messagerie électronique professionnelle est utilisée à des fins personnelles, l’employeur n’est pas responsable de traitement des données ainsi traitées par le salarié. C’est la conclusion de la « CNIL islandaise », le 19 octobre 2022, comme le rapporte GDPRHub. Cette conclusion – de bon sens – s’inscrit dans la droite ligne de la position du CEPD (Guidelines 07/2020 on the concepts of controller and processor …
En savoir plus
⚖️ C’est en tout cas en ce sens qu’a statué la Cour Administrative d’Appel de Paris, dans un récent arrêt : CAA Paris, 11 avril 2023, n° 22PA01320. 📢 L’intérêt de la solution – en apparence assez logique – tient à la façon dont la Cour a rédigé sa décision : « Il ne résulte pas de l’instruction et il n’est pas soutenu que ces professionnels …
En savoir plus