juillet 2020

Données personnelles – Invalidation du Privacy Shield

2020-07-24T20:01:17+00:0024 juillet 2020|Actualités|

Le Comité Européen à la Protection des Données (ou EDPB) a publié un « questions-réponses » relatif à l’invalidation du Privacy Shield par un arrêt de la Cour de Justice de l’Union européenne (C-311/18) rendu la semaine dernière, le 16 juillet 2020. Cet arrêt fait suite à une demande de décision préjudicielle introduite par la Haute Cour irlandaise, dans une affaire opposant Facebook et Maximilien Schrems.

La Cour de Justice de l’Union européenne a jugé que le Privacy Shield n’assurait pas une protection des données personnelles équivalente à celle mise en place au sein de l’Union européenne. Certaines exigences américaines limitent la protection des données personnelles, notamment la loi américaine n’accorde pas aux personnes concernées de droits de recours devant les tribunaux contre les autorités américaines.

Cette décision est d’application immédiate.

Pour les responsables de traitement et les sous-traitants qui transfèrent des données personnelles depuis l’Union européenne vers des organismes situés aux Etats-Unis, il convient de

  •  Identifier les traitements de données concernés par de tels transferts de données,
  •  Vérifier si ces transferts sont réalisés et conformes à l’aide du Privacy Shield,
  •  Dans ce cas, revoir et mettre à jour l’analyse d’impact relative à ces traitements de données pour évaluer les mesures complémentaires de sécurité à mettre en place ainsi que les clauses contractuelles standards ou autres garanties appropriées.
Télécharger le PDF
Télécharger le PDF

juin 2020

CNIL – Publication du rapport d’activités 2019

2020-06-09T15:04:28+00:009 juin 2020|Actualités|

Dans son rapport d’activités pour 2019, paru ce matin, la CNIL constate que de nombreuses plaintes font suite principalement

  • à la réception de prospection,
  • au non-respect des droits des personnes, notamment le droit d’accès à des dossiers personnels dont 42 % sur l’accès au dossier médical,
  • aux défauts de sécurisation des données, avec les mots de passe transmis en clair ou non suffisamment complexe.

La CNIL révèle avoir procédé à 300 contrôles dont :

  • 169 contrôles sur place,
  •  53 contrôles en ligne,
  • 45 contrôles sur pièce,
  • 18 auditions.

Plus du tiers de ces contrôles font suite à des plaintes ou des réclamations. Et presque un quart fait suite à des signalements de violations de données personnelles.

Si la CNIL a noté plusieurs mauvaises pratiques, notamment concernant :

  •  des délais excessifs pour répondre aux demandes d’exercice de droits,
  •  l’absence de lien de désabonnement dans les courriels de prospection commerciale,
  •  le fait qu’un client ne puisse pas supprimer son compte en ligne par lui-même.

Elle souligne plusieurs bonnes pratiques tel que

  • l’élaboration de réponses types à destination du service client pour gérer l’exercice des droits des personnes,
  •  l’utilisation d’une adresse électronique dédiée par un service unique,
  • le traçage des demandes d’exercice des droits dans un outil spécifique.
Télécharger le PDF

Arrêté du 26 mai 2020 de nomination des membres du Comité éthique et scientifique pour les recherches

2020-06-09T09:51:39+00:009 juin 2020|Actualités|

Les membres du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé ont été nommés par arrêté du 16 mai 2020, paru au Journal officiel de ce jour.

Cette nomination intervient dans le prolongement du décret n°2020-567 du 14 mai 2020 qui actait l’évolution du CERESS en CESREES, et ce, pour une durée de 5 ans renouvelable une fois.

Ce comité est saisi, préalablement à la saisine de la CNIL, de toute demande de mise en œuvre des traitements de données à caractère personnel ayant pour finalités la recherche, l’étude ou l’évaluation dans le domaine de la santé et n’impliquant pas la personne humaine. Il émet un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s’il y a lieu, sur la pertinence scientifique et éthique du projet.

Depuis le décret du 14 mai dernier, le comité peut se prononcer sur le caractère d’intérêt public d’un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé à la demande du président de la Commission nationale informatique et libertés ou du ministre chargé de la santé, ou de sa propre initiative lorsqu’il examine le dossier d’une demande d’autorisation relative à un traitement de données à caractère personnel. (Cf Actualités du 16 mai)

Télécharger le PDF

mai 2020

Décret n°2020-567 sur les traitement de données à des fins de recherche dans la santé

2020-05-16T00:59:30+00:0016 mai 2020|Actualités|

Le décret n°2020-567 du 14 mai 2020 relatif aux traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé vient modifier le décret n°2019-536 du 29 mai 2019, et ce, suite à la loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.

Le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (« CESREES ») succède au CEREES.

Le décret prévoit la possibilité pour le CESREES de se prononcer sur le caractère d’intérêt public des traitements de données à des fins de recherche, d’étude ou d’évaluation sur saisine du président de la Commission Nationale de l’Informatique et des Libertés (CNIL) ou du ministre chargé de la santé ou de sa propre initiative lors de l’examen des demandes d’autorisation.  La CNIL avait recommandé que le CESREES se prononce systématiquement sur la finalité d’intérêt public des projets de recherche.

Le sens de l’avis rendu par le Comité ou la motivation de l’avis pour les traitements autorisés sera publié sur le site de la Plateforme de données de santé.

Dans son avis sur le projet de décret qui lui a été soumis, la CNIL recommandait qu’un article spécifique du décret soit dédié au répertoire public mis à disposition par le secrétariat unique afin de préciser le périmètre des recherches et des informations devant y figurées. Elle proposait de regrouper dans un seul répertoire public toutes les recherches n’impliquant pas la personne humaine qu’elles aient été mises en œuvre dans le cadre d’un engagement de conformité à une méthodologie de référence ou d’une demande d’autorisation. Le décret de 2019 reste inchangé sur ce point.

Télécharger le PDF