Covid-19 et données personnelles – prenons le temps de la réflexion (8)

Une estimation risques / bénéfices qui reste à faire Récapitulons : (i) le consentement, libre et éclairé, demeure sujet à débat ; (ii) l’anonymisation pourrait être illusoire voire contre-productive ; (iii) il n’existe pas, pour l’heure, d’encadrement législatif prévoyant les garanties en termes de durée limitée, de destinataires spécifiquement définis et de mesures techniques et organisationnelles (incluant l’incontournable [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (7)

Une anonymisation réelle ? A cet égard, l’anonymisation (largement revendiquée en temps normal par de nombreux développeurs) constitue souvent un leurre. Il faut rappeler qu’une véritable anonymisation est en réalité difficile à atteindre, car par recoupement ou déduction, il est souvent possible de réattribuer des données à une origine, et donc à une personne concernée. A [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (6)

Les exigences légales à satisfaire Rappelons donc les caractéristiques d’un consentement éclairé : la personne concernée doit a minima avoir été informée des éléments suivants : L’identité du responsable de traitement, ou, le cas échéant, des responsables conjoints du traitement ou de responsables de traitement ultérieurs souhaitant effectuer des traitements sur la base du consentement initial ; La [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (5)

Les technologies de « contact tracing » Devant ces initiatives dispersées, plus ou moins gravement intrusives, le CEPD invite l’UE à procéder au développement d’une application commune aux états-membres, sécurisée et conforme au RGPD (notamment en termes de privacy by design). Un groupe de 130 chercheurs de huit pays européens entend donc lancer une plate-forme baptisée PEPP-PT [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (4)

2. La protection des données personnelles par les autorités publiques 2.1 Des collectes classiques par les autorités sanitaires… La question se pose de savoir si les autorités, qui affrontent la situation d’une façon que le présent article n’a pas vocation à qualifier, sauront également respecter la protection des données personnelles des individus, et plus largement [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (3)

1.2 La protection des données personnelles des clients de l’entreprise Ces premières limitations à ce que peuvent faire les entreprises ayant été rappelées, dès le début du mois de mars, compte tenu du caractère sensible des données de santé même en période de crise sanitaire, on doit souligner que la réorganisation des entreprises a également [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (2)

1. La protection des données personnelles dans et par l’entreprise 1.1 La protection des données personnelles des salariés de l’entreprise Très rapidement, la CNIL a rappelé aux responsables de traitement (entreprises et administrations) ce qu’il leur était possible de faire avec les données personnelles de santé, puisqu’elles sont évidemment convoquées dès qu’un individu est suspecté [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (1)

Les crises conduisent souvent à relativiser de nombreux impératifs qui, en temps normal, s’imposent sans grande difficulté. Elles poussent aussi, systématiquement, à raisonner en termes de circonstances exceptionnelles, de suspension des règles, et de procédures accélérées – parfois expéditives. Or, c’est précisément en temps de crise que les organisations doivent savoir distinguer l’essentiel de l’accessoire, [...]

La première sanction RGPD est portugaise !

La première sanction RGPD est portugaise ! C’est tombé ! La première sanction au titre du Règlement européen sur la protection des données personnelles (RGPD) concerne le Centre Hospitalier Barreiro au Portugal. L’autorité de contrôle portugaise, la Comissão Nacional de Proteção de Dados a infligé une amende de 400 000 euros au centre hospitalier.  I. Faits litigieux Les [...]

Mise en demeure de l’Assurance maladie par la CNIL : le difficile équilibre entre sécurité et ouverture des données de santé

De « multiples insuffisances de sécurité » dans un fichier contenant des données sur les assurés sociaux de l’Assurance-maladie ont été découvertes à l’occasion de contrôles diligentés par le gendarme des données personnelles, compromettant la vie privée de millions de Français. Ce sévère constat a été dressé à la suite d’une série de contrôles, de septembre 2016 [...]