Le dossier électronique du patient fait parler de lui aux Chambres fédérales Presque une année après l’ouverture du premier dossier électronique du patient (DEP) en Suisse, celui-ci fait l’objet de discussions nombreuses au sein des Chambres fédérales. La présente contribution offre un aperçu non exhaustif des principales questions soulevées. Une annonce (très) rapide d’une fuite de données ou une amende salée Le responsable du traitement qui est raisonnablement certain qu’une violation de données a eu lieu doit annoncer la violation à l’autorité compétente dans un délai de 72 heures. Il ne peut pas procéder à des investigations internes avant d’effectuer l’annonce. Divulgation d’adresses électroniques : l’association HIV Scotland et la nécessité de sécuriser les courriels de masse Dans une décision prononcée le 18 octobre 2021, l’Information Commissioner’s Office anglais (ICO) a sanctionné l’association HIV Scotland pour ne pas avoir pris les mesures de sécurité adéquates (32 par. 1 et 2 RGPD) et violé le principe de la sécurité des données (art. 5 par. 1 let. f RGPD). Le Conseil national pousse pour le principe de la gratuité de la transparence Après le refus du Conseil des États d’entrer en matière, le Conseil national a réaffirmé le 27 septembre 2021 sa volonté d’ancrer le principe de la gratuité de l’accès aux documents officiels dans une révision de la Loi fédérale sur le principe de la transparence dans l’administration. Le projet de révision de la LTrans appuyé par le Conseil fédéral retourne donc au Conseil des États. Devoir d’assistance et d’organisation de l’organe public lors d’une demande d’accès à des documents officiels L’organe public doit dresser une liste des documents afin de permettre à la personne qui a fait une demande d’accès de préciser sa demande. L’organe a en effet un devoir d’assistance et d’organisation. Par ailleurs, le fait qu’un requérant précise à plusieurs reprises sa demande ne peut pas être considéré comme abusif US CLOUD Act – un aperçu Depuis son adoption en mars 2018, le US CLOUD Act a déjà fait couler beaucoup d’encre. La publication, le 17 septembre 2021, par l’Office fédéral de la justice d’un rapport (le « Rapport ») qui analyse la compatibilité du US CLOUD Act avec le droit suisse, en particulier la règlementation en matière de protection des données, offre l’occasion de revenir sur cette législation américaine Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ? Edward S. Dove et Jiahong Chang ont publié récemment un article sur les conséquences juridiques de la publication volontaire de données personnelles à l’aune du RGPD. En voici les éléments clés. La CNIL rappelle à l’ordre concernant le fichier automatisé des empreintes digitales (FAED) Dans une décision prononcée le 24 septembre 2021, la CNIL a sanctionné le ministère de l’Intérieur pour sa mauvaise gestion du fichier automatisé des empreintes digitales (FAED). Transparence de la documentation relative à une substance active Le fait qu’un produit phytosanitaire fasse l’objet d’une procédure d’homologation pendante ne constitue pas un motif pour restreindre l’accès aux rapports d’essais et d’études déposés à l’appui de l’approbation d’une substance active qu’il contient (en l’espèce : sulfoxaflor) si cette dernière a fait l’objet d’une procédure indépendante et donc d’une décision de l’autorité qui l’a conduite à l’inscrire dans l’Annexe 1 de l’Ordonnance sur les produits phytosanitaires. Le Ministère public central du canton de Vaud soumis au principe de la transparence Par décision du 17 juin 2021, le Préposé vaudois à l’information a ordonné la transmission d’un document officiel détenu par le Ministère public central du canton de Vaud à un administré. L’affaire met en lumière le principe de la transparence auquel est soumis l’autorité en question dans le cadre de ses activités non juridictionnelles. Deux courriels au mauvais destinataire peuvent coûter cher L’envoi d’un courriel à un mauvais destinataire constitue une violation de la sécurité des données s’il contient des données personnelles. Lorsque ces données sont sensibles, on retiendra plus facilement un risque élevé pour la personne concernée par la violation de confidentialité. Il en découle un devoir d’informer l’autorité, voire la personne concernée, selon le RGPD. L’Europe serre la vis : sanction contre WhatsApp Irlande alourdie Le 28 juillet 2021, le Comité européen de la protection des données a rendu une décision contraignante pour régler un litige opposant l’Autorité de protection des données irlandaise à d’autres autorités de contrôle européennes concernées par des violations du RGPD commises par WhatsApp Irlande. L’Autorité de protection des données irlandaise avait ouvert une enquête (own-voliation inquiry) en 2018 pour examiner si la société satisfaisait correctement à ses obligations d’information. Pages : 123456789Last PageLoad More
