Dernières actualités : données personnelles

ICO (autorité anglaise)

L’ICO appelle à la collaboration avec les développeurs alors qu’un rapport révèle les futures innovations et les préoccupations en matière de protection des données dans la génomique

L’ICO a annoncé avoir aujourd’hui publié un nouveau rapport sur la génomique, qui souligne la nécessité d’une approche de la protection de la vie privée dès la conception, qui soutienne l’innovation tout en protégeant la vie privée. Le rapport montre comment la génomique pourrait bientôt avoir un impact remarquable sur la vie quotidienne : les hôpitaux pourraient utiliser l’ADN pour prédire et prévenir les maladies, les assureurs pourraient adapter leurs politiques en fonction des marqueurs génétiques de la santé, et les technologies portables pourraient personnaliser les programmes de remise en forme en fonction des tendances génétiques.

Le rapport, qui fait partie de la série Tech Futures, examine les défis posés par les progrès rapides de la technologie génomique et invite les organisations à s’engager avec nous dans notre « bac à sable réglementaire ». Alors que la génomique continue de remodeler les soins de santé et de s’étendre à des secteurs tels que l’assurance, l’éducation et l’application de la loi, le rapport explore divers scénarios pour illustrer les préoccupations potentielles en matière de protection des données, notamment :

  • La sécurité des données : Certaines données génomiques sont très personnelles et presque impossibles à rendre anonymes, ce qui soulève des risques d’utilisation abusive ou de réidentification en cas de mauvaise manipulation ou de partage inapproprié.
  • La discrimination ou les préjugés : L’utilisation de données génomiques dans des domaines tels que l’assurance ou l’application de la loi pourrait conduire à une discrimination systémique, en particulier si elle est associée à des modèles susceptibles de renforcer les préjugés existants.
  • Transparence et consentement : Le partage de données entre organisations dans des secteurs tels que les soins de santé peut rendre difficile pour les individus de comprendre comment leurs données génomiques sont utilisées et dans quel but.
  • Partage familial : Les informations génomiques sont intrinsèquement liées aux membres de la famille, ce qui signifie que les données partagées sur une personne pourraient par inadvertance révéler des informations sensibles sur une autre personne.
  • But de l’utilisation : L’extension potentielle de l’utilisation des données génomiques au-delà de leur finalité initiale suscite des inquiétudes quant à la minimisation des données et à la limitation des finalités.

Enfin, l’ICO encourage les entreprises qui travaillent avec la génomique – que ce soit dans le domaine des soins de santé, de l’éducation, de l’assurance ou de la justice pénale – à collaborer avec son « Regulatory Sandbox ». Ce service gratuit permet aux développeurs de bénéficier de conseils d’experts sur l’élaboration d’innovations conformes à la protection de la vie privée dans le domaine de la génomique, afin de transformer des idées novatrices en solutions fiables et conformes à la législation.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Reconnaissance faciale dans les aéroports : les individus devraient avoir un contrôle maximal sur les données biométriques

Bruxelles, le 24 mai – Lors de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, fait suite à une demande de l’autorité française de protection des données et porte sur une question d’application générale produisant des effets dans plus d’un État membre.

L’avis analyse la compatibilité du traitement avec le principe de limitation du stockage (article 5, paragraphe 1, point e), du GDPR), le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f), du GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 du GPDR). GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 GPDR). Le respect des autres dispositions du GDPR, y compris en ce qui concerne la licéité du traitement, n’entre pas dans le champ d’application du présent avis**.

Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants d’aéroports et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur sa pièce d’identité, et cette vérification peut être soumise aux législations nationales. Par conséquent, lorsqu’il n’est pas nécessaire de vérifier l’identité des passagers à l’aide d’un document d’identité officiel, il ne faut pas procéder à une telle vérification à l’aide de données biométriques, car cela entraînerait un traitement excessif des données.

Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec différentes modalités. Dans tous les cas, seules les données biométriques des passagers qui s’inscrivent activement et consentent à participer doivent être traitées.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Actualité du CEPD : avis sur l’utilisation de la reconnaissance faciale par les aéroports et les compagnies aériennes

Le Comité européen de la protection des données (CEPD) a adopté un avis sur la reconnaissance faciale dans les aéroports indiquant que les individus doivent garder le contrôle sur leurs données biométriques. Le 24 mai 2024, le CEPD s’est réuni en session plénière. Au cours de cette séance, il a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports. Cet avis fait suite à une demande de la CNIL afin d’avoir une position harmonisée à l’échelle européenne face à une pratique qui tend à se répandre en Europe et au-delà.

Il est à noter que l’avis a une portée limitée et n’examine pas l’utilisation de la reconnaissance faciale en général et, en particulier, il ne couvre pas l’utilisation de la reconnaissance faciale à des fins de sécurité, de contrôle des frontières ou par les services répressifs.

Disponible sur: CNIL.fr

Agence du numérique en santé (via Légifrance)

Publication du nouveau référentiel « HDS », c’est-à-dire les règles à respecter pour l’hébergement des données de santé

Le 16 mai dernier, a été publié au Journal Officiel la dernière version du référentiel de l’agence du numérique en santé concernant l’hébergement des données de santé. D’après les évolutions telles que présentées dès décembre 2023 par l’ANS, ette nouvelle version du référentiel de certification HDS permet de :

  • Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
  • Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
  • Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
  • Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La publication de cet arrêté approuvant la version révisée du référentiel marque la fin d’une période de 3 mois suivant sa notification à la Commission européenne. Les organismes certificateurs bénéficient désormais d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.

Disponible sur : legifrance.gouv.fr

Next

Sûreté dans les transports : extension de la vidéosurveillance algorithmique

Ce mercredi 15 mai, en commission, les députés examinent une proposition de loi déposée le 28 décembre par le député Philippe Tarabot (Les Républicains) et relative « à la sûreté dans les transports ».

Auprès du Monde, son rapporteur Clément Beaune ne cache pas que cette proposition de loi s’inscrit dans la droite ligne des lois « sécurité globale » de 2021, Jeux Olympiques de 2023 et Savary (relative à la lutte contre les incivilités, les atteintes à la sécurité publique et les actes terroristes dans les transports collectifs) de 2016. Alors qu’Amnesty International appelle les parlementaires à ancrer dans la loi une interdiction de recours à la reconnaissance faciale dans l’espace public, l’ancien ministre insiste de son côté sur le fait que ce texte-ci « ne permet pas l’utilisation de la reconnaissance faciale ou d’outils biométriques ». Il permet, en revanche, l’usage de traitements algorithmiques sur les captations de vidéosurveillance réalisées par les agents.

Disponible sur: next.ink

CNIL

Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation

À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (Ehpad), la CNIL a été saisie de plusieurs demandes de conseil concernant l’installation de dispositifs de vidéosurveillance dans les chambres des résidents de ces établissements. Afin de répondre à ces préoccupations, la CNIL a ainsi soumis un projet de recommandation à une consultation publique en 2023. Les nombreuses contributions reçues lui ont permis de mieux comprendre les préoccupations du public et les besoins du secteur, et d’enrichir sa recommandation définitive. Cette recommandation rappelle notamment que les Ehpad ne sont pas censés installer des dispositifs de vidéosurveillance dans les chambres des résidents, sauf circonstances exceptionnelles.

Disponible sur: CNIL.fr

Ministère de la Santé

Le Parlement européen a adopté définitivement hier le Règlement relatif à l’espace européen des données de santé, texte initialement proposé par la Commission européenne lors de la présidence française de l’Union européenne

Ce texte, très attendu en Europe et en France, permettra de donner une impulsion européenne à la politique ambitieuse du numérique en santé que l’on connaît en France depuis quelques années. Le règlement harmonise la règlementation à l’échelle européenne, ce qui constitue un enjeu majeur en termes de santé des populations partout en Europe, d’une part, et et en termes d’innovation d’autre part. Par exemple, le règlement renforce et harmonise, en complément du RGPD, les droits des personnes concernées en matière de données de santé : droit d’accès direct aux dossiers médicaux, droit d’opposition au traitement des données de santé, paramétrage des accès à ces données, information renforcée et facilitation de l’exercice des droits pour les personnes, règles de localisation des données.
Il prévoit également un cadre robuste de gouvernance européen et national pour le numérique en santé. Il requiert de créer, dans chaque Etat membre, les autorités nationales compétentes pour accompagner et contrôler la bonne application du règlement. Il renforce la gouvernance européenne du numérique en santé en remplaçant le réseau eHealth, co-présidé par la France, par un comité de l’EEDS avec une comitologie associant l’ensemble des parties prenantes aux décisions (patients, professionnels de santé, chercheurs, industriels, institutionnels, etc.). La Commission européenne mettra en place les infrastructures et services centraux supportant l’EEDS.

Disponible sur: sante.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Prenez date – mise à jour des référentiels « santé » : la CNIL vous consultera à partir du 16 mai afin d’identifier vos priorités !

La CNIL souhaite faire évoluer ses référentiels santé en concertation avec les acteurs impliqués dans la recherche et les traitements de données de santé. Elle publiera ainsi un questionnaire le 16 mai et organisera un webinaire le 21 mai 2024.

Disponible sur: CNIL.fr

ICO (autorité anglaise)

L’ICO publie un guide visant à améliorer la transparence dans le domaine de la santé et des soins sociaux

Faisant suite à une consultation publique réalisée fin 2023 / début 2024, le régulateur britannique de la protection des données a publié un nouveau guide afin d’apporter une certitude réglementaire sur la manière dont ces organismes de santé et d’aide sociale doivent tenir les personnes correctement informées. En effet, les secteurs de la santé et de l’aide sociale traitent régulièrement des informations sensibles sur les aspects les plus intimes de la santé d’une personne, qui sont communiquées en toute confidentialité à des praticiens de confiance. En vertu de la loi sur la protection des données, les personnes ont le droit de savoir ce qu’il advient de leurs informations personnelles, ce qui est particulièrement important lorsqu’il s’agit d’accéder à des services vitaux.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut