Actualités RGPD

Retrouvez toutes les actualités européennes en matière de RGPD, nos études et nos conseils pour élaborer au mieux votre plan d’action dans votre mise en conformité RGPD.

Actualités RGPD

Retrouvez toutes les actualités européennes en matière de RGPD, nos études et nos conseils pour élaborer au mieux votre plan d’action dans votre mise en conformité RGPD.

Tempête de Sanctions : La CNIL sévit avec 83.000€ d’amendes en 3 mois !

Tempête de Sanctions : La CNIL sévit avec 83.000€ d’amendes en 3 mois !

Depuis mars 2024, la CNIL a rendu neuf nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée. Le montant total des amende s’élève à 83.000€. La procédure simplifiée La procédure simplifiée de la CNIL permet à l’autorité de contrôle d’intervenir rapidement et efficacement. Elle le fait dans les cas de manquements mineurs ou peu complexes aux règles de protection des données. Elle évite ainsi le besoin d’un processus long et complexe. Ainsi, les petites entreprises ne sont pas exemptes de contrôles et de sanctions. Cette procédure autorise la CNIL à détecter les infractions à distance, facilitant ainsi sa capacité à agir rapidement. La CNIL peut se saisir de manière autonome, suite à la publication de violations dans les médias, ou encore suite à des signalements émanant d’autres CNIL européennes, grâce à une coopération active. Ces méthodes permettent à la CNIL de surveiller efficacement un vaste éventail d’organisations et de prendre promptement des mesures correctives. En d’autres termes, même si la CNIL ne communique pas toujours ouvertement sur ses actions, cela ne signifie en aucun cas qu’elle ne prend pas de sanctions lorsque nécessaire ! Depuis le mois de mars 2024, l’organisation a déjà rendu 9 sanctions, dont deux liquidations d’astreinte. Unitae RGPD vous propose un récapitulatif des nouvelles sanctions prononcées. Les nouvelles sanctions ➡️ Manquement relatif aux traitements illicites : La CNIL a sanctionné une société pour avoir diffusé une vidéo promotionnelle contenant des données sensibles (nom, prénom, genre, adresse, numéro de téléphone) sans le consentement des personnes concernées. ➡️ Manquement à la minimisation des données : le RGPD appelle à restreindre au minimum la collecte d’informations personnelles. Ainsi, un centre d’appel enregistrant systématiquement et intégralement les conversations téléphoniques a été sanctionné. ➡️ Manquement concernant l’utilisation des cookies : Un site web ne permettait pas aux utilisateurs de refuser les cookies aussi facilement que de les accepter (pratique qui va à l’encontre des exigences de l’article 82 de la loi Informatique et Libertés). ➡️ Défaut de sécurité des données : attention à vos mots de passe ! La CNIL a sanctionné certaines sociétés pour leurs mesures de sécurité insuffisantes, notamment l’utilisation de mots de passe non robustes, le stockage de mots de passe en clair et l’absence de politique d’habilitation. ➡️ Non-respect des droits des personnes : Des entreprises ont été sanctionnées pour ne pas avoir respecté les droits des personnes, notamment en ce qui concerne l’exercice du droit d’accès à un dossier médical. D’autres infractions récurrentes s’ajoutent à celles susmentionnées, dont le détournement de finalités, le non-respect de la durée de conservation des données ou encore le défaut de coopération avec la CNIL. À l’issue de la procédure simplifiée, 3 mesures : Lorsque la CNIL observe un ou plusieurs manquements, elle peut prononcer trois mesures à l’encontre de l’entreprise concernée : Ces récentes sanctions, et leurs mesures correspondantes rappellent l’importance de la protection des données et du respect du RGPD. Vous souhaitez en savoir plus sur la conformité de votre entreprise au RGPD ? N’hésitez pas à nous contacter pour obtenir des conseils et des solutions adaptées à vos besoins 💡

