Dernières actualités : données personnelles

GPDP (autorité italienne)

La vérification d’un vaccin non obligatoire ne justifie pas le traitement de données de santé

Dans un communiqué de presse publié ce 28 mai 2024, l’autorité italienne annonce avoir envoyé une demande d’information à la région des Pouilles sur le projet de loi introduisant l’obligation pour les élèves des collèges, lycées et universités de présenter un certificat de vaccination contre le virus du papillome (HPV) pour s’inscrire aux cours de formation correspondants, rappelant au passage que le règlement européen établit une interdiction générale de traitement des données de santé, sauf dérogations spécifiques.  L’autorité souligne également que, sur la base de la législation sectorielle, le certificat de vaccination ne peut être demandé par le personnel de l’école que dans les cas de vaccinations obligatoires.

L’autorité annonce enfin que « compte tenu de la sensibilité particulière de l’initiative, qui concerne également des élèves mineurs, la Garante a donc invité la Région à fournir, dans un délai de 30 jours, toute information utile à l’appréciation du dossier ».

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

Agence du numérique en santé (via Légifrance)

Publication du nouveau référentiel « HDS », c’est-à-dire les règles à respecter pour l’hébergement des données de santé

Le 16 mai dernier, a été publié au Journal Officiel la dernière version du référentiel de l’agence du numérique en santé concernant l’hébergement des données de santé. D’après les évolutions telles que présentées dès décembre 2023 par l’ANS, ette nouvelle version du référentiel de certification HDS permet de :

  • Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
  • Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
  • Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
  • Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La publication de cet arrêté approuvant la version révisée du référentiel marque la fin d’une période de 3 mois suivant sa notification à la Commission européenne. Les organismes certificateurs bénéficient désormais d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.

Disponible sur : legifrance.gouv.fr

CNIL

Participez à la concertation sur les référentiels santé et faites connaître vos priorités

La CNIL souhaite faire évoluer les référentiels « santé » en concertation avec les acteurs concernés. Elle lance ainsi une consultation, ouverte jusqu’au 12 juillet 2024, pour recueillir votre avis et construire collectivement les référentiels de demain. Pour répondre à vos questions, un webinaire sera également organisé le 21 mai.

Disponible sur: CNIL.fr

CNIL

Parasport : la collecte des données concernant la situation de handicap du sportif

Les acteurs de l’écosystème du sport sont amenés, dans certaines circonstances, à traiter des données personnelles indiquant qu’un sportif est en situation de handicap, notamment afin d’adapter la pratique sportive des personnes concernées. Ces données font l’objet d’une protection renforcée. En effet, d’après l’article L. 114 du code de l’action sociale et des familles, constitue un handicap « toute limitation d’activité ou restriction de participation à la vie en société subie dans son environnement par une personne en raison d’une altération substantielle, durable ou définitive d’une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d’un polyhandicap ou d’un trouble de santé invalidant ». Or, les données concernant la santé (relative à la santé physique ou mentale passée, présente ou future, actuelle ou potentielle, d’une personne) sont des données sensibles, au même titre que les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, etc. (art. 9.1 du RGPD).

Disponible sur: CNIL.fr

L’Usine digitale

Cyberattaque à l’hôpital de Cannes : les hackers de LockBit publient 61 gigaoctets de données

L’hôpital Simone-Veil, à Cannes, avait été touché le 16 avril par une cyberattaque. Le groupe de hackers LockBit avait revendiqué l’opération et émis une demande de rançon expirant le 1er mai au soir. Ce matin, 61 gigaoctets de données personnelles de patients et d’agents publics (des bilans de santé, psychologiques, …), et de données relatives au fonctionnement de l’hôpital, ont été publiés sur le dark web.

