RGPD

Vers une application plus mesurée du RGPD et la fin des escroqueries?
RGPD par Da_pierre le 13/12/2023

Je n’ai pas pris le temps de parcourir les rapports annuels de toutes les autorités de protection des données de l’UE, je vous le concède. Pour autant, il me semble raisonnable de parier que chacune note une augmentation du nombre de plaintes. Et il en va de même pour les juridictions judiciaires et administratives, de plus en plus sollicitées sur le sujet. Toutes les réclamations …
En savoir plus
HDS, LBM, SIH, MSP… : les défis de la contractualisation avec les auditeurs sanitaires?
Hébergeur, RGPD, SIH par Da_pierre le 06/12/2023

Dans un monde où les certifications, accréditations et autres labellisations sanitaires (LBM, HDS, LAP, SNS, SIH, MSP…) deviennent omniprésentes, comment les auditeurs s’adaptent-ils au RGPD ? Car en pratique, les audits conduisent ou peuvent conduire à prendre connaissance de données personnelles. Pour la certification des comptes, le traitement de données de santé est même expressément prévu par le Code de la Santé Publique. Surgit alors …
En savoir plus
Éviter le RGPD : une stratégie aussi risquée qu’aléatoire
RGPD par Da_pierre le 29/11/2023

Pensez-vous vraiment possible de contourner le RGPD sans risque ? Pour y « échapper », certains acteurs n’hésitent pas à mettre en place des organisations ou des systèmes compliqués. Le plus classique – et qui est régulièrement contrecarré par l’analyse juridique – consiste à s’interdire de collecter des données directement, voire indirectement, identifiantes pour revendiquer l’anonymat. Une autre solution, fréquemment rencontrée, consiste à alléguer une absence de …
En savoir plus
Données de santé : votre politique de confidentialité est-elle un bouclier ou un piège juridique?
Accès au dossier médical, Donnée de santé, Droit de la santé, Droit des données, Droit des patients, RGPD, secret médical par Da_pierre le 22/11/2023

A été validée l’utilisation de données de santé et du NIR dans le cadre d’une action en concurrence déloyale entre deux PSAD (CA Nîmes, 10 novembre 2023, RG n° 23-01298). Un PSDM reproche à un concurrent d’avoir détourné sa clientèle, après deux débauchages. Pour le prouver, il sollicite donc une « mesure d’instruction in futurum », reposant sur la recherche, par un huissier, d’une liste de patients …
En savoir plus
L’anonymisation des données n’écarte pas le RGPD… Elle retarde son application
Confidentialité, cybersécurité, Droit des données, RGPD par Da_pierre le 08/11/2023

Voilà une décision de la CNIL italienne particulièrement intéressante en ce qu’elle pointe le risque inhérent à une anonymisation par agrégation « insuffisante » (GPDP, 18 juillet 2023, Azienda Ospedaliera Universitaria Careggi, n° 9920977). Le RGPD ne s’applique pas aux données anonymes. Mais il s’applique à l’anonymisation… et peut y survivre. L’anonymat est difficile à établir. Dans cette décision de 2023, l’autorité italienne exige ainsi que le …
En savoir plus
Pas de shrinkflation pour la sécurité des hopitaux: NIS2, MATURIN-H… et maintenant une recommandation CNIL
cybersécurité, Donnée de santé, Droit de la santé, Droit des données, Hébergeur, RGPD, Sécurité informatique, SIH par Da_pierre le 13/09/2023

Ils avaient pour certains été désignés OIV, pour d’autres OSE et plus encore sont en passe de devenir des entités sinon essentielles, à tout le moins importantes. Les établissements de santé sont probablement en passe de tous être considérés comme des responsables de « traitements critiques ». Durant l’été, la CNIL a publié un projet de recommandation relative à la sécurité de ces traitements. Sont notamment concernés …
En savoir plus
Responsabilité RGPD : La ligne fine entre le manquement non intentionnel et l’incident
Responsabilité, RGPD par Da_pierre le 30/08/2023

En cas de manquement RGPD, le responsable peut-il s’exonérer de sa responsabilité? Difficilement, voire quasiment pas, au regard du principe de responsabilité. Conséquence directe, le caractère non-intentionnel, involontaire de la violation est sans effet (AEPD, Free Energy, n° PS-00099-2022 ; Délibération de la formation restreinte n° SAN-2022-023 du 19 décembre 2022). De la même façon, les faits commis par un membre du personnel, sans instruction …
En savoir plus
RGPD au tribunal: les dilemmes du responsable de traitement
RGPD par Da_pierre le 23/08/2023

A l’instar du dépositaire du secret professionnel, un responsable de traitement peut se retrouver devant une alternative dans le cadre d’une procédure judiciaire. Peut-il ou non transmettre des données lui étant demandées par un juge ou pour sa défense? La Cour de Cassation a répondu positivement à la 1ère branche de cette interrogation, dans un arrêt remarqué du 8 mars 2023 (Soc., 8 mars 2023, …
En savoir plus
Fiabilité de l’authentification et facilitation des droits RGPD : marcher sur la corde raide
Droit des données, RGPD, Sécurité informatique par Da_pierre le 16/08/2023

S’assurer de l’identité de la personne concernée n’est pas une sinécure. Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou …
En savoir plus
Les chercheurs respirent : être 1er auteur ne signifie pas être responsable de traitement
Recherche médicale, RGPD par Da_pierre le 19/07/2023

Pour l’autorité de protection des données islandaise, le fait pour un membre du personnel d’un sous-traitant, participant à un recherche dans le domaine de la santé, d’être le 1er auteur d’un article sur le sujet de ladite recherche ne suffit pas à requalifier le sous-traitant en responsable de traitement (Persónuvernd, 8 septembre 2022, deCode Genetics, n° 2020123091). La décision rassure le chercheur. Elle surprend le …
En savoir plus