Dernières actualités : données personnelles

Tietosuoja (autorité finlandaise)

Selon l’autorité, vous pouvez faire appel à un mandataire pour exercer votre droit d’accès

L’autorité finlandaise a jugé qu’une personne peut faire une demande d’accès à ses propres données avec l’aide d’un agent, par exemple en demandant à une organisation de fournir à l’agent des informations la concernant. La législation sur la protection des données n’empêche pas l’exercice des droits relatifs à la protection des données par l’intermédiaire d’une autre personne. En l’occurrence, la personne avait demandé à l’administration fiscale de transmettre toutes les données personnelles à l’adresse postale de l’agent. Cependant, l’administration fiscale a refusé de fournir les informations à l’agent, arguant que les informations ne pouvaient être fournies qu’à la personne elle-même. Le contrôleur adjoint a ordonné à l’administration fiscale d’autoriser le recours à un agent pour les demandes de vérification de données à caractère personnel.

Le règlement sur la protection des données n’empêche pas l’utilisation d’un agent, par exemple, lorsqu’une personne souhaite accéder aux données la concernant. La position antérieure selon laquelle une demande d’accès à ses propres données ne pouvait être faite par l’intermédiaire d’une autre personne remonte à l’ancienne loi sur les données à caractère personnel et ne s’applique plus en vertu de la législation actuelle. Si la demande est faite par l’intermédiaire d’une autre personne, des exigences telles que la représentation légale de l’autre personne doivent être respectées.

L’administration fiscale a ainsi reçu l’ordre de modifier sa politique de traitement des demandes d’accès aux données à caractère personnel afin de la mettre en conformité avec les exigences du GDPR.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Norvège: l’autorité poursuit l’enquête sur l’utilisation de données de santé par des hôpitaux

Depuis le lancement de la solution de dossier médical qui communique entre les différents niveaux de responsabilité appelée « plateforme de santé » en mai 2022, l’autorité norvégienne de protection des données a reçu de nombreux rapports concernant des atteintes à la sécurité des données à caractère personnel (appelés « rapports de déviation »). Au vu de l’envergure du système, l’autorité indique qu’elle s’attendait à ce que certaines déviations se produisent au cours du déploiement, ce qui explique pourquoi elle a choisi, dans un premier temps, de suivre l’évolution de la situation de manière continue. Toutefois, compte tenu du nombre total de non-conformités, où les erreurs sont plus ou moins graves, elle a finalement de procéder à un audit de la plateforme de santé.

En particulier, dans la suite de contrôles réalisés en mai  l’autorité norvégienne a annoncé de nouveaux audits de la plateforme de santé à l’hôpital St. Olavs HF et à la municipalité de Melhus. Lors de ces audits qui auront lieu le 22 et 23 octobre, il s’agira d’éxaminer plus en détail si les mesures techniques et organisationnelles mises en œuvre par les entreprises répondent aux exigences en matière de sécurité des données à caractère personnel. Les thèmes principaux sont la gestion des accès et la gestion des non-conformités, et nous examinerons les responsabilités, les routines, l’organisation technique et la fonction opérationnelle à un niveau plus élevé.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

CNIL

Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction.

Disponible sur: CNIL.fr

GPDP (autorité italienne)

 Italie : Des procédures de sanction contre 18 régions et 2 provinces autonomes en cours pour des difficultés en lien avec le dossier médical 2.0 (« FSE 2.0 »)

Dans sa newsletter du 26 juin, l’autorité italienne a annoncé que des procédures concernant le dossier médical 2.0 avaient été ouvertes à l’encontre de 18 régions et 2 provinces autonomes (à savoir quasiment toute l’Italie). L’autorité a même indiqué qu’ « Il est urgent d’agir pour protéger les droits de tous les patients italiens concernés par le traitement des données sanitaires effectué par le biais du dossier médical électronique 2.0. , et que cette situation grave a été signalée au Premier ministre et au ministre de la santé ces derniers jours ».

Les résultats de l’activité d’enquête sur le FSE, qui avait commencé à la fin du mois de janvier, ont montré que 18 régions et les deux provinces autonomes du Trentin-Haut-Adige – n’étant pas en ligne avec le contenu du décret du 7 septembre 2023 – avaient modifié, même de manière significative, le modèle d’information préparé par le ministère, soumis à l’avis de l’autorité, qui aurait dû être adopté dans tout le pays. Les divergences constatées ont mis en évidence que certains droits (ex. blackout, proxy, consentement spécifique) et mesures (ex. mesures de sécurité, niveaux d’accès différenciés, qualité des données) introduits par le décret, précisément pour la protection des patients, ne sont pas garantis de manière uniforme sur l’ensemble du territoire. Ou bien ils ne peuvent être exercés et appliqués par les patients que dans certaines régions et provinces autonomes, ce qui peut avoir un effet discriminatoire important sur les patients.

Selon l’autorité, ce manque d’homogénéité est également en contradiction avec l’esprit de la réforme du FSE 2.0 visant à introduire des mesures, des garanties et des responsabilités homogènes dans tout le pays, risquant ainsi de compromettre la fonctionnalité, l’interopérabilité et l’efficacité du système FSE 2.0. Les violations commises par les Régions et les Provinces autonomes, avec différents niveaux de gravité et de responsabilité, peuvent conduire à l’application des sanctions prévues par le Règlement européen.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

CNIL

La CNIL et le CASD publient de nouvelles fiches pratiques pour les circuits d’appariement avec le SNDS

La CNIL publie un ensemble de fiches pratiques, produites en collaboration avec le Centre d’accès sécurisé aux données (CASD), qui présentent des exemples de circuits d’appariement de données avec le SNDS. Elles complètent ainsi le guide pratique de la CNIL publié en décembre 2020. La CNIL encadre depuis de nombreuses années les appariements de données de santé avec le Système national des données de santé (SNDS), dans le cadre de demandes d’autorisations lorsque l’appariement nécessite le traitement du numéro d’inscription au répertoire ou NIR. Cependant, elle constate régulièrement plusieurs écueils dans les demandes d’autorisation de la part d’organismes publics ou privés qui réalisent des recherches dans le domaine de la santé. Afin d’accompagner les professionnels concernés, la CNIL a ainsi publié en 2020 un guide pratique présentant les circuits les plus classiques, conformes aux obligations légales et à sa position.

En complément à ce guide, la CNIL publie de nouvelles fiches pratiques qui présentent :
* des schémas détaillés, étape par étape, dans le même formalisme que ceux du guide de 2020 ;
* des schémas montrant les différentes « tables de données », produits par le CASD.

Disponible sur: CNIL.fr

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

CNIL

Législatives anticipées : la CNIL poursuit ses actions pour protéger les données des électeurs

La communication et la prospection politiques reposent sur une utilisation croissante de données personnelles et n’échappent pas à la numérisation accélérée de notre société. De nouveaux usages en ligne se développent depuis plusieurs années, notamment au travers des réseaux sociaux. Le respect des règles en matière de protection des données est devenu une question centrale dans le processus électoral et, plus généralement, dans la vie démocratique. De plus en plus de personnes sollicitent la CNIL sur les mauvaises pratiques qu’elles observent et n’hésitent pas à les dénoncer publiquement.

Afin de faire face à ces différents enjeux et de s’assurer que les partis politiques et les candidats prennent en compte la législation sur la protection des données dans leurs pratiques, la CNIL a mis en place un observatoire des élections depuis 2012. Il permet notamment d’assurer le suivi des sollicitations adressées à la CNIL dans le cadre des campagnes électorales telles que les demandes de conseil des candidats ou les signalements des mauvaises pratiques.

Alors qu’elle a enregistré 167 signalements à l’issue du scrutin européen, la CNIL rappelle aux partis les règles à respecter et informe qu’elle procédera à des contrôles en fonction du nombre et de la nature des signalements qui seront reçus dans le cadre des élections législatives anticipées.

Disponible sur: CNIL.fr

GPDP (autorité italienne)

Covid : L’autorité italienne ouvre une enquête sur l’interdiction, par une autorité sanitaire locale, de recruter des stagiaires non vaccinés

Ce 12 juin 2024, à l’occasion d’un communiqué de presse, l’autorité italienne a annoncé avoir ouvert une enquête afin de faire suite à l’information selon laquelle certains stagiaires se sont vus refuser l’accès à l’hôpital parce qu’ils n’avaient pas reçu la quatrième dose du vaccin anti-Covid.  Selon un article de presse, les étudiants du cours d’infirmière de l’université de Salento qui n’ont pas reçu la quatrième dose de vaccin Sars-Cov-2 n’auraient pas pu effectuer leur stage obligatoire à l’hôpital.  Toujours dans la presse, l’autorité sanitaire locale de Lecce aurait justifié ce refus en se fondant sur une loi régionale réglementant la vaccination obligatoire des travailleurs de la santé.

L’autorité italienne demande ainsi des comptes à l’autorité sanitaire locale, lui donnant 15 jours pour informer la Garante des finalités et de la base légale du traitement. En effet, depuis le 1er novembre 2022, l’obligation de vaccination Covid n’est plus requise en Italie pour les professionnels de la santé et les travailleurs de la santé.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Modifications des traitements de données soumis à formalités : quelles démarches ?

Certains traitements de données de santé, soumis à des formalités préalables auprès de la CNIL, sont susceptibles d’évoluer avec le temps. Tel est également le cas des arrêtés relatifs à des traitements ayant un objet pénal, ou encore de tout texte de niveau décret ou supérieur prévoyant les caractéristiques essentielles d’un traitement de données à caractère personnel. Si les modifications ont un impact substantiel sur les modalités de mise en œuvre du traitement ou les droits des personnes, elles peuvent nécessiter l’accomplissement de nouvelles démarches auprès de la CNIL. Afin d’aider les responsables de traitement concernés (principalement des administrations centrales) à identifier et à accomplir ces démarches, la CNIL a publié ce jour une fiche pratique.

Disponible sur: CNIL.fr

Retour en haut