Dernières actualités : données personnelles

DPA (autorité grecque)

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique

L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … réutilisé les données d’un patient à des fins politiques. Deux plaintes ont été déposées auprès de l’Autorité par des citoyens ayant reçu un message politique par SMS émanant d’un candidat député – médecin d’un hôpital public, dont le contenu semblait être en rapport avec le fait que les destinataires du message avaient été hospitalisés à l’hôpital où il travaillait, sans le connaître personnellement et sans avoir été informés ou avoir donné leur consentement à l’utilisation de leurs données à des fins de communication politique.

Parallèlement, au nom de l’Hôpital, un signalement d’incident de violation des données personnelles des patients a été déposé auprès de l’Autorité, suite à la plainte d’autres patients auprès de l’Hôpital pour avoir reçu le même message. L’enquête de l’Autorité de protection des données a permis de constater que :
* Le médecin en question avait eu un accès légitime aux dossiers médicaux dans le cadre de ses fonctions, mais avait quitté l’hôpital avant l’envoi des SMS. Cependant, il aurait pu extraire ces données avant son départ.
* Le médecin a nié avoir utilisé les informations des patients, affirmant avoir utilisé des listes de contacts personnels et des bases publiques. Il a spécifié que certains de ces contacts étaient des « amis personnels et connaissances », accumulés durant ses 36 années de carrière, y compris des anciens patients suivis à titre personnel​ Cependant, l’hôpital n’a pas pu démontrer qu’il n’avait pas exporté ces données, étant donné l’absence de contrôle spécifique sur l’accès aux dossiers patients, et notamment une journalisation des accès.

Les arguments du médecin n’ont néanmoins pas convaincu l’autorité, qui a considéré que le candidat député n’a pas réussi à justifier auprès de l’autorité la collecte et la conservation légales des numéros de téléphone des destinataires de son message électoral, et a omis d’informer les sujets concernant le traitement de leurs données à des fins de communication politique et de leur fournir un moyen d’exercer leurs droits conformément au RGPD. L’autorité lui a ainsi infligé une amende d’un montant total de 15 000 euros pour les violations de la légalité, de l’objectivité et de la transparence du traitement ainsi que de l’obligation de faciliter l’exercice des droits des sujets. Ces montants ont été déterminés en tenant compte de la gravité des infractions, notamment l’exploitation abusive de données sensibles issues de dossiers médicaux, ainsi que l’impact potentiel sur la vie privée des patients.
L’hôpital, de son côté, n’a pas été sanctionné malgré les faiblesses dans ses mesures de sécurité mises en évidence par l’affaire.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO appelle à la collaboration avec les développeurs alors qu’un rapport révèle les futures innovations et les préoccupations en matière de protection des données dans la génomique

L’ICO a annoncé avoir aujourd’hui publié un nouveau rapport sur la génomique, qui souligne la nécessité d’une approche de la protection de la vie privée dès la conception, qui soutienne l’innovation tout en protégeant la vie privée. Le rapport montre comment la génomique pourrait bientôt avoir un impact remarquable sur la vie quotidienne : les hôpitaux pourraient utiliser l’ADN pour prédire et prévenir les maladies, les assureurs pourraient adapter leurs politiques en fonction des marqueurs génétiques de la santé, et les technologies portables pourraient personnaliser les programmes de remise en forme en fonction des tendances génétiques.

Le rapport, qui fait partie de la série Tech Futures, examine les défis posés par les progrès rapides de la technologie génomique et invite les organisations à s’engager avec nous dans notre « bac à sable réglementaire ». Alors que la génomique continue de remodeler les soins de santé et de s’étendre à des secteurs tels que l’assurance, l’éducation et l’application de la loi, le rapport explore divers scénarios pour illustrer les préoccupations potentielles en matière de protection des données, notamment :

