Le Quotidien du 26 février 2021 : Données personnelles

[Brèves] Violation de données de santé : la CNIL rappelle les obligations incombant aux responsables de traitement à la suite d’une fuite de données massive annoncée dans les médias

Réf. : CNIL, communiqué de presse, 24 février 2021

Lecture: 2 min

N6594BYU

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Violation de données de santé : la CNIL rappelle les obligations incombant aux responsables de traitement à la suite d’une fuite de données massive annoncée dans les médias. Lire en ligne : https://www.lexbase.fr/article-juridique/65473375-breves-violation-de-donnees-de-sante-la-cnil-rappelle-les-obligations-incombant-aux-responsables-de-
Copier

par Marie-Lou Hardouin-Ayrinhac

le 25 Février 2021

► À la suite de la publication dans la presse de plusieurs articles concernant une fuite de données de santé massive, la CNIL a publié un communiqué de presse en date du 24 février 2021 dans lequel elle rappelle aux responsables de traitement leurs obligations en cas de violation.

Contexte. La CNIL a été informée par les médias de la publication d’un fichier contenant des données médicales de près de 500 000 personnes. Elle procède actuellement à des contrôles pour constater officiellement la mise à disposition du fichier.

Les constatations préliminaires semblent indiquer qu’il s’agit effectivement d’une violation de données d’une ampleur et d’une gravité particulièrement importante, et laissent à penser que les données proviendraient de laboratoires d’analyse médicale.

Rappel des obligations incombant aux responsables de traitement.

  • Notification. Si ces éléments devaient être confirmés, il incombe aux organismes concernés qui ne l’auraient pas déjà fait, de procéder à une notification auprès de la CNIL, dans les 72 heures suivant le moment où ils en ont pris connaissance.
  • Information individuelle. Lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne. Cela peut être le cas si, comme la presse s’en est fait l’écho, des données de santé particulièrement sensibles ont été divulguées et en nombre important.
  • Moyens proportionnés aux risques. Les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé.

En cas de manquement à ces obligations, la CNIL pourrait engager des actions répressives, sans préjudice des actions que les autres autorités compétentes seraient susceptibles de mener.

Le rôle de la CNIL en matière de cybersécurité. La CNIL accompagne les administrations et les entreprises dans la prise en compte de la sécurité informatique.

L'obligation de sécurité, inscrite dans la loi depuis plus de 40 ans, a été renforcée par le « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) et complétée de nouveaux outils comme la notification des violations, l’analyse d’impact sur la protection des données ou les codes de conduite.

Pour aller plus loin :

  • v. ÉTUDE : Les atteintes aux systèmes de traitement automatisé de données, in Droit pénal spécial, (dir. J.-B. Perrier), Lexbase (N° Lexbase : E9932EWR) ;
  • v. E. Le Moulec, Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, Lexbase Pénal, février 2021 (N° Lexbase : N6367BYH).

 

© Reproduction interdite, sauf autorisation écrite préalable

newsid:476594

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.