usurpation d'identité

Usurpation d’identité d’Unitae RGPD

Usurpation d’identité : La rançon du succès ? Bonjour à tous, Nous tenions à vous communiquer une situation plutôt surprenante : il semblerait qu’une personne avec de moins nobles intentions ait décidé d’endosser notre identité afin de vous envoyer plusieurs courriels de prospection. C’est flatteur de devenir une cible de choix, mais nous devons avouer que cela dépasse un peu les bornes de la flatterie. Nous apprécions votre soutien dans cette affaire et je voulais simplement vous informer de cette situation. Si jamais vous recevez des messages à but prospectif en provenance du nom de domaine « @unitae-rgpd.eu » ou de l’adresse « nom+prénom@unitae-rgpd.eu » ce n’est pas notre entreprise. Bien que l’impact semble être limité, nous prenons malgré tout le problème au sérieux : ➡ Nous avons vérifié que nos systèmes n’ont pas été corrompus. D’ailleurs la personne qui me l’a notifié ne fait pas partie de notre BDD. ➡ Nous n’envoyons que très peu de mails commerciaux. La majeure partie de notre BDD est constitué d’abonnements à notre newsletter de veille. Les seules données utilisées sont l’adresse mail et les coordonnées de l’entreprise concernée. Nous sommes conscients que nous aurions du racheter les noms de domaine similaires afin de limiter une potentielle usurpation, mais nous ne pensions pas que cela arriverait aussi tôt. Dans le doute, n’hésitez pas à venir nous consulter. Merci à vous pour votre attention et votre soutien continu.À très vite,

Les clauses RGPD obligatoires dans les Conditions Générales de Vente (CGV)

L’adoption du Règlement Général sur la Protection des Données (RGPD) a marqué un tournant majeur dans la manière dont les entreprises traitent les données personnelles de leurs clients. Ce règlement a introduit des exigences strictes pour garantir la protection des données personnelles. Entre autres, l’implémentation de nouvelles clauses RGPD obligatoires dans les Conditions Générales de Vente (CGV) des entreprises. Changements Apportés par le RGPD Avant l’adoption du RGPD, les entreprises avaient plus de liberté dans la manière dont elles collectaient, utilisaient et stockaient les données personnelles. Cependant, avec l’entrée en vigueur du RGPD, plusieurs changements majeurs ont été apportés : Impact sur les CGV Les CGV, qui établissent les obligations et responsabilités de chaque partie au contrat, doivent être mises à jour avec ces nouvelles clauses RGPD obligatoires pour refléter ces changements. Il est essentiel d’inclure des stipulations sur le traitement des données personnelles pour garantir la conformité avec le RGPD. Par exemple, les CGV doivent désormais inclure des informations sur la manière dont les données personnelles sont collectées, traitées et stockées, ainsi que sur les droits des individus concernant leurs données. Les nouvelles clauses RGPD obligatoires : Les CGV doivent inclure des stipulations spécifiques sur le traitement des données personnelles. Outre la mention de l’existence des données à caractère personnel, plusieurs autres mentions doivent être insérées dans les CGV, notamment : Comment Unitae RGPD Peut Vous Aider Les consultants d’Unitae RGPD ont développé une expertise particulière dans la mise en conformité des CGV avec le RGPD. Depuis ces nouvelles obligations, nous avons aidé de nombreux clients à rédiger ou à mettre à jour leurs CGV pour garantir leur conformité. Aujourd’hui nous rajoutons cette expertise dans nos services complémentaires afin de vous permettre d’en bénéficier sans choisir une conformité complète. Vous trouverez ce service ici. N’hésitez pas à nous contacter pour avoir plus d’informations. Nos équipes sont à votre disposition.

