Vous êtes dans : Accueil > cnil >

Cnil299 documents taggés

La génétique selon la Cnil

20 novembre 2018 | Cédric Cartau | Tribune

Outre son rôle relatif à la protection des données personnelles – qui a démarré en 1978 à la suite du célèbre projet Safari d’interconnexion des fichiers administratifs[1] –, la Cnil publie aussi bon nombre de guides techniques ou sectoriels visant à apporter une aide, à la fois aux entreprises et aux particuliers, sur la compréhension de la réglementation en vigueur, qui se complexifie notoirement avec les avancées technologiques et les usages. On trouve ainsi des référentiels sur la Blockchain, les messageries sécurisées en santé, les obligations issues de la loi Informatiques et Libertés (IL) relatives au traitement des données RH et j’en passe.  

RGPD : un an après

13 novembre 2018 | DSIH, | Actualités

Lors du prochain Congrès national de la sécurité des SI de santé de l’Apssis, qui se tiendra au Mans du 2 au 4 avril 2019, Cédric Cartau*, vice-président de l’Apssis, délivrera une conférence intitulée « RGPD : un an après ». Cette intervention donnera suite à celle qui, cette année, lors du 6e Congrès national, avait permis de présenter les travaux du CHU de Nantes. Dans le but d’alimenter la réflexion sur la mise en œuvre opérationnelle du RGPD, Cédric nous propose une publication originale, une analyse empreinte d’un premier recul, et pose une première série de diagnostics.

RGPD ou l’art de croire au père Noël

13 novembre 2018 | Cédric Cartau | Tribune

La société « Foutoir Informatique  » – n’insistez pas, je garantis toujours l’anonymat de mes sources – envoie à ses clients un avenant RGPD. Normal, me direz-vous, il s’agit là de l’un des points à régler afin de déterminer qui est responsable de quoi au sein d’un traitement dont le client est en principe RT (responsable de traitement) et le fournisseur ST (sous-traitant).

RGPD, saison des prunes au Portugal

30 octobre 2018 | Cédric Cartau | Tribune

Dans un article récent[1], on apprend que la CNPD (la Cnil portugaise) vient d’infliger une amende de 400 000 euros à un hôpital pour défaut de respect du RGPD. Analyse.  

Actu sécu « en bref » : RGPD, Vulnérabilités, Attaques du moment

02 octobre 2018 | Charles Blanc-Rolin | Tribune

Pour commencer ce mois international de la cybersécurité, je vous propose un petit tour rapide des dernières actualités SSI du moment.  

Quid de la conformité au RGPD en santé ?

17 juillet 2018 | DSIH Formations, Yves Normand | Actualités

Le RGPD, vous connaissez ? Vous en avez entendu parler, bien entendu. Commençons par quelque chose de factuel : il s’agit d’un règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. On parle de règlement général sur la protection des données, ou de RGPD. Le RGPD (et non « la RGPD ») est entré en vigueur le 25 mai 2018.

Le guide pratique sur la protection des données personnelles est publié

21 juin 2018 | DSIH | Communiqué

Élaboré et rédigé conjointement par le Cnom et la Cnil à l'attention des professionnels de santé libéraux, ce guide pratique est disponible depuis ce 20 juin.

RGPD : ITrust et le cabinet Harlay Avocats accompagnent les responsables de traitement de données

19 juin 2018 | DSIH, Pierre Derrouch | Actualités

Avec l’entrée en application du règlement général sur la protection des données le 25 mai 2018, une nouvelle ère s’ouvre pour les responsables de traitement des données de santé. À charge pour eux de veiller à être en conformité avec ce nouveau règlement. ITrust, société d’expertise en cybersécurité, et le cabinet Harlay Avocats s’allient pour proposer aux établissements une solution clé en main.

