Your address will show here +12 34 56 78
RGPD en France, Sanctions

La CNIL a rendu public, jeudi 3 juin, son troisième avis adressé au Parlement après avoir effectué 32 contrôles, depuis le mois de mai 2020, sur les dispositifs mis en place dans le cadre de la crise sanitaire.

Cinq outils sont utilisés par l’État, seul le fichier Contact COVID, mis en œuvre par la Caisse nationale d’Assurance Maladie (CNAM), n’est toujours pas conforme au RGPD.

Contact COVID, recueille des informations sur les cas contact et les chaînes de contamination. Le dispositif vise à détecter les contacts à trois niveaux différents :
      • les médecins de ville, établissements de santé et centres de santé
      • le personnel habilité de l’Assurance Maladie
      • les agences régionales de santé (ARS).


Des manquements dans les pratiques d’une des deux ARS contrôlées ont été constatés, notamment sur la durée de conservation des données et l’information des personnes concernées

Durée de conservation des données
La durée de conservation des données relatives au suivi des patients zéro ou des contacts, est jugée « excessive » par la CNIL. L’autorité a constaté que l’ARS visée ne procédait pas, au moment du contrôle, à la purge des données enregistrées sur le serveur de fichiers interne dans le temps imparti, c’est-à-dire dans un délai de trois mois.

Information des personnes concernéesL’information déficiente des personnes concernées est jugée « déficiente » L’ARS contrôlée n’a en effet délivré aucun document d’information (papier ou numérique) aux personnes dont les données sont traitées dans le cadre de l’activité de suivi des contacts de niveau 3 : « contact tracing ».

En conséquence, la présidente de la CNIL, Marie-Laure Denis, a mis en demeure cette ARS qui a deux mois (à compter de la décision du 27 mai 2021) pour se conformer aux exigences du RGPD.

Il s’agit de la seconde mise en demeure adressée à une ARS pour une mauvaise gestion des systèmes d’information en temps de pandémie.


Concernant les autres dispositifs :

TousAntiCovid, l’application mobile de suivi de contacts basée sur le volontariat, s’est récemment enrichie de nouvelles fonctionnalités prises en compte par la CNIL, comme le carnet numérique “TousAntiCovid Carnet” , qui permet de présenter depuis son smartphone, les certificats de vaccination ou de résultats de tests de dépistage et “TousAntiCovid Signal“, cahier de rappel numérique pour les espace clos à partir du 9 juin.  

La CNIL, qui n’a pas réalisé de contrôle de l’application depuis novembre 2020, indique avoir prévu de nouvelles vérifications axées sur la conformité en matière de protection des données de ces nouvelles fonctionnalités.

Quarantaine et Isolement, fichier limité à deux aéroports, la CNIL dit rester vigilante. Mis en place le 12 mai dernier, il assure le suivi et le contrôle du respect des mesures de quarantaine ou d’isolement lors de l’arrivée sur le territoire national de personnes provenant d’un pays où l’on considère l’épidémie comme active.

SI-DEP (Système d’information de dépistage), fichier de centralisation des résultats des tests de dépistage de la Covid-19 réalisés en laboratoires ou pharmacies. La CNIL, qui avait adressé des remarques a désormais donné son feu vert.

VACCIN COVID, fichier, de suivi et de pilotage des campagnes vaccinales contre la Covid-19. 
Géré par la Direction générale de la Santé et la Caisse nationale d’Assurance maladie, la CNIL, a apprécié le chiffrement des données de traitement et  l’authentification forte nécessaire à l’accès au téléservice. L’autorité estime aussi que les patients reçoivent des informations claires et complètes dans les centres de vaccination.

La CNIL va poursuivre ses contrôles pendant toute la période d’utilisation des fichiers, en veillant notamment à vérifier la suppression effective des données.

 

 

Pour en savoir plus :  CNIL

Décision du 27 mai 2021

0

RGPD en Europe, Sanctions

Pour ne pas avoir respecter les délais de 72h pour déclarer à l’autorité de contrôle une fuite de données, Booking.com a été sanctionné.
Booking.com, site de réservation d’hôtels basé aux Pays Bas a notifié l’autorité néerlandaise, l’équivalent de la CNIL, d’une fuite de données, seulement 22 jours après l’avoir découverte au lieu des 72h requises.

0

RGPD en Europe, Sanctions

L’AEPD – l’autorité nationale espagnole – condamne la banque ABANCA Corporatión Bancaria à une sanction de 3000 € pour dépôt de cookies non essentiels sans recueil préalable de consentement.
L’AEPD a rendu publique, le 29 mars 2021, sa décision de sanctionner ABANCA Corporatión Bancaria d’une amende de 3 000 euros à, pour dépôt de cookies non essentiels sans recueil préalable du consentement des internautes.

0