  • La sécurité des données : Certaines données génomiques sont très personnelles et presque impossibles à rendre anonymes, ce qui soulève des risques d’utilisation abusive ou de réidentification en cas de mauvaise manipulation ou de partage inapproprié.
  • La discrimination ou les préjugés : L’utilisation de données génomiques dans des domaines tels que l’assurance ou l’application de la loi pourrait conduire à une discrimination systémique, en particulier si elle est associée à des modèles susceptibles de renforcer les préjugés existants.
  • Transparence et consentement : Le partage de données entre organisations dans des secteurs tels que les soins de santé peut rendre difficile pour les individus de comprendre comment leurs données génomiques sont utilisées et dans quel but.
  • Partage familial : Les informations génomiques sont intrinsèquement liées aux membres de la famille, ce qui signifie que les données partagées sur une personne pourraient par inadvertance révéler des informations sensibles sur une autre personne.
  • But de l’utilisation : L’extension potentielle de l’utilisation des données génomiques au-delà de leur finalité initiale suscite des inquiétudes quant à la minimisation des données et à la limitation des finalités.

Enfin, l’ICO encourage les entreprises qui travaillent avec la génomique – que ce soit dans le domaine des soins de santé, de l’éducation, de l’assurance ou de la justice pénale – à collaborer avec son « Regulatory Sandbox ». Ce service gratuit permet aux développeurs de bénéficier de conseils d’experts sur l’élaboration d’innovations conformes à la protection de la vie privée dans le domaine de la génomique, afin de transformer des idées novatrices en solutions fiables et conformes à la législation.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

30.000 euros d’amende pour violation du droit d’accès aux appels téléphoniques enregistrés des numéros d’urgence

L’autorité a aujourd’hui annoncé avoir examiné les plaintes de deux citoyens concernant la violation de leur droit d’accès à l’enregistrement de leurs appels téléphoniques au centre d’appel des services médicaux d’urgence (911), conformément à l’article 15 du GDPR. L’examen de l’affaire a révélé qu’en règle générale, EKAB ne fournit pas de copies des appels enregistrés aux motifs qu’il n’identifieraient pas les appelants et qu’il ne serait pas possible de les identifier en tant que personnes concernées. En outre, il a été constaté qu’aucune information concernant les personnes concernées n’était affichée sur le site web du CEPD, conformément au principe de transparence.

Ayant établi que les personnes ayant appelé le 911 sont des personnes physiques identifiables au sens du GDPR, la décision a imposé une amende de 20 000 euros au service d’ambulance pour la violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence. La décision a imposé une amende de 20 000 euros au service pour violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence, tout en ordonnant de satisfaire les droits revendiqués et de modifier la politique suivie afin que l’exercice du droit d’accès aux appels enregistrés au 911 ne soit pas empêché à l’avance de manière générale, mais que la possibilité d’identifier le demandeur en question soit examinée au cas par cas.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à la cyberattaque de Synnovis

Le 3 juin, Synnovis, un laboratoire de pathologie qui traite les tests sanguins pour le compte d’un certain nombre d’organisations du NHS (« National Health Service »), principalement dans le sud-est de Londres, a été victime d’une cyberattaque. Le NHS a été informé qu’un groupe de cybercriminels a publié hier soir des données qui, selon eux, appartiennent à Synnovis et ont été volées dans le cadre de cette attaque. La National Crime Agency et le National Cyber Security Centre s’efforcent de vérifier le plus rapidement possible les données contenues dans les fichiers publiés.

Nous comprenons que les gens puissent être préoccupés par cette affaire et au fur et à mesure que de nouvelles informations seront disponibles grâce à l’enquête complète de Synnovis, le NHS continuera d’informer les patients et le public sur cette page web. Un service d’assistance téléphonique a été mis en place pour répondre aux questions. Dès que nous aurons plus d’informations sur la fuite de données et sur la nature de ces données, nous les publierons d’abord sur cette page. Les patients doivent continuer à se rendre à leurs rendez-vous et à accéder aux soins urgents comme d’habitude.

