Sécurité informatique

Fin de sous-traitance RGPD : Une zone de risque sous-estimée?
RGPD, Sécurité informatique par Da_pierre le 03/04/2024

Voici une décision d’une juridiction munichoise qui donne à réfléchir en ce qui concerne l’encadrement des fins de sous-traitance RGPD. Le texte impose aux parties de prévoir la restitution ou l’effacement des données. Mais au cas d’espèce, jugé le 9 février 2023 et rectifié le 14 mars suivant, le client d’un prestataire cloud s’est vu reprocher, alors que le contrat avait été résilié, de n’avoir …
En savoir plus
A quand le retour des cartables menottés au poignet?
Droit hospitalier, secret médical, Sécurité informatique par Da_pierre le 28/02/2024

C’est en tout cas ce que l’on peut se demander, à la lecture d’une décision impliquant un directeur de clinique finlandaise tout aussi embarrassé que la Ville de Paris (Tietosuojavaltuutetun toimisto, 15 novembre 2022, n° 4022/171/22). Il s’est lui aussi fait voler son cartable! A l’intérieur, point de plans secrets, mais un compte-rendu médical d’un patient, un ordinateur et deux disques durs. Au total, 3 …
En savoir plus
ePrescription : peut-être eût-il fallu exclure les ordonnances « anonymes »?
cybersécurité, Donnée de santé, Droit de la santé, Droit des patients, e-santé, RGPD, secret médical, Sécurité informatique par Da_pierre le 27/12/2023

Vous l’avez sans doute vu passer. Le décret sur l’e-prescription est paru la semaine dernière. Il revient notamment sur les prescriptions en matière d’IVG. Dans cette situation, les patientes ont le droit au secret, aux fins de préserver leur anonymat. Le décret tente de le transposer. Mais le Gouvernement a-t-il vraiment atteint l’objectif? Le texte se borne en effet à prévoir une restriction d’accès à …
En savoir plus
Compliance et sécurité : la personne concernée peut-elle accorder une dérogation?
cybersécurité, secret médical, Sécurité informatique par Da_pierre le 11/10/2023

La personne concernée peut-elle délier le responsable de traitement de son obligation de sécurité? Une comparaison avec un sujet proche, celui du secret professionnel, devrait conduire à une réponse négative (Crim., 8 avril 1998, n° 97-83656). La CADA, dans un avis un chouïa plus récent, avait rappelé que le choix du patient de recevoir par email son dossier médical n’exonérait pas l’hôpital de ses obligations …
En savoir plus
RGPD : de la paperasse, de la cybersécurité, mais aussi du bon sens et du pragmatisme
Sécurité informatique par Da_pierre le 27/09/2023

Ne nous mentons pas. Pour bon nombre de ses détracteurs, le RGPD se résume à beaucoup de paperasses et des dépenses – et non des investissements – dans la cybersécurité. Voilà une décision de l’APD belge établissant clairement que la sécurité ne se limite pas au « cyber » et que le pragmatisme peut garder de la « procédurite ». En l’occurrence, le responsable de traitement poursuivi avait de …
En savoir plus
Pas de shrinkflation pour la sécurité des hopitaux: NIS2, MATURIN-H… et maintenant une recommandation CNIL
cybersécurité, Donnée de santé, Droit de la santé, Droit des données, Hébergeur, RGPD, Sécurité informatique, SIH par Da_pierre le 13/09/2023

Ils avaient pour certains été désignés OIV, pour d’autres OSE et plus encore sont en passe de devenir des entités sinon essentielles, à tout le moins importantes. Les établissements de santé sont probablement en passe de tous être considérés comme des responsables de « traitements critiques ». Durant l’été, la CNIL a publié un projet de recommandation relative à la sécurité de ces traitements. Sont notamment concernés …
En savoir plus
Fiabilité de l’authentification et facilitation des droits RGPD : marcher sur la corde raide
Droit des données, RGPD, Sécurité informatique par Da_pierre le 16/08/2023

S’assurer de l’identité de la personne concernée n’est pas une sinécure. Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou …
En savoir plus
3 règles de sécurité à respecter pour des vacances sans violation de données
cybersécurité, Sécurité informatique par Da_pierre le 26/07/2023

1) Ne pas laisser l’ordinateur sans surveillance (dans le train ou la voiture, par exemple) : les photos de PC « abandonnés » le temps d’une pause café sont désormais un grand classique (vraisemblablement constitutif d’un traitement de données… A bon entendeur). Pour éviter aussi bien cet affichage que le vol ou un piratage, mieux vaut donc ne jamais le laisser sans surveillance. Si le pire arrive, …
En savoir plus
🤔 Et si la confidentialité des données de l’entreprise passait par l’information de ses salariés?
cybersécurité, Sécurité informatique par Da_pierre le 05/07/2023

En matière de sécurité informatique, « l’interface chaise/clavier » – comprendre l’utilisateur – constitue fréquemment le point d’entrée de l’incident. Pour réduire cette source de risque, différentes mesures peuvent être prises. Certaines sont d’ordre logique. Des dispositifs de contrôle et de surveillance de l’utilisation des outils informatiques, et notamment d’Internet et de la messagerie électronique, sont ainsi fréquemment mis en place. D’autres sont organisationnelles. Faut-il encore évoquer …
En savoir plus
Informatique en nuage, la doctrine de l’Etat s’affine… ou s’étiole
Confidentialité, cybersécurité, Donnée de santé, Droit de la santé, Droit des données, Hébergeur, RGPD, Sécurité informatique, SIH par Da_pierre le 14/06/2023

Destinée à actualiser la doctrine « Cloud au centre » de l’Etat, la circulaire n° 6404/SG pose 15 règles que l’Etat et les organismes placés sous sa tutelle devront respecter. Etant rattachés à l’Etat, les établissements de santé publics sont concernés. Et nul doute que c’est, au moins en partie, en considération de cela que la règle n° 9 a été élaborée. Elle commence par imposer la …
En savoir plus