Dernières actualités : données personnelles

L’Usine digitale

Le groupe de santé Hospi Grand Ouest victime d’une cyberattaque, des services perturbés

Hospi Grand Ouest, groupe de santé gérant neuf cliniques et centres de soins en Bretagne et Pays de la Loire, a été touché dans la nuit du 3 au 4 octobre par une cyberattaque. La direction du groupe précise que cette attaque informatique s’est cantonnée à la clinique de La Sagesse, à Rennes, qui comprend notamment une maternité et de nombreux services de chirurgie. L’étendue de la cyberattaque n’est, pour l’heure, pas officiellement connue, tout comme sa nature. D’après Ouest-France, les hackers à l’origine de l’attaque auraient toutefois réclamé une rançon le 5 octobre à la direction du groupe, ce qui s’apparenterait alors à une fuite de données.

Disponible sur: usine-digitale.fr

L’Usine digitale

Le courtier Meilleurtaux victime d’une cyberattaque, des données sensibles exposées

Meilleurtaux, société française spécialisée dans le courtage en produits financiers, notamment en crédit immobilier et à la consommation, a prévenu le 27 septembre ses clients d’une fuite de données personnelles. “Nous avons détecté une attaque externes sur nos systèmes informatiques à laquelle nous avons mis fin rapidement”, explique le courtier en ligne dans un e-mail. L’entreprise précise que “certaines données personnelles” ont été exposées, à savoir les noms et prénoms des clients, leurs coordonnées postales et téléphoniques, leurs dates et pays de naissance et leur situation familiale. La fuite de données comprend aussi des informations bien plus sensibles, comme le montant des revenus de ses clients et leur situation professionnelle.

Disponible sur: usine-digitale.fr

L’Usine digitale

L’Assurance retraite touchée par une fuite de données, 370 000 bénéficiaires concernés

Après Boulanger, Cultura ou encore Truffaut, c’est au tour de la Caisse nationale d’assurance vieillesse d’être victime d’une fuite de données, via un portail destiné aux prestataires de l’action sociale des retraités. D’après l’organisme, les pirates informatiques se sont emparés des adresses et numéros de sécurité sociale de 370 000 bénéficiaires. L’Assurance retraite a en effet annoncé ce 13 septembre dans un communiqué avoir été la cible d’une fuite de données à travers le Portail partenaires de l’action sociale (PPAS), qui gère la facturation des prestataires de l’action sociale des retraités. “Des données personnelles (adresses, numéros de Sécurité sociale, montant approximatif des ressources) relatives à 370 000 bénéficiaires environ ont été compromises”, explique la Caisse nationale d’assurance vieillesse (Cnav).

La Cnav précise que les données personnelles subtilisées sont “pour la plupart anciennes”, ajoutant que certaines personnes concernées sont décédées. Elle insiste sur le fait qu’aucune donnée bancaire, ou relative au paiement, à la retraite ou à la carrière n’a été volée. Les pirates informatiques se sont introduits dans les systèmes en usurpant des comptes de prestataires utilisant le portail. À l’heure où nous écrivons ces lignes, le portail PPAS est toujours inaccessible, renvoyant sur une page de maintenance.

Disponible sur: usine-digitale.fr

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

UODO (autorité polonaise)

Amende de 950 000 euros pour mBank pour n’avoir pas informé les victimes de la fuite de données

Ce 9 septembre 2024, l’autorité polonaise a infligé à mBank une amende de plus de 4 millions de PLN (4 053 173) [soit environ 950 000 euros] pour n’avoir pas informé les personnes touchées par la fuite de données.

L’autorité précise que la banque n’a pas respecté ses obligations [de notification] en vertu du RGPD après que les données personnelles d’un groupe de clients ont été transmises à un destinataire non autorisé le 30 juin 2022. Dans un tel cas, les personnes concernées doivent être informées de l’incident, les conséquences possibles et les remèdes doivent être décrits, et un contact pour le délégué à la protection des données qui pourrait fournir plus d’informations sur la violation doit être fourni.

En l’occurrence, un employé d’une société traitant des données à caractère personnel pour le compte d’une banque a commis une erreur et a envoyé des documents de clients à une autre institution financière. Les documents ont été renvoyés à la banque, mais l’enveloppe avait été ouverte auparavant. Par conséquent, des tiers ont pu avoir accès aux documents et il n’est pas exclu qu’ils en aient pris connaissance. Les documents contenaient : noms et prénoms, noms des parents, dates de naissance, numéro de compte bancaire, adresse de résidence ou de domicile, numéro PESEL, données sur les revenus et/ou les biens détenus, nom de famille de la mère, série et numéro de la carte d’identité, autres (informations sur les crédits et les biens immobiliers).