Un outil gratuit pour faciliter le refus de la publicité ciblée sur Facebook

Meta a révisé sa base légale pour le ciblage publicitaire, passant d’une pratique illégale à une autre. Au lieu de donner aux utilisateurs la possibilité de consentir ou non, conformément au RGPD, Meta prétend maintenant (de manière illégale) avoir un « intérêt légitime » pour suivre les utilisateurs et propose un processus de désinscription extrêmement complexe via un formulaire en ligne. Face à cela, l’association NOYB a développé un outil gratuit permettant aux utilisateurs de s’opposer de manière simple et juridiquement valable à la publicité ciblée et aux autres revendications de Meta. Noyb est une association regroupant des groupes de défense des internautes sur la protection des données. Elle est fondée par Max SCHREMS, personnalité à l’initiative de l’invalidation du Privacy Shield, encadrant le transfert des données des utilisateurs européens vers les USA. On retrace l’histoire : Alors que de nombreuses entreprises demandent aux utilisateurs de donner leur consentement explicite (opt-in) pour l’utilisation de leurs données personnelles à des fins publicitaires, Meta (Facebook et Instagram) a tenté d’éviter cette exigence en prétendant que l’utilisation de ces données était « nécessaire dans le cadre du contrat » conclu avec les utilisateurs au moment de l’entrée en vigueur du RGPD en 2018. Noyb, l’organisation de défense des droits numériques, a immédiatement contesté cette pratique et a porté une série de plaintes devant le Comité européen de la protection des données (CEPD) en décembre 2022. Meta avait jusqu’au mois d’avril pour mettre fin à cette pratique contestée. Cependant, au lieu de se conformer aux exigences du RGPD, Meta a récemment tenté de justifier son traitement des données en invoquant son prétendu « intérêt légitime », prétendant que cet intérêt prévaut sur le droit fondamental à la vie privée et à la protection des données des utilisateurs. Il convient de noter que cette approche a déjà été rejetée par les régulateurs dans des affaires similaires, telles que celle de TikTok devant l’autorité de protection des données italienne ou celle de l’IAB TCF devant l’autorité de protection des données belge. Max Schrems souligne que Meta passe d’une option illégale à une autre. L’entreprise affirme essentiellement que son intérêt à maximiser ses profits grâce au profilage et au suivi des utilisateurs prime sur les droits fondamentaux de ces derniers. Cette tentative de justification a déjà été contestée et réprimandée par les autorités compétentes à plusieurs reprises. De plus, Meta tente de limiter le droit des internautes en rendant difficile d’accès le formulaire de contestation. C’est contraire au RGPD qui implique un principe de transparence. Voici le formulaire caché de Facebook ici Pour faire face au mépris de Meta, Noyb a décidé d’agir de son coté, en facilitant la contestation de l’utilisation de vos données à des fins publicitaires par Facebook. L’outil développé par Noyb : Une solution rapide et simple a été développée par noyb pour permettre à l’utilisateur de s’opposer au traitement des données. L’option de retrait gratuite de l’outil de désinscription de noyb offre aux utilisateurs la possibilité de refuser tout traitement basé sur un « intérêt légitime » et de s’opposer en général à l’utilisation de leurs données personnelles à des fins de publicités ciblées. Cela permet d’inverser les rôles : Meta devait, à la base, expliquer pourquoi une exclusion générale est excessive, alors que notre outil permet aux utilisateurs de s’exclure de manière générale. Par conséquent, la responsabilité de débattre des aspects juridiques est transférée de l’utilisateur à Meta. Avec cet outil, la responsabilité est donc transférée et le groupe est tenu de traiter l’objection sans retard excessif et dans un délai d’un mois, au minimum.

Pourquoi choisir un DPO Externe est avantageux pour vos démarches de conformité au RGPD ?

