Dernières actualités : données personnelles

Datatilsynet (autorité norvégienne)

Norvège: l’autorité poursuit l’enquête sur l’utilisation de données de santé par des hôpitaux

Depuis le lancement de la solution de dossier médical qui communique entre les différents niveaux de responsabilité appelée « plateforme de santé » en mai 2022, l’autorité norvégienne de protection des données a reçu de nombreux rapports concernant des atteintes à la sécurité des données à caractère personnel (appelés « rapports de déviation »). Au vu de l’envergure du système, l’autorité indique qu’elle s’attendait à ce que certaines déviations se produisent au cours du déploiement, ce qui explique pourquoi elle a choisi, dans un premier temps, de suivre l’évolution de la situation de manière continue. Toutefois, compte tenu du nombre total de non-conformités, où les erreurs sont plus ou moins graves, elle a finalement de procéder à un audit de la plateforme de santé.

En particulier, dans la suite de contrôles réalisés en mai  l’autorité norvégienne a annoncé de nouveaux audits de la plateforme de santé à l’hôpital St. Olavs HF et à la municipalité de Melhus. Lors de ces audits qui auront lieu le 22 et 23 octobre, il s’agira d’éxaminer plus en détail si les mesures techniques et organisationnelles mises en œuvre par les entreprises répondent aux exigences en matière de sécurité des données à caractère personnel. Les thèmes principaux sont la gestion des accès et la gestion des non-conformités, et nous examinerons les responsabilités, les routines, l’organisation technique et la fonction opérationnelle à un niveau plus élevé.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

la DPC lance une enquête sur le modèle d’IA de Google

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête statutaire transfrontalière sur Google Ireland Limited (Google) en vertu de l’article 110 de la loi sur la protection des données de 2018. L’enquête statutaire porte sur la question de savoir si Google a respecté les obligations qu’elle pouvait avoir de procéder à une évaluation, conformément à l’article 35 du règlement général sur la protection des données (évaluation d’impact sur la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Législatives 2024 : le bilan de l’observatoire des élections de la CNIL

Malgré une campagne électorale éclair, la CNIL a enregistré 270 signalements pour le premier tour, à l’issue duquel 8 candidats ont concentré 37 % des signalements, et 192 sollicitations pour le second tour, au cours duquel 8 autres candidats en ont représenté 52 %. La tendance du recours au SMS comme canal de prospection privilégié des partis politiques et des candidats se confirme, distançant largement les modes de prospection traditionnels :

* SMS : 268 signalements (59 %)
* Courriel : 77 signalements (17 %)
* Courrier : 74 signalements (16 %)
* Appel téléphonique : 11 signalements (3 %)
* Autre : 21 signalements (5 %)

Disponible sur: CNIL.fr

Conseil de l’Union Européenne

Protection des données : Le Conseil adopte une position sur les règles d’application du RGPD

Le Conseil de l’UE est parvenu, ce 13 juin 2024,  à un accord sur la position commune des États membres concernant une nouvelle loi qui améliorera la coopération entre les autorités nationales chargées de la protection des données lorsqu’elles appliquent le règlement général sur la protection des données (RGPD).

Selon le communiqué, une fois adopté, le règlement fournira notamment des outils permettant d’accélérer le processus de traitement des plaintes transfrontalières déposées par des citoyens ou des organisations, ainsi que les enquêtes de suivi. Ceci est notamment dû à l’harmonisation des conditions de recevabilité d’une action transfrontalière. Partout dans l’UE où un citoyen dépose une plainte relative à un traitement transfrontalier de données, la recevabilité sera jugée sur la base des mêmes informations. Il clarifie également les délais et les étapes de la procédure d’enquête et d’adoption d’un avis contraignant par le Comité européen de la protection des données (CEPD), l’organisation qui réunit toutes les autorités nationales chargées de la protection des données, en cas de désaccord entre les autorités chargées de la protection des données. Enfin, le nouveau règlement harmonisera les exigences et les procédures permettant au plaignant d’être entendu en cas de rejet d’une plainte et fournira des règles communes sur l’implication du plaignant dans la procédure.

En quelques mots, la position du Conseil maintient l’orientation générale de la proposition de règlement mais modifie le projet sur les points suivants :
* Des délais plus clairs : les États membres introduisent des délais spécifiques qui visent à accélérer le processus de coopération ;
* Coopération renforcée et efficace : le Conseil soutient la nouvelle procédure de coopération renforcée entre les autorités chargées de la protection des données, mais prévoit également la possibilité de ne pas appliquer toutes les règles supplémentaires lorsqu’une affaire est plus simple et plus directe. Cela permet aux autorités chargées de la protection des données d’éviter la charge administrative et d’agir rapidement dans les cas non litigieux et de tirer parti des règles de coopération supplémentaires nouvellement introduites pour les enquêtes plus complexes.
* Mécanisme de résolution rapide : le Conseil introduit un mécanisme de résolution anticipée qui permet aux autorités de résoudre une affaire avant d’entamer les procédures standard de traitement d’une plainte transfrontalière. Cela peut être le cas lorsque l’entreprise ou l’organisation en question a remédié à l’infraction ou lorsqu’un règlement à l’amiable de la plainte a été trouvé.

Disponible (en anglais) sur: consilium.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Modifications des traitements de données soumis à formalités : quelles démarches ?

Certains traitements de données de santé, soumis à des formalités préalables auprès de la CNIL, sont susceptibles d’évoluer avec le temps. Tel est également le cas des arrêtés relatifs à des traitements ayant un objet pénal, ou encore de tout texte de niveau décret ou supérieur prévoyant les caractéristiques essentielles d’un traitement de données à caractère personnel. Si les modifications ont un impact substantiel sur les modalités de mise en œuvre du traitement ou les droits des personnes, elles peuvent nécessiter l’accomplissement de nouvelles démarches auprès de la CNIL. Afin d’aider les responsables de traitement concernés (principalement des administrations centrales) à identifier et à accomplir ces démarches, la CNIL a publié ce jour une fiche pratique.

Disponible sur: CNIL.fr

CNIL

Les groupes détenteurs de règles d’entreprise contraignantes (BCR) approuvées par la CNIL

L’approbation des règles d’entreprise contraignantes (BCR) résulte d’une démarche d’accompagnement mise en œuvre par la CNIL. Les groupes détenteurs ont la charge de mettre en place, en pratique, les obligations issues des BCR. La CNIL revient sur leur fonctionne et vous propose également de consulter la liste des groupes utilisant ce mécanisme.

Disponible sur: CNIL.fr

Retour en haut