C’est la saison des prunes à la Cnil

12 juin 2018 | Cédric Cartau | Tribune

Relayée par différents médias en ligne, on apprend que la Cnil(1) vient d’infliger une amende de 250 000 euros – tout de même – à Optical Center pour manquement à la protection des données de ses clients. En substance, les comptes des clients étaient accessibles sans identifiant ni mot de passe sur le site Internet, avec leurs données administratives et commerciales, les ordonnances médicales des produits pour la correction visuelle, etc. Ce n’est pas la première fois que la Cnil prononce des sanctions de cette nature et de ce montant, mais ce cas particulier appelle plusieurs commentaires.  

Le RGPD ou l’art de se payer notre tête, version US

14 mai 2018 | Cédric Cartau | Tribune

Certaines entreprises informatiques feraient mieux de faire de l’informatique et d’arrêter de vouloir faire du juridique, surtout quand le boulot est aussi mal torché. Parmi celles-ci, l’une, dont je tairai le nom (elle a inventé le PC dans les années 1980 et ses cadres portent tous des chemises de couleur bleue, n’insistez, pas je ne donnerai aucun nom), s’est piquée d’envoyer un mail concernant l’avenant RGPD, qu’il faut absolument que je vous fasse suivre. Voyez plutôt (les caractères en gras sont de moi).  

Protéger les données personnelles et responsabiliser les acteurs

02 mai 2018 | DSIH & Asip Santé | Actualités

Le règlement général européen sur la protection des données personnelles (RGPD), applicable dès le 25 mai, sera le nouveau garant du respect de la vie privée, notamment en ce qui concerne les données de santé.

RGPD, un modèle économique étrange

02 mai 2018 | Cédric Cartau | Tribune

Un DSI de mes amis m’avait signalé une bizarrerie concernant le RGPD ; je ne l’ai pas cru : il a fini par remettre la main sur le texte et me l’a envoyé.

RGPD dans les GHT, J-30

23 avril 2018 | Cédric Cartau | Tribune

Il reste à peine un mois avant l’entrée en vigueur du RGPD, et certains se demandent comment utiliser au mieux les courtes semaines qu’il leur reste : quelques conseils de bon sens.

Facebook à la conquête des données de santé ?

10 avril 2018 | Charles Blanc-Rolin | Tribune

Décidément Facebook n’en fini pas de faire couler de l’encre, ou de remplir de pixels nos écrans en ce moment.  

RGPD, ambiance de veillée d’armes

03 avril 2018 | Cédric Cartau | Tribune

Il est un débat, au sein des DSI des établissements de santé – publics ou privés – qui consiste à savoir où seront stockées les données des patients dans 10, 20, 30 ans. Les RSSI et les CIL/DPO sont évidemment furieusement actifs dans ce débat. En gros, deux conceptions s’affrontent.

RGPD : un cadre vertueux pour les établissements de santé

19 mars 2018 | DSIH, Par Pierre Derrouch | Actualités

Étape dans le renforcement de la protection des données qualifiée de majeure par la Cnil, le règlement général sur la protection des données, d’essence européenne avec des périmètres adaptés à chaque pays, entre en vigueur le 25 mai prochain. Faut-il n’y voir que des contraintes ?

Convergence des GHT, état des lieux

06 mars 2018 | Cédric Cartau | Tribune

Relaté par Ticsanté(1), l’Asip Santé publie un état des lieux sur l’avancement de la convergence au sein des GHT.  

La CNAMTS mise en demeure par la CNIL pour le SNDS

27 février 2018 | Cédric Cartau | Tribune

En juin dernier, suite à une présentation du SNDS (Système National des Données de Santé) par la DREES à tout un parterre de responsables SSI de divers organismes (collectivités territoriales, CHU, administrations centralisées, etc.) certains RSSI exprimaient leur étonnement devant le manque de sécurité dans l’accès aux données du SNDS.

RGPD : la CNIL nous aide dans nos analyses d’impact

27 février 2018 | Charles Blanc-Rolin | Tribune

Alors que nous sommes passés sous la barre des 90 jours avant l’entrée en application du RGPD [1], le fameux Règlement général européen sur la protection des données à caractère personnel, également connu sous l’acronyme anglais GDPR (general data protection regulation), pour lequel, de nombreux « vendeurs à la sauvette » proposent, grigris, amulettes ou encore élixirs permettant une miraculeuse mise en conformité immédiate avec le fameux règlement.