Dans vos démarches de conformité au RGPD, la désignation d’un Délégué à la Protection des Données (DPO) est fortement recommandée. Il a un rôle fondamental dans l’application des procédures et le suivi de votre conformité. Bien qu’obligatoire dans certains cas, beaucoup d’organisations, notamment les PME, peuvent trouver coûteux et complexe d’avoir un DPO interne à plein temps. L’alternative ? Externaliser cette fonction. Dans cet article, nous allons explorer en détail les avantages d’un DPO externe et les étapes pour l’externaliser efficacement. 3 avantages de choisir un DPO Externe : 1. Rentabilité Un DPO interne à plein temps est une charge significative pour une entreprise, en particulier pour les petites et moyennes entreprises (PME). Dans la plupart des cas, la fonction de DPO est attribuée à une personne déjà en poste au sein de l’organisme. Ce n’est pas la solution la plus adéquate car nous avons tendance à minimiser l’implication du DPO et la charge de travail supplémentaire que cela implique. Le DPO devient le responsable de la conformité. Il doit répondre aux demandes d’exercices de droit, s’assurer des mises-à-jour des documents etc etc… Sous-estimer la charge de travail peut être néfaste : D’une part, le salarié devient moins productif sur son poste principal, d’autre part, cela peut créer des tensions et du stress si le concerné n’arrive pas à joindre les deux bouts. En plus du salaire, de nombreux frais annexes peuvent s’ajouter : En revanche, l’externalisation de cette fonction à un DPO externe vous permet de bénéficier d’un service professionnel tout en minimisant les coûts. Vous payez pour l’expertise et le temps nécessaire, sans avoir à supporter le coût d’un employé à plein temps. 2. Expertise spécialisée L’une des raisons principales d’externaliser le rôle de DPO est l’accès à une expertise spécialisée. Les réglementations sur la protection des données sont complexes et en constante évolution. Un DPO externe, qui se consacre à temps plein à la protection des données et au respect du RGPD, possède souvent une connaissance approfondie et actualisée de ces réglementations. Un DPO externe a l’habitude de travailler avec une variété d’entreprises, ce qui lui permet d’acquérir une expérience précieuse dans différents secteurs et situations. Cette expérience transversale peut être particulièrement utile pour les entreprises qui opèrent dans des secteurs spécifiques où les exigences du RGPD peuvent être plus complexes ou moins bien comprises. Par exemple, le secteur de la santé a des exigences particulières en matière de protection des données en raison de la nature sensible des informations de santé. Un DPO externe ayant une expertise dans ce secteur comprendra les implications du RGPD pour la manipulation des données de santé, sera à jour sur les meilleures pratiques et pourra fournir des conseils pertinents sur la manière de gérer les données de santé de manière conforme. De même, si vous opérez dans un secteur comme le commerce électronique, où les transactions et les interactions avec les clients impliquent la collecte et le traitement de grandes quantités de données personnelles, un DPO externe avec une expertise dans ce domaine sera précieux. Ils comprendront les risques associés à la manipulation des données des clients, seront à jour sur les dernières réglementations et meilleures pratiques, et pourront vous conseiller sur la manière de mettre en œuvre des politiques de protection des données robustes. Un DPO externe a également l’avantage d’être au courant des développements législatifs récents et des décisions de justice qui pourraient affecter votre conformité au RGPD. Cela signifie qu’ils peuvent vous aider à anticiper et à vous préparer à d’éventuels changements, vous assurant ainsi de rester toujours en conformité avec les réglementations les plus récentes. 3. Perspective externe Un DPO externe apporte une perspective extérieure à votre organisation, ce qui peut être bénéfique pour évaluer vos processus et politiques de conformité. Par exemple, ils peuvent identifier les points aveugles ou les lacunes dans vos procédures de protection des données que vous auriez pu manquer. L’intérêt principal est la neutralité. Le DPO peut parfois mettre en lumière certains conflits internes entre différents services. Par exemple, le service marketing souhaite diffuser une offre commerciale à l’ensemble des utilisateurs et le service juridique bloque toute action de leur part. Dans ce cas de figure, le DPO Externe comprend les objectifs de chacun est doit être force de proposition sur une solution qui conviendra aux deux parties. De plus, il est interdit d’exercer une pression sur le DPO qui a un rôle d’indépendant. La direction ne peut donc pas obliger le DPO à passer outre ses fonctions, et réciproquement le DPO ne doit pas avantager ses collègues si ces derniers ne respectent pas le RGPD. Comment externaliser le rôle de DPO? 1. Définir vos besoins La première étape consiste à comprendre vos besoins en matière de protection des données. Par exemple, si votre entreprise traite de grandes quantités de données sensibles, vous aurez besoin d’un DPO avec une expertise dans des domaines tels que la sécurité des données et la gestion des violations de données. Une entreprise de technologie, en revanche, pourrait avoir besoin d’un DPO avec une connaissance approfondie des questions liées à la technologie de l’information. La fonction de DPO est souvent mal comprise. C’est une vraie plue-value dans votre entreprise car, agissant comme un véritable chef de projet, il peut suivre en interne le développement de processus qui amélioreront la productivité de vos collaborateurs. Il est donc important de mettre à plat l’ensemble de ses besoins en matière de conformité et adapter le poste de DPO en fonction. 2. Rechercher le bon prestataire Une fois que vous avez une idée claire de vos besoins, vous pouvez commencer à rechercher un prestataire de services DPO. Vous pourriez chercher des recommandations, lire des avis en ligne, ou demander des références. Une bonne agence de DPO aura une solide expérience du RGPD, une bonne réputation, et une expertise dans votre secteur d’activité. Attention lorsque vous choisissez un profil. On a tendance à rapprocher le poste de DPO au service juridique. Cependant les juristes s’occupent parfaitement de l’aspect réglementaire, mais

Changer son mot de passe régulièrement, est-ce vraiment utile ?

