RGPD

L’employeur n’est pas responsable de traitement pour les messages « Privé » des salariés
RGPD par Da_pierre le 17/05/2023

Si la messagerie électronique professionnelle est utilisée à des fins personnelles, l’employeur n’est pas responsable de traitement des données ainsi traitées par le salarié. C’est la conclusion de la « CNIL islandaise », le 19 octobre 2022, comme le rapporte GDPRHub. Cette conclusion – de bon sens – s’inscrit dans la droite ligne de la position du CEPD (Guidelines 07/2020 on the concepts of controller and processor …
En savoir plus
L’atteinte résultant d’une consultation illicite du dossier médical suppose la démonstration d’un accès audit dossier, en dehors des règles
Confidentialité, Donnée de santé, Droit des données, Droit des patients, Droit hospitalier, RGPD, secret médical, Sécurité informatique par Da_pierre le 10/05/2023

⚖️ C’est en tout cas en ce sens qu’a statué la Cour Administrative d’Appel de Paris, dans un récent arrêt : CAA Paris, 11 avril 2023, n° 22PA01320. 📢 L’intérêt de la solution – en apparence assez logique – tient à la façon dont la Cour a rédigé sa décision : « Il ne résulte pas de l’instruction et il n’est pas soutenu que ces professionnels …
En savoir plus
Mieux vaut ne pas sous-estimer la différence entre anonymat et pseudonymat dans le RGPD
Donnée de santé, Droit des données, Droit des patients, Pseudonymat, RGPD par Da_pierre le 29/03/2023

C’est pourtant ce qui a été reproché à deux organismes de recherche français et au gestionnaire du registre du cancer de Hambourg, récemment. Le second s’est ainsi vu rappeler que même hachée au moyen d’un procédé irréversible, la donnée conserve un caractère personnel. La décision est logique : elle s’inscrit dans la lignée de la jurisprudence de la CEDH (S. et Marper c/ Royaume-Uni, 2008). …
En savoir plus
Clés USB perdues et données « sensibles » exposées : comment éviter les sanctions ?
cybersécurité, Droit des données, RGPD, Sécurité informatique par Da_pierre le 22/03/2023

Forces de l’ordre et juridictions, bien qu’on en parle peu, ne sont pas exonérées du respect du RGPD, ou de sa petite soeur, la directive Police-Justice. L’autorité de protection des données polonaise a ainsi prononcé une amende à l’encontre d’une juridiction, dont les membres avaient perdu trois clés USB, non chiffrées, contenant des projets de jugement. Le montant de l’amende prononcée semble – de l’ordre …
En savoir plus
Le RGPD, nouvel allié de l’assurance maladie pour lutter contre l’optimisation du codage PMSI?
Accès au dossier médical, RGPD par Da_pierre le 13/02/2023

Les établissements de santé qui optimisent le codage PMSI pour améliorer les résultats de la #T2A savent depuis longtemps maintenant qu’ils se doivent d’encadrer les prestataires susceptibles d’accéder aux données de santé. Une décision de la « CNIL finnoise » du 9 décembre dernier soulève un nouveau point auquel ils devraient désormais faire attention, dans ce cadre. L’autorité de protection des données finlandaises a sanctionné un responsable …
En savoir plus
Lorsqu’un escroc vide un compte bancaire, pourquoi ne pas attaquer l’opérateur de téléphonie, sur la base d’un manquement à la sécurité?
cybersécurité, RGPD, Sécurité informatique par Da_pierre le 09/02/2023

Le SIM swapping est à la mode, ces dernières années. A tel point que la Commission de Terminologie lui a fait les honneurs d’une traduction, le 19 mars 2022. Pour mémoire, cette attaque par usurpation de carte SIM consiste à détourner les SMS d’authentification double facteur (ou 2FA) pour pouvoir accéder au compte de la victime. Les victimes se retournent souvent contre leur établissement bancaire, …
En savoir plus
La CNIL espagnole sanctionne un ado de 16 ans pour chantage aux photos intimes
Confidentialité, RGPD par Da_pierre le 02/02/2023

Les faits sont malheureusement de plus en plus banals. Un ado de 16 ans noue une relation avec une de 13 ans, qui lui adresse des photos intimes. Le plus âgé fait ensuite chanter la plus jeune en la menaçant d’une publication sur les réseaux sociaux. L’AEPD considère que le RGPD s’applique. Elle va jusqu’à viser l’article 2§1 intitulé « Champ d’application matériel ». Mais …
En savoir plus
La CNIL anglaise admettrait l’utilisation d’un OS n’étant plus supporté, si des mesures palliatives étaient prises
cybersécurité, RGPD, Sécurité informatique par Da_pierre le 30/01/2023

C’est tout du moins ce qu’il semble résulter d’une lecture a contrario d’une décision Interserve Group Limited de l’Information Commissioner’s Office (ICO), du 24 octobre 2022. Il était reproché au responsable de traitement d’avoir recours au système d’exploitation Microsoft Server 2003 R2, dont le support avait définitivement pris fin en 2015. Dans ce genre de situation, le plus simple est de changer d’OS. Mais ce …
En savoir plus
Le droit d’accès impose de transmettre à la personne concernée tous les documents lui étant relatifs
Droit des données, RGPD par Da_pierre le 26/01/2023

Enfin, c’est la position d’un juge italien, dans un débat houleux quant à savoir ce qu’il faut entendre par la possibilité d’obtenir une « copie » des données. L’autre camp considère que le droit d’accès ne constitue pas un droit à communication des documents (par exemple et pour la CNIL). Pour mémoire, sous l’empire de la directive 95/46, la CJUE faisait partie de cet autre camp. La …
En savoir plus
Déposer un colis à un voisin, sans le consentement du destinataire, constitue un manquement à la sécurité
RGPD, Sécurité informatique par Da_pierre le 23/01/2023

L’autorité de protection des données espagnole a ainsi condamné UPS au paiement d’une amende de 50 000,00 euros, après avoir requalifié le transporteur en responsable de traitement. Ajoutons que dès lors que le consentement doit être libre, éclairé et spécifique, une clause contractuelle ne devrait pas permettre aux transporteurs de régler la question …
En savoir plus