E-santé : Innover ou réguler ?

12 février 2018 | DSIH, Damien Dubois | Actualités

La conférence annuelle de l’Asip Santé a été l’occasion de questionner les grands défis de l’e-santé et de la transformation numérique, mais aussi de montrer, sondages à l’appui, que le grand public est plus ouvert aux nouvelles technologies de santé que les professionnels.

Hébergement des données de santé : pourquoi passer directement à la certification ?

09 février 2018 | ASIP Santé | Communiqué

Une nouvelle procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique va remplacer l’actuelle procédure d’agrément au 1er avril 2018. A ce titre, l’ASIP Santé encourage vivement les candidats qui souhaitent déposer des dossiers HDS à privilégier la procédure de certification plutôt que celle de l’agrément.

DPI de GHT : habilitations et contrôles, partie I

06 février 2018 | Cédric Cartau | Tribune

La question de la politique d’habilitation des accès à un DPI d’établissement a fait couler beaucoup d’encre, dès que les premiers plans nationaux d’informatisation ont démarré au milieu des années 2000 : plan Hôpital 2007, puis 2011, etc. Tant que chaque service d’un hôpital était informatisé par un progiciel vertical de spécialité, la question ne se posait pas : dès lors que les DPI transversaux ont déboulé, il a bien fallu réfléchir à une politique générale, et pas seulement à l’accès des cardiologues aux dossiers des patients hospitalisés en cardiologie. Il y a, globalement, deux façons de répondre à ce besoin.

Le RGPD et l’IA

30 janvier 2018 | Cédric Cartau | Tribune

Dans un article récent(1), le Dr Laurent Alexandre s’interroge sur le frein que peuvent représenter les réglementations européennes dans la course mondiale de l’économie des data. Ce n’est pas la première fois qu’il développe ce thème, puisqu’on le trouve déjà dans son ouvrage La Mort de la mort(2) concernant la génétique.  

C’est le jour des bonnes résolutions

02 janvier 2018 | Cédric Cartau | Tribune

Traditionnellement, le premier article de l’année est dédié à la fois au bilan de l’année passée et aux bonnes résolutions de l’année à venir.

Un cadre éthique pour le développement de l’IA

19 décembre 2017 | DSIH,@lehalle | Actualités

La Cnil a publié le rapport de synthèse du débat public qu’elle a animé tout au long de l’année sur les enjeux éthiques des algorithmes et de l’intelligence artificielle(1).  

L’appréciation des risques façon Armageddon

19 décembre 2017 | Cédric Cartau | Tribune

Prenez deux RSSI, branchez-les sur la question de la méthode de l’appréciation des risques, et il y a de fortes chances que le lendemain à la même heure ils soient encore en train de s’écharper sur la question de savoir quelle est la meilleure. Petit historique.

RGPD, et alors ? Une synthèse positive et non alarmiste à l’usage des établissements de santé

12 décembre 2017 | Vincent Trély | Tribune

Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.

Doctolib solidement implanté dans les établissements privés

12 décembre 2017 | DSIH, Par Pierre Derrouch | Actualités

Les établissements de santé font face à deux enjeux majeurs : fluidifier le parcours patient et optimiser les plannings des consultations. Avec son agenda performant et ses 12 millions de visiteurs mensuels, Doctolib répond à ces exigences. C’est pourquoi le service lancé en 2013 a fait une entrée remarquée dans les groupes de cliniques privées.  

3e Colloque SSI Santé du ministère (partie 2)

12 décembre 2017 | Charles Blanc-Rolin | Tribune

Après la sensibilisation à la SSI évoquée dans une première partie(1), le second thème abordé lors de ce congrès fut le RGPD (2), qui entrera en application le 25 mai 2018 et pour lequel la mobilisation de chacun s’amplifie de jour en jour.