Plusieurs experts en cybersécurité recommandent souvent de renouveler ses mots de passe périodiquement pour renforcer la sécurité. Par exemple, l’Assurance Maladie, a récemment envoyé un e-mail à ses utilisateurs leur suggérant de changer leurs mots de passe régulièrement. La justification d’une telle recommandation réside dans deux hypothèses : Cependant, avec l’évolution de la technologie, ces deux hypothèses méritent d’être examinées à nouveau. Aujourd’hui, grâce à la disponibilité de dispositifs hautement performants et de serveurs de calcul massifs, le décryptage des mots de passe peut être réalisé en quelques secondes. De plus, même si le fait de changer régulièrement de mot de passe peut sembler limiter les dommages, la réalité est que la plupart des attaquants ont déjà volé et utilisé les données nécessaires immédiatement après avoir dérobé le mot de passe. Dans un monde idéal, le renouvellement périodique des mots de passe renforcerait la sécurité. Cependant, l’expérience nous montre que la plupart des internautes, contraints de mémoriser leurs mots de passe, optent pour des modifications minimes et prévisibles lorsqu’on leur demande de les changer. Cela signifie que l’intention initiale de renforcer la sécurité est souvent compromise par des modifications prévisibles et des astuces mnémotechniques. Alors, comment renforcer sa sécurité sur internet ? Les mots de passe ne sont pas le seul moyen de se protéger. Quelques autres moyens de se protéger : … Un jour, il pourrait même être possible d’automatiser le changement des mots de passe pour améliorer la sécurité sans alourdir la charge cognitive des utilisateurs. Enfin, il est important de se rappeler que la sécurité des mots de passe est un aspect crucial, mais loin d’être le seul, de la sécurité en ligne. Des mesures de sécurité robustes et adaptées aux risques actuels sont essentielles pour protéger nos données et nos activités en ligne. Quand faut-il changer son mot de passe ? Peu importe la raison pour laquelle vous changez votre mot de passe, choisissez un nouveau mot de passe sans lien avec votre ancien mot de passe et ne réutilisez pas un mot de passe d’un autre compte.

Miniature titre article

Comment chiffrer ses mails ? Le chiffrement, mode d’emploi.

Le chiffrement est un processus qui consiste à transformer des données en un format illisible, appelé « chiffré », qui ne peut être compris que par une personne ou une entité qui possède la « clé » de déchiffrement. Le chiffrement peut être utilisé pour protéger les données stockées sur des appareils tels que les ordinateurs et les smartphones, ainsi que pour protéger les données en transit lorsqu’elles sont envoyées via Internet. Mettre en place ce procédé dans votre organisme a de nombreux avantages : Dans le cadre d’un audit de conformité RGPD, nous préconisons à nos clients de mettre en place ce type de solution. Nous pouvons également le paramétrer dans le cadre d’une mise en conformité. Pour des personnes non initiée à l’informatique, mettre en place un chiffrement des emails peut s’avérer fastidieux. Unitae RGPD a rédigé cet article de manière à le rendre compréhensible et concret pour la plupart des utilisateurs de ces solutions. Comment choisir une solution de chiffrement d’emails ? Lors de l’évaluation des options disponibles, il est important de tenir compte des facteurs suivants : Il existe 3 méthodes principales afin de chiffrer ses communications. Voici quelques-unes des options les plus courantes de chiffrement d’e-mails : 1 – PGP (Pretty Good Privacy) : PGP est un logiciel de chiffrement d’e-mails open-source qui utilise des clés publiques et privées pour chiffrer et déchiffrer les e-mails. Il est disponible sous forme de plugin pour plusieurs clients de messagerie, notamment Microsoft Outlook, Mozilla Thunderbird et Apple Mail. Avantages : Inconvénients : 2 – S/MIME : S/MIME (Secure/Multipurpose Internet Mail Extensions) C’est un standard de sécurité pour les e-mails qui utilise des certificats numériques pour chiffrer et signer les messages électroniques. Il est pris en charge par de nombreux clients de messagerie, notamment Microsoft Outlook et Apple Mail. Avantages : Inconvénients : 3 – Chiffrement basé sur le cloud : Certaines entreprises proposent des solutions de chiffrement basées sur le cloud qui chiffreront automatiquement les e-mails sortants et déchiffreront les e-mails entrants pour les utilisateurs autorisés. Ces solutions de chiffrement basées sur le cloud sont faciles à utiliser et ne nécessitent pas de configuration complexe. Avantages : Inconvénients : Bien, maintenant que vous connaissez les 3 méthodes différentes, vous devez choisir un client de messagerie qui vous proposera le chiffrement. Par exemple, sur Outlook, il est possible de chiffrer ses emails en allant dans les paramètres. L’expéditeur devra également avoir la licence Office 365 Entreprise. ATTENTION : Il ne sera plus possible de retrouver les emails par le contenu, vu qu’ils seront chiffrés. Cependant, Microsoft à laisser l’objet du mail non chiffré afin de permettre aux utilisateurs de faire leurs recherches. Quelles solutions disponibles pour mettre en place le chiffrement de ses emails : ProtonMail : ProtonMail est un service de messagerie sécurisé basé en Suisse. Il utilise un chiffrement de bout en bout pour protéger vos e-mails, ce qui signifie que même ProtonMail ne peut pas accéder à vos messages. ProtonMail offre également des fonctionnalités telles que la protection par mot de passe, la révocation de messages et la vérification en deux étapes. Avantages : Inconvénients : Tutanota : Tutanota est un autre service de messagerie sécurisé basé en Allemagne. Il utilise également un chiffrement de bout en bout pour protéger vos e-mails et offre des fonctionnalités telles que la vérification en deux étapes, la récupération de compte sécurisée et la protection contre les attaques par force brute. Avantages : Inconvénients : Virtru : Virtru est une solution de chiffrement d’e-mails basée sur le cloud qui fonctionne avec plusieurs clients de messagerie, tels que Gmail, Outlook et Yahoo. Virtru utilise un chiffrement de bout en bout pour protéger vos e-mails et offre des fonctionnalités telles que la révocation de messages, la protection par mot de passe et la protection contre les captures d’écran. Avantages : Inconvénients : Sendinc : Sendinc est un service de chiffrement d’e-mails basé sur le cloud qui fonctionne avec plusieurs clients de messagerie, tels que Outlook, Gmail et Yahoo. Sendinc utilise un chiffrement de bout en bout pour protéger vos e-mails et offre des fonctionnalités telles que la protection par mot de passe, la révocation de messages et le suivi des e-mails. Avantages : Inconvénients : Le paramétrage du chiffrement est assez simple lorsque l’on est guidé par la solution que vous préférez. Dans certains environnements, le chiffrement des emails est une solution envisageable lorsque l’on transfère de la données ou des informations complémentaires. Il vient en substitut de votre boite mail classique. Vous avez désormais toutes les cartes en main pour chiffrer vos emails. Nous restons à votre disposition si vous avez des questions sur le chiffrement.

Image de miniature textuelle

RGPD et Données de Santé : Quelles sont les conditions de collecte et conservation ?

