RGPD

Continuum de sécurité des données : quand les audits de conformité s’invitent chez vos cotraitants?
RGPD, Sécurité informatique par Da_pierre le 18/12/2024

Avec l’utilisateur lui-même (le récent enchainement des violations de données chez de grandes enseignes tient essentiellement à la réutilisation d’un mot de passe compromis), la chaîne de soustraitance est l’un des canaux les plus empruntés pour mener une cyber attaque. Comment s’en prémunir? Analyse de risques, vérifications des « garanties essentielles » et audit sont les mesures phares, évidemment. Mais insuffisantes, en droit comme en pratique. Dans …
En savoir plus
Manipulation prématurée des données, sanction à la clé?
RGPD par Da_pierre le 04/12/2024

Le mieux est l’ennemi du bien… et de la sécurité juridique. Voilà un employeur qui pensait bien faire en transmettant à l’équivalent bulgare de la DDTEP le projet de contrat proposé à un salarié. Malheureusement pour lui, la législation locale imposait la transmission du seul contrat signé, et non du projet. Saisie par la personne concernée, l’autorité de protection des données a rappelé à l’ordre …
En savoir plus
Usurpation d’identité : victime collatérale ou coupable, le dilemme du responsable de traitement
RGPD, Sécurité informatique par Da_pierre le 27/11/2024

Voici une décision à double tranchant de la CNIL espagnole. Dans les faits, un escroc met en place une fausse annonce d’emploi, récoltant ainsi photo d’identité et copie de justificatif d’identité. Ces éléments en main, il usurpe l’identité de sa victime et obtient un prêt. Le prêteur se voit alors accuser d’un manquement à l’obligation de sécurité (des mesures antifraude auraient dû être mises en …
En savoir plus
Le RGPD contraint-il les détenteurs de données à l’auto-incrimination?
RGPD par Da_pierre le 02/10/2024

Le RGPD contraint-il les détenteurs de données à l’auto-incrimination?Cela fait très série policière, mais le droit de ne pas contribuer à sa propre incrimination est protégé, en France, au travers de l’article 6 de la CEDH. L’objectif est clair : ne pas être contraint à fournir aux autorités des éléments qui pourraient être retournés contre la personne. Ce droit n’est toutefois pas absolu. Il est …
En savoir plus
RGPD et certification ISO : quel impact?
RGPD par Da_pierre le 21/08/2024

La certification ISO, c’est un peu la réponse tarte à la crème, en matière d’audit des garanties essentielles des sous-traitants et prestataires. A tel point que dans les dossiers de candidature qui peuvent m’être confiés pour certains jurys, nous sont régulièrement pointés des certifications : Le référentiel HDS donne du poids à la certification ISO27001Bon, s’il y a un domaine où la certification a un …
En savoir plus
Le maître mot du principe de responsabilité? La cohérence!
Droit des données, RGPD par Da_pierre le 13/08/2024

Il innerve la totalité du RGPD, sans que ses implications opérationnelles ne soient jamais décrites. Vous l’aurez deviné, je songe au principe de responsabilité. A moins que ce ne soit le titre 😉 Les sanctions prises au regard de l’article 5§2 du RGPD, suggérant que ce principe peut être décliné :➡️ techniquement : un dispositif technique doit ainsi permettre de confirmer ou d’infirmer l’effacement d’une …
En savoir plus
Si l’erreur est humaine, négliger le verrouillage automatique est fautif
Confidentialité, Donnée de santé, Droit de la santé, Droit des données, Droit des patients, Droit hospitalier, RGPD, secret médical, Sécurité informatique par Da_pierre le 07/08/2024

Malgré Pro Santé Connect, la Carte de Professionnel de Santé (CPS), ses variantes administratives et leur version dématérialisée, voire un simple couple identifiant / mot de passe restent souvent utilisées comme moyen d’identification électronique (MIE). Verrouillez systématiquement votre sessionEspérer que systématiquement, les utilisateurs récupèrent leur carte lorsqu’ils s’absentent, reviendrait à se voiler la face. Mais y a-t-il vraiment un risque? Un professionnel de santé italien …
En savoir plus
Au XXIe siècle, Paracelse eut été juriste RGPD, et non alchimiste
RGPD par Da_pierre le 17/07/2024

A partir de quand traite-t-on des données?Car l’examen de la jurisprudence en témoigne: tout est traitement, rien n’est traitement, c’est la dose qui fait le traitement! Illustration avec quelques cas récents, et parfois mal interprétés. Le 28 mars 2023, le Conseil d’Etat autrichien a ainsi considéré que des suppositions émises par des personnes – en l’absence de toute donnée – ne constituaient pas un traitement. …
En savoir plus
Cumul de manquements RGPD : Les autorités poussent-elles les limites ?
RGPD par Da_pierre le 12/06/2024

Une autorité de protection des données peut-elle sanctionner des faits déjà pénalement sanctionnés? La réponse varie, d’un Etat à l’autre. Le 8 décembre 2022, l’APD espagnole n’avait pas hésité à prononcer une amende administrative à l’encontre d’un mineur déjà sanctionné au pénal. A l’inverse, son homologue finlandaise estimait (le lendemain!) qu’elle n’était pas compétente si l’infraction était pénalement réprimable. La nuance est de taille : …
En savoir plus
Utiliser une messagerie pro pour des communications perso : une pratique courante, mais aux conséquences complexes
RGPD, Sécurité informatique par Da_pierre le 29/05/2024

La charte informatique constitue aussi bien une mesure de sécurité organisationnelle, au titre du RGPD, qu’un instrument disciplinaire, en droit du travail. Cette dualité n’est pas sans conséquence, pour l’employeur, comme pour le salarié. Ainsi, le droit du travail impose-t-il de permettre un usage personnel – raisonnable et licite – des moyens mis à disposition du salarié. Concrètement, il est ainsi autorisé à envoyer et …
En savoir plus