Taguer les postes à risques

11 décembre 2017 | DSIH, Propos recueillis par Valentine Bellanger | Actualités

Le RGPD est partout. En véritable star, il a sa page Wikipédia et son compte Twitter. Applicable à compter du 25 mai 2018 dans les 28 pays de l’Union européenne, il alimente les discussions et fait couler beaucoup d’encre. Il a ses fervents défenseurs et ses détracteurs. DPO, Privacy by Design, sanctions… ses obligations et son cadre strict inquiètent souvent les structures. Les études semblent démontrer que peu d’entre elles seront prêtes en mai 2018. Pourtant, des mesures existent. Entretien avec Marion Godefroy, Marketing and Communication Manager chez ITrust.

Fidélité aux principes fondateurs de notre Loi Informatique et libertés

04 décembre 2017 | Me Marguerite Brac de La Perrière | Tribune

Le règlement général sur la protection des données[(1) (RGPD), entré en vigueur le 27 avril 2016, sera applicable le 25 mai 2018.    

Le père Noël est en avance à la CNIL

04 décembre 2017 | Cédric Cartau | Tribune

Le 29 novembre dernier s’est tenu au Ministère de la santé le traditionnel colloque SSI, organisé par la DGOS et avec une forte implication de Frédérique Pothier, qui « commet » encore un sans faute dans l’organisation. Ceux qui ont assisté à cette édition ainsi qu’aux précédentes savent que le temps fort est à chaque fois la séquence « Cela n’arrive pas qu’aux autres », avec des récits tantôt désopilants tantôt effrayants d’incidents IT en tout genre.

Passer le cap du RGPD grâce à la certification

28 novembre 2017 | AFNOR Certification | Communiqué

Le Règlement européen sur la protection des données personnelles est indiscutablement l’enjeu de conformité de l’année 2018 : la certification AFAQ Protection des données personnelles sera un outil pour pérenniser cette conformité.

DPO : Quel profil pour quel positionnement ?

28 novembre 2017 | Par Me Omar Yahia | Tribune

On me pose souvent la question de savoir quel doit être le profil et le positionnement du DPO dans les établissements de santé. Mon premier réflexe consiste à réaliser une sorte de benchmarking entre les différentes formations « offertes » pour construire le futur DPO. Ainsi et par exemple, le CNAM propose un certificat de spécialisation Délégué à la protection des données. Les facultés ne sont en reste, avec un diplôme d’université DPO (Paris II Panthéon Assas, Paris Nanterre, etc.).

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 4

10 octobre 2017 | Cédric Cartau | Tribune

Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Il nous reste à conclure sur les difficultés de la démarche.  

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 3

03 octobre 2017 | Cédric Cartau | Tribune

Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Attaquons à présent le chapitre de la démarche globale.  

Sous la plage, les octets

31 juillet 2017 | Cédric Cartau | Tribune

Cette première partie d’année a encore été riche en évènements…un petit coup d’œil dans le rétro avant le maillot.

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 1

24 juillet 2017 | Cédric Cartau | Tribune

Pour ceux qui viennent de passer 6 mois dans un monastère en pleine pampa et qui reprennent contact avec la réalité, rappelons que le 25 mai 2018 rentre en vigueur la nouvelle réglementation européenne sur les données, le fameux RGPD (Règlement Européen de Protection des Données).

APICEM S.A.R.L obtient l’agrément d’hébergeur de données de santé à caractère personnel

05 juillet 2017 | APICEM | Communiqué

APICEM S.A.R.L qui développe et opère la solution de messagerie sécurisée en santé APICRYPT®, devient hébergeur agréé de données de santé à caractère personnel (HADS). Cet agrément a été délivré par le Ministère des Solidarités et de la Santé, en accord avec l’Agence gouvernementale ASIP Santé et la CNIL pour la version 2 d’APICRYPT®.

La Société Française d’Informatique de Laboratoire (SFIL) se mobilise au service d’un projet règlementaire de protection des données de biologie médicale

26 juin 2017 | SFIL | Communiqué

Le Règlement Européen sur la Protection des Données Personnelles (RGPD) est paru au journal officiel de l’Union européenne le 4 mai 2016. Il entrera en application le 25 mai 2018 dans toute l’Union européenne, pour toutes les organisations et entreprises, pour tous les traitements de données à caractère personnel localisés en Europe ou concernant des citoyens européens. Il définit de nouvelles responsabilités pour les acteurs, tant concepteurs qu’utilisateurs de systèmes d’information. Pour une mise en conformité des systèmes d’information des laboratoires de biologie médicale, la SFIL répond favorablement à l’appel de la Commission Nationale Informatique et Libertés (CNIL).