En réaction, un porte-parole de l’ICO a déclaré :
« Bien que nous continuions à enquêter sur cette affaire, nous sommes conscients de la sensibilité de certaines des informations en question et de l’inquiétude qu’elles ont pu susciter. « Nous conseillons vivement à toute personne préoccupée par la manière dont ses données ont été traitées de consulter notre site web pour obtenir des conseils et de l’aide, ainsi que de visiter le site web de NHS ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO enquête sur la violation des données de 23andMe avec son homologue canadien

L’Information Commissioner’s Office (ICO) et le Commissariat à la protection de la vie privée du Canada (CPVP) ont lancé une enquête conjointe sur la violation de données qui s’est produite en octobre 2023 au sein de la société mondiale de tests génétiques directs aux consommateurs 23andMe, qui est dépositaire d’informations personnelles très sensibles, notamment d’informations génétiques qui ne changent pas avec le temps. Ces données peuvent révéler des informations sur une personne et les membres de sa famille, notamment sur leur santé, leur origine ethnique et leurs liens biologiques. C’est pourquoi la confiance du public dans ces services est essentielle.

L’enquête conjointe reflète l’engagement des régulateurs à collaborer à la protection du droit fondamental à la vie privée des individus dans toutes les juridictions.

Elle examinera :
1- L’étendue des informations exposées lors de la violation et les préjudices potentiels pour les personnes affectées ;
2- Si 23andMe disposait de garanties suffisantes pour protéger les informations hautement sensibles qu’elle contrôlait ; et
3- Si l’entreprise a notifié de manière adéquate la violation aux deux régulateurs et aux personnes concernées, comme l’exigent les lois canadienne et britannique sur la protection des données.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

 Violations d’informations sensibles récurrentes concernant des personnes vivant avec le VIH

Les personnes vivant avec le VIH sont privées de leur « dignité fondamentale et de leur vie privée » en raison des violations répétées de données qui révèlent leur statut sérologique, en raison de qui l »ICO appelle à des « améliorations urgentes » dans tout le Royaume-Uni.
Le régulateur travaille avec les organisations caritatives de lutte contre le VIH afin d’améliorer le soutien offert aux personnes vivant avec le VIH sur la manière dont leurs informations sensibles sont traitées. Le commissaire, John Edwards, a condamné les normes de protection des données dans les services de santé destinés aux personnes vivant avec le VIH et a appelé à des améliorations urgentes. Cette déclaration fait suite à plusieurs violations de données, ainsi qu’aux préoccupations exprimées par certaines des plus grandes organisations de lutte contre le VIH du pays.

Au cours de l’année 2022/3, le secteur de la santé a représenté plus d’un cinquième de toutes les violations de données personnelles, ce qui en fait la source la plus fréquente de signalements à l’ICO.
La déclaration d’aujourd’hui fait suite à une autre amende infligée par l’Information Commissioner’s Office (ICO) à un prestataire de services liés au VIH. L’ICO a infligé une amende de 7 500 livres sterling à la Central Young Men’s Christian Association (Central YMCA) de Londres pour une violation de données dans le cadre de laquelle des courriels destinés à des personnes participant à un programme de soutien aux séropositifs ont été envoyés à 264 adresses électroniques en utilisant la fonction CC au lieu de la fonction BCC, révélant ainsi les adresses électroniques à tous les destinataires. 166 personnes ont ainsi été identifiées ou potentiellement identifiables. L’association Central YMCA s’est acquittée de l’intégralité de l’amende.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO publie un guide visant à améliorer la transparence dans le domaine de la santé et des soins sociaux

Faisant suite à une consultation publique réalisée fin 2023 / début 2024, le régulateur britannique de la protection des données a publié un nouveau guide afin d’apporter une certitude réglementaire sur la manière dont ces organismes de santé et d’aide sociale doivent tenir les personnes correctement informées. En effet, les secteurs de la santé et de l’aide sociale traitent régulièrement des informations sensibles sur les aspects les plus intimes de la santé d’une personne, qui sont communiquées en toute confidentialité à des praticiens de confiance. En vertu de la loi sur la protection des données, les personnes ont le droit de savoir ce qu’il advient de leurs informations personnelles, ce qui est particulièrement important lorsqu’il s’agit d’accéder à des services vitaux.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut