ACTUALITES Demande de rétractation d’une ordonnance « 145 » contraire au RGPD. La Cour d’appel de Nîmes a été saisie d’une demande de rétractation d’une ordonnance « 145 » (mesure d’instruction prévue par le Code de procédure civile, permettant de conserver ou d’établir, sur requête, des moyens de preuves), par laquelle une société a recueilli des éléments de preuves chez son concurrent, en faisant usage de données sensibles en guise de mots-clés. Lire l’article Certification HDS : un nouveau « nouveau projet de référentiel ». Le nouveau projet de référentiel HDS a fait l’objet de nouvelles modifications. Lire l’article CJUE : on peut être responsable du traitement sans traiter de données personnelles. Par un arrêt du 5 décembre 2023, la Cour de justice de l’Union européenne (CJUE) a estimé que le Centre national de santé publique (CNSP) lituanien pouvait bien être qualifié de responsable du traitement, s’agissant des traitements de données personnelles réalisés au moyen d’une application mobile développée par un de ses prestataires, alors même que le CNSP ne traite lui-même aucune donnée personnelle. Lire l’article Informer de la fermeture d’une clinique, oui. Mais pas n’importe comment… L’autorité de contrôle italienne a rappelé que les panneaux d’information n’ont, en principe, pas à contenir de données personnelles, et encore moins de données sensibles (GPDP Italie 8 juin 2023). Lire l’article Etudes cliniques : l’existence d’un tableau de concordance empêche toute anonymisation ? L’autorité de contrôle italienne est venue préciser la notion d’anonymisation et a considéré que des données ne sont correctement anonymisées qu’après avoir été agrégées et une fois le tableau de concordance entre le nom des patients et le code d’identification détruit (GPDP Italie, 18 juillet 2023). Lire l’article Droit d’accès : Peut-il être utilisé pour vérifier le bon déroulé du traitement… Médical ? Dans un arrêt du 26 octobre 2023, la Cour de justice de l’Union européenne (CJUE) a répondu à la question suivante : le droit d’accès permet-il à la personne concernée d’obtenir gratuitement une copie de son dossier médical, y compris lorsque cette demande n’est pas motivée par un des objectifs visés par le RGPD, et lorsqu’une disposition de droit national prévoit le remboursement des coûts engendrés par cette communication ? Lire l’article L’urgence médicale ne peut pas passer outre le RGPD. L’autorité de contrôle italienne a sanctionné un pneumologue pour avoir, sous prétexte de l’urgence, transmis à un tiers des données de santé. Lire l’article VU DANS LA PRESSE Dans la revue DSIH : Un organisme de contrôle médical peut-il traiter les données de santé de ses propres salariés ? Lorsqu’un organisme de contrôle médical traite des données de santé d’un de ses salariés afin d’évaluer les capacités de travail dudit salarié, la licéité d’un tel traitement au regard du RGPD interroge. Comment effectivement gérer cette double « casquette » de l’organisme, à la fois responsable de traitement agissant dans le cadre de sa mission de contrôle médical, et également employeur de la personne concernée par le traitement ? Un tel traitement peut-il être autorisé ? N’y-a-t-il pas conflit d’intérêts ? Le consentement du salarié concerné pour procéder à un tel traitement est-il requis ? Comment assurer le respect du secret médical au sein de l’organisme, en particulier vis-à-vis de l’équipe travaillant avec le salarié concerné ? Lire l’article |