On ne nous dit pas tout !

20 juin 2017 | Charles Blanc-Rolin | Tribune

Comme tout un chacun, les éditeurs de logiciels ont eux aussi leur petit jardin secret.

La santé prend cher en ce moment

20 juin 2017 | Cédric Cartau | Tribune

Dans le monde de la santé, en matière de sécurité des SI – au sens très large du terme –, il s’est passé plus de choses durant les deux dernières années que dans les 20 qui ont précédé.

Quand les chiffres vous parlent de la messagerie sécurisée en santé APICRYPT…

20 juin 2017 | APICEM | Communiqué

APICRYPT vient de passer la barre des 70 000 utilisateurs.

Michel Gagneux : « Nous sommes maintenant très présents sur le front hospitalier. »

06 juin 2017 | DSIH, @lehalle | Actualités

L’Asip Santé a profité de sa participation à la Paris Healthcare Week (PHW) 2017 pour mettre en avant ses actions d’accompagnement à destination des établissements de santé. Son directeur, Michel Gagneux, a répondu à nos questions et précisé les orientations de l’agence en ce qui concerne la cybersécurité, les travaux portant sur l’authentification forte auprès des SI de santé et l’évolution des textes réglementaires liés à la PGSSI-S(1).  

La biométrie à l’hôpital, ça existe, mais au compte-gouttes !

06 juin 2017 | Par Omar Yahia | Tribune

Quittons les terres fertiles et autres sentiers battus des GHT pour rebondir sur une brève de mon RSSI préféré, alias Cédric Cartau, au sujet de la biométrie.

Sécurité des SI : penser GHT, partie II

16 mai 2017 | Cédric Cartau | Tribune

Dans un précédent article, nous avons évoqué le fait que la SSI n’était pas forcément le sujet le plus complexe à mutualiser dans un GHT, et que certains éléments tels que le prochain RGPD ou la complexité technique inaccessible aux établissements périphériques devaient servir de catalyseurs.

Hébergement de données de santé : ce qui va changer !

09 mai 2017 | Afnor Certification | Communiqué

D’ici au 1er janvier 2019, l’ensemble des hébergeurs de données de santé devra obtenir une certification délivrée par un organisme accrédité. Avec l’ordonnance n° 2017-27 publiée le 12 janvier 2017, la fin de la procédure d’agrément par le ministère de la Santé pour l’hébergement de données de santé prend forme.

Sécurité des SI : penser GHT, partie I

09 mai 2017 | Cédric Cartau | Actualités

Pas une semaine ne se passe sans qu’on lise, dans la presse spécialisée, des articles à qui mieux mieux sur les difficultés de mise en œuvre des GHT, laquelle va être compliquée, voire impossible sans fusion, etc.

Du rififi autour de l’INDS

25 avril 2017 | Cédric Cartau | Tribune

Récemment sur les réseaux santé[1], on a vu tomber cette annonce a priori anodine : les quatre fédérations hospitalières refusent d’intégrer l’Institut national des données de santé (INDS). Anodine, car de prime abord on finit la lecture de l’article en se disant : oui, bon, et alors ?  

RGPD : première analyse des experts d’Itrust

18 avril 2017 | DSIH, Marie-Valentine Bellanger | Actualités

Impacts sur l’environnement technique, humain et organisationnel gravitant autour des données de santé à caractère personnel, rôle et responsabilités du Data Protection Officer (DPO), adaptation de l’offre industrielle sont quelques-uns des thèmes introduits par le règlement général sur la protection des données (RGPD). Benjamin Benifei, juriste-conseil, et Yasmina Janati, responsable Gouvernance SSI et consultante chez Itrust, décryptent leurs conséquences sur les établissements de santé.

Les plus lus