FR EN

Toute l'actualité du social

23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
22.03.2024 10:34

DEEP FAKES PORNOGRAPHIQUES : Que dit la loi ?

La diffusion de deepfakes pornographiques mettant en scène la chanteuse Taylor Swift à la fin du...


Cat: Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Droit Social, Veille Juridique
12.02.2024 16:49

Congés payés : Les règles d’acquisition ont changé !

Le Conseil constitutionnel s’est prononcé à son tour (2/2)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Les essentiels, Veille Juridique
10.01.2024 14:55

Droit social : Attention à la rédaction de l’avis d’inaptitude !

A la suite d’un avis d’inaptitude d’un salarié, l’employeur est dispensé de toute recherche de...


Cat: Droit Social, Contentieux prud'homal et licenciements , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Veille Juridique
10.01.2024 10:39

Proposition d’un CDI à l’issue d’un CDD : une nouvelle formalité incombe aux employeurs

Depuis le 1er janvier 2024, une nouvelle procédure est en vigueur pour les employeurs souhaitant...


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Gestion des départs négociés , Relations individuelles et contrat de travail, Veille Juridique
26.12.2023 16:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 3 : La recherche de la vérité au prisme de la déloyauté de la preuve (3/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
25.12.2023 15:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 2 : Production des bulletins de paie (2/3)


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
24.12.2023 10:22

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 1 : Enregistrement vocal de l’employeur à son insu (1/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
voir les archives ->
< Levée de fonds : les avocats d'ALTIJ ont accompagné iXO Private Equity dans le LBO de EP2C ENERGY
15.12.2021 14:43 Il y a: 3 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Veille Juridique

VOTRE SANTÉ DANS LE VISEUR : RÉTROSPECTIVE CNIL 2021


Secteur en proie à de nombreuses cyberattaques et confronté à une forte règlementation, la santé était annoncée comme un chantier prioritaire de la CNIL pour l’année 2021. L’occasion de faire un retour sur les mouvements de la CNIL dans le domaine au cours de l’année passée.

 

 

Au titre de ses champs d’intervention prioritaires pour l’année 2021, la Commission nationale de l’informatique et des libertés (CNIL) a indiqué, dans une communication du 2 mars 2021, que ses contrôles seraient renforcés dans le domaine de la sécurité des données de santé « dans le contente sanitaire actuel et compte tenu des enjeux toujours croissants liés à la numérisation du secteur de la santé ».

 

Il est vrai que la santé, et plus particulièrement la sécurité des données de santé, fait l’objet d’un intérêt particulier :

 

  • D’une part, le secteur est en proie à de nombreuses attaques informatiques, en témoigne notamment, entre autres exemples, la fuite de données de santé constatée par l’Assistance Publique – Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la Covid-19 mi-2020 (la CNIL a d’ailleurs proposé des lignes directrices sur le sujet) ;

 

  • D’autre part, le secteur sanitaire fait l’objet, compte tenu de la particularité et de la sensibilité des données concernées, d’un traitement spécifique au sein du RGPD, à l’instar d’autres types de données telles que les opinions religieuses, politiques, etc. En sus du RGPD, l’ensemble des acteurs de la santé doivent composer avec de nombreuses dispositions qui s’imbriquent pour constituer un secteur particulièrement règlementé (secret médical, hébergement de données de santé, dispositif médical, etc.).

 

Face à cette hausse exponentielle du nombre de cyberattaques et de forte activité de la part des autorités de contrôle, les acteurs doivent redoubler de vigilance. Les experts data du cabinet d’avocats ALTIJ vous propose de faire un point des mouvements de la CNIL en la matière en 2021.

 

Ces douze derniers mois, la CNIL a mis en demeure la société Francetest pour sécurisation insuffisante des données de santé. En l’occurrence, le 27 août 2021, la CNIL a reçu un signalement anonyme indiquant l’existence d’une violation de sécurité affectant le site francetest.fr ; site permettant la simplification de la collecte et la transmission de données liées à la réalisation de tests antigéniques.

 

En l’espèce, des contrôles ont permis de démontrer l’existence d’une violation de données. La base de données exposée concernait 386 970 personnes uniques et comportait leur nom, prénom, adresse électronique, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale.

 

Bien que la société ait pris des mesures pour remédier à la vulnérabilité à l’origine des données, il n’en demeure pas moins que certaines insuffisances en matière de sécurité demeuraient : hébergement chez un prestataire ne disposant pas d’un agrément HDS (Hébergement de données de santé), insuffisances des processus d’authentification, faiblesse des procédés cryptologiques employés et carences dans la journalisation - procédé visant à l’enregistrement des actions des personnes accédant à l’outil - des activités des serveurs.

 

La CNIL a ainsi décidé de rendre publique la lettre de mise en demeure en raison de la sensibilité des données traitées ainsi que de la nécessité d’informer l’ensemble des personnes concernées par les traitements en cause de l’existence de manquements persistants à la sécurité des données.

 

Cette mise en demeure n’est pas la seule action de la CNIL dans le domaine de la santé au cours de l’année.

 

L’autorité a par ailleurs été particulièrement impliquée dans la gestion de la crise sanitaire et la fourniture de divers avis s’agissant des dispositifs mis en place dans ce cadre, et ce, depuis le mois de mars 2020. On note à cet effet que, par une délibération du 1er juillet 2021, la CNIL a rappelé les principes à respecter pour diffuser aux médecins la liste de leurs patients non vaccinés, notamment s’agissant de l’obligation pour ces derniers de détruire la liste à l’issue des campagnes de sensibilisation. Le risque de sollicitations excessives des personnes concernées a été également mis en exergue par l’autorité.

 

La CNIL a également déployé un référentiel destiné à aider les responsables de traitement dans le cadre de la gestion de la conformité RGPD. À cet effet, un référentiel sur les entrepôts de données de santé a été publié ; à savoir les bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ce référentiel permet aux organismes voulant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL. Toutefois, ce référentiel ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public au sens de l’article 6.1.e du RGPD.

 

L’autorité de contrôle française a par ailleurs organisé une consultation publique sur un référentiel pour la gestion des pharmacies en octobre 2021, dont le document de référence était jusqu’à l’entrée du vigueur du RGPD était la norme simplifiée 52 adoptée par la CNIL, laquelle n’est ainsi plus en vigueur depuis. Cette consultation a pris fin au 29 novembre 2021. Les acteurs du secteur sont dorénavant dans l’attente du référentiel établi et en passe d’être adopté par la CNIL.

 

Autant d’éléments qui témoignent du véritable millefeuille de règlementations s’appliquant au secteur sanitaire. Nos avocats du pôle Protection des données vous accompagnent afin de vous aider dans la mise en œuvre de votre documentation de votre conformité au RGPD et dans l’appréhension de règles spécifiques applicables au regard de la particularité des données de santé.

 

L'ÉQUIPE IP / IT DATA

 

Dans le cadre de son activité dédiée à la protection des données, le cabinet d’avocats ALTIJ assiste les organismes publics et privés afin de faire face aux défis de la nouvelle économie numérique et à l’exploitation exponentielle des données à caractère personnel et à caractère non personnel. Nos équipes se tiennent à votre disposition afin de vous accompagner dans l’appréhension du contexte règlementaire afférent et de sa mise en œuvre pratique.