Les données de santé sont des données à caractère personnel particulièrement sensibles. A ce titre, elles bénéficient d’un régime de protection spécifique et de mesures de sécurité renforcées. Dans ce cadre la CNIL a publié 3 référentiels CNIL  qui régissent particulièrement ces données santé :   Auquel la CNIL adjoint : Un guide pratique sur les durées de conservation qui apporte une aide aux professionnels dans la définition pertinente des durées de conservation de leurs traitements de données personnelles Par la présente note de synthèse nous analysons les principaux axes réglementaires issus principalement de ces normes que tout organisme détenant ou gérant des données santé se doit de connaitre   I.   LES DONNÉES DE SANTÉ : LES INFORMATIONS CONCERNÉES 1.1 Définition des données de santé et exemples de données considérées comme telles Les données dites de  santé sont définies comme : « Les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Il s’agit des informations qui permettent d’identifier une personne et qui concernent son état de santé physique ou mental, passé, présent ou futur. Pratiquement, le RGPD considère que ces données de santé sont des données personnelles particulièrement sensibles en raison de leur nature. Les principales données de santé sont les suivantes : Cela peut inclure des informations telles que les antécédents médicaux, les résultats de tests, les diagnostics, les traitements, les allergies ou encore les handicaps. 1.2 Distinction entre les données de santé sensibles et non sensibles Certaines données de santé peuvent être considérées comme étant plus sensibles que d’autres, car elles révèlent des informations intimes ou confidentielles sur la personne concernée. C’est notamment le cas des données relatives à la sexualité, à la santé mentale, à la toxicomanie ou encore à la génétique. Il est important de noter que le RGPD ne fait pas de distinction entre les données de santé recueillies auprès d’un patient ou d’une personne en bonne santé. Ainsi, toutes les informations permettant d’identifier une personne et de révéler son état de santé sont considérées comme des données de santé et sont soumises aux règles de protection prévues par le RGPD. II. LES RÈGLES DU RGPD APPLICABLES AUX DONNÉES DE SANTÉ Le RGPD impose une interdiction générale de traitement des données de santé, sauf dans certains cas précis. En effet, eu égard à la sensibilité de ces données, leur traitement doit être encadré de manière très stricte pour garantir la protection des droits et des libertés des personnes concernées. Le traitement des données de santé est autorisé dans les cas suivants : III. CONDITIONS POUR LA COLLECTE DE DONNÉES DE SANTÉ : Le traitement des données de santé est en principe interdit par le RGPD, néanmoins celui-ci est venu poser deux exceptions : 3.1 L’obtention du consentement de la personne Le traitement des données de santé est autorisé dans le cas où la personne physique donne son accord au responsable de traitement. Le recueil du consentement est cependant soumis au respect de quatre critères cumulatifs. : A ce titre par exemple  la manifestation du consentement doit être recherché par le médecin avant que celui-ci procède à un acte médical. Le code de la santé publique dispose que : “lorsque le malade, en état d’exprimer sa volonté, refuse les investigations ou le traitement proposés, le médecin doit respecter ce refus après avoir informé le malade de ses conséquences. Si le malade est hors d’état d’exprimer sa volonté, le médecin ne peut intervenir sans que la personne de confiance, à défaut, la famille ou un de ses proches ait été prévenu et informé, sauf urgence ou impossibilité.” Seul deux cas de malades n’ont pas à exprimer leur volonté : les mineurs et les majeurs sous tutelle. 3.2 LES EXCEPTIONS À L’OBLIGATION DE CONSENTEMENT Le RGPD prévoit plusieurs exceptions permettant le traitement des données de santé, notamment dans les situations ci-dessous : Dans certains cas, le traitement de données de santé doit être autorisé par la Commission nationale de l’informatique et des libertés (CNIL) : À l’exception des études « internes », tous les projets de recherche ou d’étude ou d’évaluation dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l’objet d’une formalité préalable auprès de la CNIL. Ainsi, lorsqu’ils ne sont pas conformes à une méthodologie de référence, ces projets doivent être autorisés par la CNIL.La CNIL exigera la production d’une analyse d’impact pour instruire les demandes d’autorisation présentant une finalité d’intérêt public. (Voir demandes d’autorisation en santé : la CNIL publie les critères à respecter–06 février 2023)

Unitae RGPD intervient à la Guardia Cybersecurity School

Nous sommes fiers d’avoir été sollicité à donner une semaine de cours sur le Règlement Général sur la Protection des Données (RGPD) aux 3ème année de la Guardia Cybersecurity School, école réputée située au coeur de l’Arche de la Défense. Au cours de cette semaine, nos experts ont partagé leur savoir-faire et leurs connaissances sur les meilleures pratiques en matière de protection des données personnelles en mêlant théorie et ateliers pratiques. Au progamme : Nos experts ont animé des cours sur les dispositions clés du RGPD, notamment l’obtention du consentement des clients pour la collecte et le traitement des données, la mise en place de mesures de sécurité des données, et la conformité avec les réglementations européennes en matière de protection des données. Les participants à nos cours ont exprimé leur satisfaction quant à la qualité de nos interventions et la pertinence des informations fournies. Ils ont particulièrement apprécié les conseils pratiques et les solutions concrètes proposées pour les aider à mettre en place dans leurs entreprises. Chez Unitae RGPD, nous sommes déterminés à continuer à aider les étudiants à comprendre et à se conformer aux réglementations en matière de protection des données personnelles. Nous continuerons à organiser des cours et des formations pour diffuser notre expertise et notre savoir-faire en la matière. De très belles choses sont à venir. Remerciements : Nous souhaitons tout d’abord remercier les élèves et les féliciter pour leurs travaux, leur écoute et leur rigueur. Vous avez fait preuve d’une vraie autonomie qui vous servira dans vos milieux professionnels. Nous sommes à votre écoute si vous avez des questions sur les sujets que nous avons vus ensemble. Merci également au Groupe Ditesco pour cette opportunité, et la confiance que vous nous avez accordé. Bien sûr, je n’oublie pas la Guardia Cybersecurity School et toute l’équipe pédagogique qui nous ont accueilli et accompagné au sein des locaux.