Saviez-vous que l’exactitude des données est l’un des principes les plus délicats à mettre en œuvre dans le RGPD ? En règle générale, il peut être appréhendé de trois façons différentes. La plus évidente, pas la plus simple à gérer, est le cas où la personne exerce son droit de rectification. Ici, la personne doit démontrer l’inexactitude des données (NSA, 2 août 2023, n° III …
En savoir plus
La sécurité des e-mails, c’est un peu l’arlésienne de la sécurité logique. Ou, dans un autre registre, le maillon faible. La plupart des utilisateurs de messagerie électronique ne se préoccupe absolument pas de la confidentialité de leurs échanges. Pourtant, si l’on compare un courriel à une carte postale, combien d’entre nous accepterait de faire transiter par la Poste les mêmes informations que ce qui transitent …
En savoir plus
A été validée l’utilisation de données de santé et du NIR dans le cadre d’une action en concurrence déloyale entre deux PSAD (CA Nîmes, 10 novembre 2023, RG n° 23-01298). Un PSDM reproche à un concurrent d’avoir détourné sa clientèle, après deux débauchages. Pour le prouver, il sollicite donc une « mesure d’instruction in futurum », reposant sur la recherche, par un huissier, d’une liste de patients …
En savoir plus
Dans un récent jugement (TA Bordeaux, 3 octobre 2023, n° 2004029), le Tribunal Administratif de Bordeaux a considéré que « l’incapacité d’un établissement de santé à communiquer aux experts judiciaires l’intégralité d’un dossier médical n’est pas, en tant que telle, de nature à établir l’existence de manquements fautifs dans la prise en charge du patient ». Les conséquences « médico-légales » de cette carence doivent être appréciées par le …
En savoir plus
Voilà une décision de la CNIL italienne particulièrement intéressante en ce qu’elle pointe le risque inhérent à une anonymisation par agrégation « insuffisante » (GPDP, 18 juillet 2023, Azienda Ospedaliera Universitaria Careggi, n° 9920977). Le RGPD ne s’applique pas aux données anonymes. Mais il s’applique à l’anonymisation… et peut y survivre. L’anonymat est difficile à établir. Dans cette décision de 2023, l’autorité italienne exige ainsi que le …
En savoir plus
Considérée comme une règle essentielle à la démocratie, à telle point qu’elle fut érigée en devoir pour le Gouvernement, en 2012, la transparence cède du terrain, en pratique, et ce dans un objectif de conciliation avec les droits des tiers et les impératifs de l’action publique. Le Conseil d’Etat autrichien a ainsi limité la portée de l’obligation, pour le responsable de traitement, d’expliquer la logique …
En savoir plus
Voilà une décision de l’APD berlinoise qui aurait pu relever du cas d’école, mais qui in fine a débouché sur une amende de 215 000,00 euros (https://www.datenschutz-berlin.de/pressemitteilung/informationen-ueber-beschaeftigte-in-der-probezeit/). Pour sélectionner les salariés dont la période d’essai pourrait se terminer favorablement, l’employeur n’a pas hésité à collecter des données relatives à la santé mentale des salariés, ainsi qu’à la probabilité de les voir adhérer à un syndicat. …
En savoir plus
En janvier 2018, la CNIL avait distingué trois types de données de santé: par nature, par croisement ou par destination. Près de six ans plus tard, on peut se demander si cette distinction a toujours un sens, alors que les décisions des juridictions et autorités de protection des données se contredisent, divergent ou multiplient les exceptions lorsqu’il s’agit de qualifier une donnée comme étant relative …
En savoir plus
Ils avaient pour certains été désignés OIV, pour d’autres OSE et plus encore sont en passe de devenir des entités sinon essentielles, à tout le moins importantes. Les établissements de santé sont probablement en passe de tous être considérés comme des responsables de « traitements critiques ». Durant l’été, la CNIL a publié un projet de recommandation relative à la sécurité de ces traitements. Sont notamment concernés …
En savoir plus
S’assurer de l’identité de la personne concernée n’est pas une sinécure. Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou …
En savoir plus