⚖️ C’est en tout cas en ce sens qu’a statué la Cour Administrative d’Appel de Paris, dans un récent arrêt : CAA Paris, 11 avril 2023, n° 22PA01320. 📢 L’intérêt de la solution – en apparence assez logique – tient à la façon dont la Cour a rédigé sa décision : « Il ne résulte pas de l’instruction et il n’est pas soutenu que ces professionnels …
En savoir plus
L’usage d’appareils personnels de ses agents ne suffit pas, en effet, à écarter la responsabilité de l’employeur. Comme le rappelait la CNIL en mars 2019, l’un des principaux risques tient à l’indisponibilité des données professionnelles dans le SI du responsable de traitement. Mais la confidentialité est également un sujet. Dans le domaine de la santé, c’est principalement le partage de données de santé via des …
En savoir plus
Un salarié peut, au titre de son droit à la preuve, obtenir copie de données personnelles relatives à ses collègues. La décision ne manquera pas d’étonner – pour ne pas dire choquer – les purs et durs du RGPD. Mais elle émane directement de la Cour de Cassation et paraît donc délicate à contester (Soc., 8 mars 2023, n° 21-12492). Et surtout, elle intervient moins …
En savoir plus
Voici un grief fréquemment retenu, en matière de protection des données : l’absence ou l’insuffisance des tests, aussi bien quant à la conformité que pour vérifier les mesures de sécurité. Et ces contrôles doivent être reconduits périodiquement, pour éviter la sanction, comme l’ont récemment rappelé les autorités de protection des données polonaise (UODO, 2 novembre 2022, Municipality of Dobrzyniewo Duże, n° DKN.5131.8.2022) et danoise (Datatilsynet, …
En savoir plus
Sauf à vivre dans « Le Bureau des Légendes » ou dans la version BCRA annoncée début février (et encore!), sécuriser l’accès à des dossiers papier constitue un challenge peut-être plus délicat encore que pour leur pendant numérique. C’est ce qu’a rappelé la CNIL roumaine en début d’année, en sanctionnant le responsable de traitement victime du vol du dossier administratif d’un salarié, entreposé sur une étagère. Loin …
En savoir plus
2019 s’est clos sur la polémique relative à l’incompatibilité présumée entre le RGPD et l’hébergement de données de santé, d’une part, et d’autre part, le Clarifying Lawful Overseas Use of Data Act. Le législateur des Etats-Unis d’Amérique a-t-il fait exprès de titrer sa loi de sorte à former l’acrostiche CLOUD qui fait directement écho à l’appellation anglo-saxonne de l’informatique en nuage ? Auquel cas, il n’a …
En savoir plus
Publié au journal officiel de ce matin, le décret n° 2019-1036 du 8 octobre 2019 vient modifier le cadre relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé (NIR-INS). Fort logiquement, le texte révise le calendrier et prévoit une application du dispositif à compter du 1er janvier 2021. Fort logiquement parce que la doctrine technique du …
En savoir plus
Alors que les ransomwares défraient la chronique avec deux cyberattaques d’envergure mondiale, la question des recours ouverts aux victimes ne semble que peu abordée. Et pourtant, qu’il soit financier, opérationnel, matériel et même pourquoi pas corporel – si un ransomware peut empêcher le fonctionnement d’un centre opérationnel des services ferroviaires, rien n’empêche d’envisager l’infection d’un équipement médical – le préjudice lié à ces outils d’extorsion …
En savoir plus
Voilà deux directives qui auront été transposées en droit français rapidement. Les directives 2014/24/UE et 2014/25/UE portant respectivement sur la passation des marchés publics et sur la passation de marchés par des entités opérant dans les secteurs de l’eau, de l’énergie, des transports et des services postaux, transposées par le décret n° 2014-1097 du 26 septembre 2014, ont en effet été adoptées par les instances …
En savoir plus