ENQUETE FRANCETV. Une fuite de données médicales inquiète en France, entre 11 et 15 millions de personnes touchées
www.franceinfo.fr
Dans certains cas, la base fait état du dossier médical du patient, de manière détaillée. On y retrouve des informations sensibles remplies par des professionnels de santé

Dans certains cas, la base fait état du dossier médical du patient, de manière détaillée. On y retrouve des informations sensibles remplies par des professionnels de santé

  • oilbin@piefed.socialFrançais
    9·
    8 days ago

    Sauf que non, ils doivent aussi notifier les personnes touchées par la fuite, ce qui n’a pas été fait puisque l’on découvre la fuite aujourd’hui via France Info alors qu’elle date de fin 2025 (donc il y a 2 mois).

    J’imagine que leur communiqué a été validé par des juriste puisque son seul objectif semble clairement de dédouaner l’entreprise. Et donc ça m’amène à cette phrase dans laquelle ils indiquent être en conformité avec la réglementation sur ce point :

    Tous les médecins concernés ont été contactés début janvier et accompagnés s’ils le souhaitaient, par des équipes dédiées, dans leurs démarches de notification à la CNIL et d’information de leurs patients conformément à leurs obligations de responsable de traitement au sens du RGPD.

    Je découvre donc aujourd’hui cet détail pervers : ils ont réussi à faire de leur marché une sorte d’eldorado où ils peuvent capter de l’information et du profit tout en rejetant la responsabilité de leur inconséquence sur leurs clients. Incroyable !

    • Destructeur de monstre@tarte.nuage-libre.frFrançais
      2·
      7 days ago

      @cnovel@jlai.lu

      Article 34 du RGPD

      1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

      C’est le responsable du traitement qui doit notifier la fuite à la personne concernée, pas le sous-traitant.

      Le sous traitant n’a pas le droit de traiter les données pour autre chose que ce que le responsable de traitement a ordonné (article 28). Il n’a notamment pas le droit de prendre tout seul la décision d’avoir lui même un sous traitant pour la tâche qu’on lui confie.

      • oilbin@piefed.socialFrançais
        1·
        7 days ago

        La définition de “responsable du traitement” n’est pas très claire pour moi…

        https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

        «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre; «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

        La “boîte d’info” qui stocke les données et code l’application web entre dans le cadre de celle “qui traite des données à caractère personnel pour le compte du responsable du traitement”.

        (J’aimerais bien que ce soit l’inverse, d’autant qu’on a un déséquilibre de pouvoir assez net entre les médecins et les plateformes, comme souvent avec les plateformes)

        • Destructeur de monstre@tarte.nuage-libre.frFrançais
          1·
          7 days ago

          “détermine les finalités et les moyens du traitement”

          C’est le professionnel de santé qui décide :

          • ce qu’il collecte
          • si il y a des décisions automatisées
          • qui y a accès / si elles peuvent être partagées
          • qui sera le sous sous traitant qui s’occupe de la partie technique

          La personne qui décide de traiter une donnée personnelle est le responsable de traitement dans tous les cas (ou co-responsable)

          Le sous traitant met en place les procédés techniques pour réaliser le traitement demandé par le responsable du traitement.

          En pratique le professionnel de santé n’a pas les compétences pour comprendre ce que fait le sous traitant ou les obligations du RGPD, l’aversion au changement empêche le changement de sous-traitant et il faut qu’il y ait un meilleur choix. Il n’y a presque aucun risque financier à ne pas respecter le RGPD et à ne pas faire un logiciel qui fonctionne correctement.