Disponible sur: usine-digitale.fr

Ministère de la Santé

Le Parlement européen a adopté définitivement hier le Règlement relatif à l’espace européen des données de santé, texte initialement proposé par la Commission européenne lors de la présidence française de l’Union européenne

Ce texte, très attendu en Europe et en France, permettra de donner une impulsion européenne à la politique ambitieuse du numérique en santé que l’on connaît en France depuis quelques années. Le règlement harmonise la règlementation à l’échelle européenne, ce qui constitue un enjeu majeur en termes de santé des populations partout en Europe, d’une part, et et en termes d’innovation d’autre part. Par exemple, le règlement renforce et harmonise, en complément du RGPD, les droits des personnes concernées en matière de données de santé : droit d’accès direct aux dossiers médicaux, droit d’opposition au traitement des données de santé, paramétrage des accès à ces données, information renforcée et facilitation de l’exercice des droits pour les personnes, règles de localisation des données.
Il prévoit également un cadre robuste de gouvernance européen et national pour le numérique en santé. Il requiert de créer, dans chaque Etat membre, les autorités nationales compétentes pour accompagner et contrôler la bonne application du règlement. Il renforce la gouvernance européenne du numérique en santé en remplaçant le réseau eHealth, co-présidé par la France, par un comité de l’EEDS avec une comitologie associant l’ensemble des parties prenantes aux décisions (patients, professionnels de santé, chercheurs, industriels, institutionnels, etc.). La Commission européenne mettra en place les infrastructures et services centraux supportant l’EEDS.

Disponible sur: sante.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Le consortium Kaiser révèle une violation de données de santé, 13 millions d’Américains concernés

Le Kaiser Foundation Health Plan (KFHP), entité opérant pour le compte de Kaiser Permanente, l’un des plus grands prestataires de soins américain, a annoncé qu’il allait informer des millions de patients d’une violation de données. Suivant un avis déposé auprès du gouvernement américain le 12 avril, et rendu public le 25 avril, les données personnelles de 13,4 millions de personnes sont concernées. Les notifications de la fuite de données aux patients débuteront début mai.

Disponible sur: usine-digitale.fr

L’Usine Digitale

UnitedHealth confirme que des hackers ont volé les données de santé de nombreux Américains

Le groupe de santé UnitedHealth, dont sa branche Change Healthcare (qui s’occupe de l’assurance et de la facturation pour des centaines de milliers de pharmacies) a été touchée par une cyberattaque fin février, a confirmé le 22 avril que l’infiltration dans ses systèmes avait entraîné un vol massif de données de santé privées des Américains. “Sur la base d’un premier échantillonnage de données ciblées à ce jour, la société a trouvé des fichiers contenant des données de santé protégées, ou des informations personnellement identifiables, qui pourraient couvrir une proportion substantielle de personnes en Amérique”, écrit la firme dans un communiqué.

Disponible sur: usine-digitale.fr

HAAS Avocats

Tests génétiques en ligne : quels risques pour nos données personnelles ?

Tests génétiques en ligne : quels risques pour nos données personnelles ?

Par Haas Avocats

Les données de santé sont des données particulièrement sensibles. A ce titre, elles bénéficient d’une protection renforcée par le RGPD1. Les données génétiques et biométriques n’échappent pas non plus à cette protection.

Disponible sur: haas-avocats.com

L’Usine digitale

Une cyberattaque touche l’hôpital de Cannes, les opérations non urgentes reportées

Selon une information de France 3 relayée par l’Usine Digitale, le centre hospitalier Simone-Veil, à Cannes, est victime d’une cyberattaque paralysant ses systèmes. Une cellule de crise a été activée, et toutes les opérations non urgentes, “n’entraînant pas de perte de chance” sont reportées jusqu’au retour à la normale. “Les professionnels médicaux, non médicaux, logistiques, administratifs et techniques sont mobilisés pour mener les investigations nécessaires”, explique l’hôpital de Cannes. À ce stade, l’établissement de santé parle d’“incident technique”.

Disponible sur: usine-digitale.fr

Retour en haut