Dernières actualités : données personnelles

ICO (autorité anglaise)

L’ICO publie un guide visant à améliorer la transparence dans le domaine de la santé et des soins sociaux

Faisant suite à une consultation publique réalisée fin 2023 / début 2024, le régulateur britannique de la protection des données a publié un nouveau guide afin d’apporter une certitude réglementaire sur la manière dont ces organismes de santé et d’aide sociale doivent tenir les personnes correctement informées. En effet, les secteurs de la santé et de l’aide sociale traitent régulièrement des informations sensibles sur les aspects les plus intimes de la santé d’une personne, qui sont communiquées en toute confidentialité à des praticiens de confiance. En vertu de la loi sur la protection des données, les personnes ont le droit de savoir ce qu’il advient de leurs informations personnelles, ce qui est particulièrement important lorsqu’il s’agit d’accéder à des services vitaux.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

Tests génétiques en ligne : quels risques pour nos données personnelles ?

Par Haas Avocats

Les données de santé sont des données particulièrement sensibles. A ce titre, elles bénéficient d’une protection renforcée par le RGPD1. Les données génétiques et biométriques n’échappent pas non plus à cette protection.

Disponible sur: haas-avocats.com

L’Usine digitale

Une cyberattaque touche l’hôpital de Cannes, les opérations non urgentes reportées

Selon une information de France 3 relayée par l’Usine Digitale, le centre hospitalier Simone-Veil, à Cannes, est victime d’une cyberattaque paralysant ses systèmes. Une cellule de crise a été activée, et toutes les opérations non urgentes, “n’entraînant pas de perte de chance” sont reportées jusqu’au retour à la normale. “Les professionnels médicaux, non médicaux, logistiques, administratifs et techniques sont mobilisés pour mener les investigations nécessaires”, explique l’hôpital de Cannes. À ce stade, l’établissement de santé parle d’“incident technique”.

Disponible sur: usine-digitale.fr

Yann Gaudin (via Twitter)

🚨 Défaillances de la direction de France Travail en matière de sécurité informatique

La CGT de France Travail s’exprime sur la violation de données, dénonçant « un choix assumé de la Direction de la DSI de ne pas mettre en place les préconisations sécuritaires nécessaire sà l’ouverture de notre SI aux partenaires France Travail« , en ce compris Cap Emploi, à l’origine de la fuite de données. Elle ajoute que « Lors du projet de connexion du partenaire Cap emploi en 2022, une analyse de risque a bien été réalisée en interne. Dans ce rapport il a été identifié, entre autres, le risque suivant :  »Un attaquant usurpe l’identité d’un agent Cap Emploi et accède aux données du SI Pôle emploi via la machine virtuelle » avec un indice d’alerte 4 (maximum). Le rapport préconisait de « Renforcer l’authentification à la machine virtuelle avec un deuxième facteur d’authentification (2FA) conformément aux exigences de l’ANSSI, mais il n’a jamais été mise en place !!« .

Suite à la publication de cette lettre, Guillaume Champeau a annoncé sur Twitter (attention, lien traçé) avoir demandé, via le formulaire de plainte en ligne, à ce que des poursuites sur le fondement de l’article 226-17 du Code pénal soient lancées; cet article condamnant le défaut de sécurisation de données personnelles par cinq ans d’emprisonnement et 300 000 euros d’amende.

Image

Disponible sur: twitter.com (attention, lien traçé)

Homo Digitalis

L’autorité grecque de protection des données inflige au ministère des migrations et de l’asile l’amende la plus importante jamais imposée à un organisme public grec pour les inconformités de ses systèmes « Centaurus » et « Hyperion ».

