Dernières actualités : données personnelles

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

ICO (autorité anglaise)

L’ICO appelle à la collaboration avec les développeurs alors qu’un rapport révèle les futures innovations et les préoccupations en matière de protection des données dans la génomique

L’ICO a annoncé avoir aujourd’hui publié un nouveau rapport sur la génomique, qui souligne la nécessité d’une approche de la protection de la vie privée dès la conception, qui soutienne l’innovation tout en protégeant la vie privée. Le rapport montre comment la génomique pourrait bientôt avoir un impact remarquable sur la vie quotidienne : les hôpitaux pourraient utiliser l’ADN pour prédire et prévenir les maladies, les assureurs pourraient adapter leurs politiques en fonction des marqueurs génétiques de la santé, et les technologies portables pourraient personnaliser les programmes de remise en forme en fonction des tendances génétiques.

Le rapport, qui fait partie de la série Tech Futures, examine les défis posés par les progrès rapides de la technologie génomique et invite les organisations à s’engager avec nous dans notre « bac à sable réglementaire ». Alors que la génomique continue de remodeler les soins de santé et de s’étendre à des secteurs tels que l’assurance, l’éducation et l’application de la loi, le rapport explore divers scénarios pour illustrer les préoccupations potentielles en matière de protection des données, notamment :

  • La sécurité des données : Certaines données génomiques sont très personnelles et presque impossibles à rendre anonymes, ce qui soulève des risques d’utilisation abusive ou de réidentification en cas de mauvaise manipulation ou de partage inapproprié.
  • La discrimination ou les préjugés : L’utilisation de données génomiques dans des domaines tels que l’assurance ou l’application de la loi pourrait conduire à une discrimination systémique, en particulier si elle est associée à des modèles susceptibles de renforcer les préjugés existants.
  • Transparence et consentement : Le partage de données entre organisations dans des secteurs tels que les soins de santé peut rendre difficile pour les individus de comprendre comment leurs données génomiques sont utilisées et dans quel but.
  • Partage familial : Les informations génomiques sont intrinsèquement liées aux membres de la famille, ce qui signifie que les données partagées sur une personne pourraient par inadvertance révéler des informations sensibles sur une autre personne.
  • But de l’utilisation : L’extension potentielle de l’utilisation des données génomiques au-delà de leur finalité initiale suscite des inquiétudes quant à la minimisation des données et à la limitation des finalités.

Enfin, l’ICO encourage les entreprises qui travaillent avec la génomique – que ce soit dans le domaine des soins de santé, de l’éducation, de l’assurance ou de la justice pénale – à collaborer avec son « Regulatory Sandbox ». Ce service gratuit permet aux développeurs de bénéficier de conseils d’experts sur l’élaboration d’innovations conformes à la protection de la vie privée dans le domaine de la génomique, afin de transformer des idées novatrices en solutions fiables et conformes à la législation.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : L’auto-école en ligne Ornikar victime d’une fuite de données personnelles

Ornikar, start-up française spécialisée dans la révision du code en ligne et dans la réservation de cours de conduite pour passer le permis, a averti le 24 octobre ses clients d’une « intrusion externe dans [son] système d’information ». Une cyberattaque qui a laissé fuité de nombreuses données personnelles, dont les noms, prénoms et dates de naissance de ses clients, mais aussi leurs adresses e-mail, leurs numéros de téléphone et leurs adresses postales. La plateforme précise que les « données bancaires et mots de passe n’ont pas été compromis lors de cet incident ».

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

Peine de prison avec sursis pour d’anciens employés de RAC pour avoir volé des informations personnelles

Deux anciens employés du RAC ont été condamnés à une peine de prison avec sursis et à 150 heures de travail non rémunéré pour avoir illégalement copié et vendu plus de 29 500 lignes d’informations personnelles.
D. Okparavero, 61 ans, de Salford, et M. Islam, 51 ans, de Manchester, travaillaient comme spécialistes du service clientèle au centre d’appel de l’entreprise « RAC » (proposant des services automobiles) à Stretford. Leur comportement illégal a été découvert par l’entreprise, qui l’a signalé à l’ICO, après l’installation d’un nouveau logiciel de contrôle de la sécurité.

Le logiciel a montré qu’Okparavero avait illégalement accédé à des informations personnelles concernant des personnes impliquées dans des accidents de la route et les avait copiées. Une fouille ultérieure du téléphone portable d’Okaparavero a révélé que les informations avaient été partagées dans une discussion WhatsApp avec Islam. Les messages indiquaient qu’un tiers payait pour obtenir ces informations. En conséquence, lors d’une audience à Minshull Street Crown Court le 8 octobre 2024, Okparavero et Islam ont été condamnés à des peines de prison de 6 mois, suspendues pendant 18 mois, et chacun a reçu l’ordre d’effectuer 150 heures de travail non rémunéré. Les deux accusés avaient précédemment plaidé coupables d’infractions à la loi de 1990 sur l’utilisation abusive des ordinateurs et à la loi de 2018 sur la protection des données. Les frais de poursuite seront examinés lors d’une audience sur les produits du crime prévue le 5 mars 2025.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Le groupe de santé Hospi Grand Ouest victime d’une cyberattaque, des services perturbés

Hospi Grand Ouest, groupe de santé gérant neuf cliniques et centres de soins en Bretagne et Pays de la Loire, a été touché dans la nuit du 3 au 4 octobre par une cyberattaque. La direction du groupe précise que cette attaque informatique s’est cantonnée à la clinique de La Sagesse, à Rennes, qui comprend notamment une maternité et de nombreux services de chirurgie. L’étendue de la cyberattaque n’est, pour l’heure, pas officiellement connue, tout comme sa nature. D’après Ouest-France, les hackers à l’origine de l’attaque auraient toutefois réclamé une rançon le 5 octobre à la direction du groupe, ce qui s’apparenterait alors à une fuite de données.

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

Un vendeur de voitures condamné à une amende pour avoir conservé et vendu des données à des concurrents

Quelques mois après la publication d’une sanction envers un stagiaire de Rent-A-Car pour avoir traité des données illégalement, c’est cette fois au tour d’un vendeur de « Laeseline Vehicle Management Ltd » d’être condamné pour avoir vendu des données à des concurrents.

Peu avant de démissionner de son poste de conseiller commercial chez Leaseline Vehicle Management Ltd, Alexander D., 44 ans, a vendu plus de 3 600 informations personnelles qu’il avait extraites de la base de données interne des clients de l’entreprise. Il a contacté plusieurs entreprises concurrentes avec ces informations, tout en prétendant que les données lui appartenaient. La violation a été découverte en novembre 2022 et a fait l’objet d’une enquête de l’ICO. L’homme a plaidé coupable d’avoir obtenu et vendu illégalement des données, en violation de l’article 170 de la loi sur la protection des données de 2018. Il a comparu devant la St Albans Crown Court le mardi 17 septembre, où il a été condamné à payer une amende de 1 200 livres sterling et 300 livres sterling de frais.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

L’Assurance retraite touchée par une fuite de données, 370 000 bénéficiaires concernés

Après Boulanger, Cultura ou encore Truffaut, c’est au tour de la Caisse nationale d’assurance vieillesse d’être victime d’une fuite de données, via un portail destiné aux prestataires de l’action sociale des retraités. D’après l’organisme, les pirates informatiques se sont emparés des adresses et numéros de sécurité sociale de 370 000 bénéficiaires. L’Assurance retraite a en effet annoncé ce 13 septembre dans un communiqué avoir été la cible d’une fuite de données à travers le Portail partenaires de l’action sociale (PPAS), qui gère la facturation des prestataires de l’action sociale des retraités. “Des données personnelles (adresses, numéros de Sécurité sociale, montant approximatif des ressources) relatives à 370 000 bénéficiaires environ ont été compromises”, explique la Caisse nationale d’assurance vieillesse (Cnav).

La Cnav précise que les données personnelles subtilisées sont “pour la plupart anciennes”, ajoutant que certaines personnes concernées sont décédées. Elle insiste sur le fait qu’aucune donnée bancaire, ou relative au paiement, à la retraite ou à la carrière n’a été volée. Les pirates informatiques se sont introduits dans les systèmes en usurpant des comptes de prestataires utilisant le portail. À l’heure où nous écrivons ces lignes, le portail PPAS est toujours inaccessible, renvoyant sur une page de maintenance.

Disponible sur: usine-digitale.fr

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

Retour en haut