La banque n’a pas informé ses clients de l’incident, malgré les recommandations du président de l’UODO. La banque a justifié son silence en affirmant que les documents avaient été envoyés par erreur à une institution soumise au secret bancaire, avec laquelle elle coopère et qu’elle considérait donc comme une entité de confiance. Le président de l’UODO n’a pas reconnu la position de la mBank : une analyse approfondie des lignes directrices 9/2022 montre clairement que ce n’est pas le statut du destinataire, la reconnaissance du destinataire en tant que soi-disant institution (personne) de confiance publique ou agissant dans le cadre de la législation applicable, mais l’existence d’une relation directe (permanente) entre l’expéditeur et le destinataire de la correspondance envoyée par erreur qui détermine l’admissibilité de la reconnaissance d’une entité particulière en tant que soi-disant « destinataire de confiance ».

Le président de l’autorité de protection des données a estimé que la possibilité de divulgation d’un tel volume de données crée un risque énorme pour les personnes concernées. Comme elles n’ont pas été informées du problème, elles n’ont pas pu contrer les éventuels effets négatifs de la violation. En conséquence, l’autorité a décidé de prononcer une amende contre la banque, précisant par ailleurs que  » compte tenu du fait qu’en vertu des dispositions du RODO, l’amende pourrait s’élever à 337 millions de PLN [environ 78 millions d’euros], elle devrait être considérée comme relativement modérée »

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

Doctolib : L’IA transforme le secteur de la santé, mais à quel prix ?

Doctolib : L'IA transforme le secteur de la santé, mais à quel prix ?

Par Haas Avocats

L’intelligence artificielle (IA) est en train de redéfinir le secteur de la santé, en apportant des solutions novatrices qui améliorent la qualité des soins et la relation entre les patients et les professionnels de santé. Doctolib, à la pointe de cette révolution, développe des outils IA prometteurs qui pourraient redéfinir la pratique médicale.

Disponible sur: haas-avocats.com

L’Usine digitale

L’AP-HP victime d’une panne informatique, des applications internes hors-service

Le CHU d’Île-de-France a été touché par une panne informatique le 3 août au matin en raison d’un défaut électrique sur un prestataire hébergeant une partie de ses serveurs. Les applications internes à certains établissements, les messageries et la téléphonie ont été impactées. Un retour à la normale est attendu ce lundi. Le CHU explique dans un communiqué que la panne informatique est due à un défaut électrique “qui a touché le prestataire en charge de l’hébergement d’une partie de ses serveurs”. La panne chez l’hébergeur est survenue vers 11 h et a été résolue vers 14 h, mais les 38 hôpitaux d’Île-de-France en subissent toujours les effets. L’AP-HP espérait un rétablissement complet dimanche après-midi, avant de reporter le retour à la normale à ce lundi.

Disponible sur: usine-digitale.fr

HAAS Avocats

Sportifs en situation de handicap : Quel régime pour leurs données de santé ?

Sportifs en situation de handicap : Quel régime pour leurs données de santé ?

Par Haas Avocats

A l’instar des convictions religieuses ou de l’orientation sexuelle des personnes, les données de santé sont des données personnelles dites sensibles qui méritent, à ce titre, de bénéficier d’une protection renforcée. C’est ainsi qu’un régime de traitement à part entière de ces données est prévu par le Règlement général de protection des données[1].

Disponible sur: haas-avocats.com

CNIL

La CNIL et le CASD publient de nouvelles fiches pratiques pour les circuits d’appariement avec le SNDS

La CNIL publie un ensemble de fiches pratiques, produites en collaboration avec le Centre d’accès sécurisé aux données (CASD), qui présentent des exemples de circuits d’appariement de données avec le SNDS. Elles complètent ainsi le guide pratique de la CNIL publié en décembre 2020. La CNIL encadre depuis de nombreuses années les appariements de données de santé avec le Système national des données de santé (SNDS), dans le cadre de demandes d’autorisations lorsque l’appariement nécessite le traitement du numéro d’inscription au répertoire ou NIR. Cependant, elle constate régulièrement plusieurs écueils dans les demandes d’autorisation de la part d’organismes publics ou privés qui réalisent des recherches dans le domaine de la santé. Afin d’accompagner les professionnels concernés, la CNIL a ainsi publié en 2020 un guide pratique présentant les circuits les plus classiques, conformes aux obligations légales et à sa position.

En complément à ce guide, la CNIL publie de nouvelles fiches pratiques qui présentent :
* des schémas détaillés, étape par étape, dans le même formalisme que ceux du guide de 2020 ;
* des schémas montrant les différentes « tables de données », produits par le CASD.

Disponible sur: CNIL.fr

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

Retour en haut