C’est tout du moins ce qu’il semble résulter d’une lecture a contrario d’une décision Interserve Group Limited de l’Information Commissioner’s Office (ICO), du 24 octobre 2022. Il était reproché au responsable de traitement d’avoir recours au système d’exploitation Microsoft Server 2003 R2, dont le support avait définitivement pris fin en 2015. Dans ce genre de situation, le plus simple est de changer d’OS. Mais ce …
En savoir plus
L’autorité de protection des données espagnole a ainsi condamné UPS au paiement d’une amende de 50 000,00 euros, après avoir requalifié le transporteur en responsable de traitement. Ajoutons que dès lors que le consentement doit être libre, éclairé et spécifique, une clause contractuelle ne devrait pas permettre aux transporteurs de régler la question …
En savoir plus
La CNIL a appelé, le 14 novembre 2022, à l’élaboration d’un cadre pour la transmission des données de santé aux OCAM, notamment au regard du secret professionnel. Admettons qu’une clarification soit nécessaire. Plusieurs points posent problème: 1) Le cadre relatif au secret professionnel n’a pas évolué, depuis l’entrée en vigueur du RGPD : pourquoi le problème n’est-il soulevé que maintenant? 2) La CNIL est saisie …
En savoir plus
Certaines situations semblent en pratique assez faciles à gérer. Le Conseil d’Etat a ainsi considéré que faute de participer à la prise en charge du malade, un le médecin-conseil d’une assurance ne pouvait adresser son rapport à un expert judiciaire, et ce alors que le malade s’y était opposé (CE, 15 novembre 2022, n° 441387). Logique sur le plan juridique, la situation peut être traitée …
En savoir plus
C’est en ce sens qu’à trancher la « CNIL portugaise« , considérant que la présence d’un mot de passe à l’ouverture du fichier n’écartait pas le manquement. La commission lusitanienne, en expliquant les motifs de sa décision, ouvre toutefois une piste de réflexion pour permettre l’utilisation de cet outil bureautique. Elle reproche en effet au système de fichier de ne pas journaliser les accès, consultations et modifications …
En savoir plus
Dans la vie, il y a le droit et la pratique. Et force est de considérer que souvent, la pratique prend le pas sur le droit. Qui peut prétendre respecter le droit tout au long de leur journée ? Hier, êtes-vous certain de n’avoir pris que des passages piétons, et ce au feu vert ? En matière d’HDS, il y a le droit, la pratique… et le …
En savoir plus
Les sanctions prononcées par la formation restreinte de la CNIL depuis l’entrée en application du RGPD mettent en évidence une contestation systématique de la régularité de la procédure suivie. En droit, rien d’étonnant. Etant administrative, la sanction est susceptible d’un recours en excès de pouvoir. Et en la matière, même si les arguments sont voués à l’échec, il est classique d’attaquer la régularité formelle. …
En savoir plus
Mon précédent billet revenait sur l’impossibilité pour les pouvoirs publics d’imposer le respect d’une norme, d’un standard, d’un code de conduite payant ou de s’y référer dans un texte réglementaire. Cette règle découle directement du principe de sécurité juridique. La loi est déjà suffisamment complexe et évolutive sans qu’en plus les assujettis soient obligés de payer pour en prendre connaissance. La problématique est que l’Union …
En savoir plus
Depuis quelques années, les procédures de certification se multiplient dans la législation sanitaire. Il y avait déjà eu les laboratoires de biologie médicale, les logiciels d’aide à la prescription et à la dispensation, l’hébergement de données de santé. La loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé a poursuivi en prévoyant notamment la certification des …
En savoir plus
Le cadre européen de la cybersécurité n’en finit pas de s’en renforcer. Après le RGPD pour les données à caractère personnelles, la directive NIS pour les services dans le nuage, le règlement relatif aux dispositifs médicaux intégrant la sécurité dans les exigences essentielles, voici le règlement relatif à l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, et à la certification de cybersécurité des technologies de …
En savoir plus