Dans son article, l’association militante explique qu’ il y a deux ans, Homo Digitalis avait déposé une plainte contre le ministère de l’Immigration et de l’Asile pour les systèmes « Centaurus » et « Hyperion » déployés dans les structures d’accueil et d’hébergement des demandeurs d’asile, en coopération avec les organisations de la société civile Hellenic League for Human Rights et HIAS Greece, ainsi que l’universitaire Niovi Vavoula. Le système « Centaurus » est un système numérique de gestion de la sécurité électronique et physique autour et à l’intérieur des installations, utilisant des caméras et des algorithmes d’analyse comportementale de l’intelligence artificielle, tandis que le système « Hyperion » est le principal outil de contrôle de l’accès (entrée et sortie) à ces installations à l’aide de données biométriques.

Aujourd’hui, l’association annonce que l’Autorité hellénique de protection des données a identifié d’importantes violations du GDPR dans cette affaire par le ministère de l’Immigration et de l’Asile, parmi lesquelles l’absence d’AIPD, la quasi-impossibilité pour les personnes concernées d’exercer leurs droits. En conséquence, l’autorité a décidé d’imposer une amende de 175 000 euros – décrite comme la plus élevée jamais imposée à un organisme public dans le pays – et a par ailleurs 3 mois pour se mettre en conformité avec la réglementation.

[Ajout contextuel Portail RGPD: Cette sanction met en valeur les différences entre le régime juridique grec et le régime français : en France, les sanctions pécuniaires sont en effet expressément écartées par l’article 20 de la Loi Informatique et Libertés s’agissant des traitements mis en œuvre par l’Etat.]

Disponible (en anglais) sur: homodigitalis.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

Un accès au dossier patient informatisé surveillé par la CNIL !

Par Haas Avocats

Plusieurs établissements de santé ont été mis en demeure par la CNIL de mettre en place les mesures nécessaires pour garantir la sécurité du dossier patient informatisé (DPI), soulignant, en adéquation avec le principe de minimisation[1], que les données des patients ne doivent être accessibles qu’aux personnes justifiant le besoin d’en avoir connaissance.

Disponible sur: haas-avocats.com

CJUE – Arrêt C-61/22

L’insertion obligatoire dans les cartes d’identité de deux empreintes digitales est compatible avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel

Dans un arrêt rendu ce 21 mars, la Cour de Justice de l’UE estime que « l’obligation d’insérer deux empreintes digitales complètes dans le support de stockage des cartes d’identité constitue une limitation des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par la charte des droits fondamentaux de l’Union européenne. Toutefois, cette insertion est justifiée par les objectifs d’intérêt général de lutter contre la fabrication de fausses cartes d’identité et l’usurpation d’identité ainsi que d’assurer l’interopérabilité des systèmes de vérification » dans la mesure où elle est « apte et nécessaire à la réalisation de ces objectifs et n’est pas disproportionnée par rapport à ceux-ci ».

Autrement élément d’espèce intéressant: Le règlement en question a été adopté sur la mauvaise base juridique, a par conséquent déclaré invalide. Néanmoins, les juges ont estimé que « l’invalidation du règlement avec effet immédiat serait susceptible de produire des conséquences négatives graves pour un nombre important de citoyens de l’Union et pour leur sûreté dans l’espace de liberté, de sécurité et de justice. La Cour maintient, pour cette raison, les effets du règlement jusqu’à l’entrée en vigueur, dans un délai raisonnable et au plus tard le 31 décembre 2026, d’un nouveau règlement, fondé sur la bonne base juridique. »

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

RGPD : Deux opérateurs de tiers payant sanctionnés par la CNIL

Par Haas Avocats

Fin janvier, deux opérateurs, Viamedis et Almerys, assurant la gestion du tiers payant pour des nombreuses complémentaires santé et mutuelles ont subi une violation de données.

Disponible sur: haas-avocats.com

CNIL

Tests génétiques sur Internet : la CNIL appelle à la vigilance

Les tests génétiques vendus en kit sur Internet, notamment à visée généalogique, connaissent un fort succès. Qualifiés de « récréatifs », leur utilisation comporte pourtant des risques liés à la fiabilité des résultats et à l’absence de transparence sur l’utilisation des données personnelles sensibles recueillies.

Disponible sur: CNIL.fr

Retour en haut