Voila un exemple de vol de données.. SANS INTRUSION
Certaines cumulent les deux comme DOCTOLIB
viewtopic.php?t=72684
Cela concerne les données de santé et ce n'est pas un hasard puisque NOS données de santé sont estimées à plusieurs milliards d'euros en Europe
Une manne que les personnes dénuées de scrupules ne peuvent laisser passer
Cette semaine on a l'exemple de la société CEGEDIM SANTE
Les données concernées étaient collectées via le logiciel Crossway par 2 000 médecins volontaires pour participer au programme de recherche de l'Observatoire épidémiologique de Cegedim. La formation restreinte a relevé que de 2018 (année de mise en œuvre du RGPD) à 2021, la société "collectait de très nombreuses données sur les personnes concernées"
On peut s'amuser à lire au préalable https://www.cegedim-sante.com/cegedim-s ... -securite/ qui ne manque pas de piquant et met bien en avant qu'on nous enfume avec ces déclarations
et sa "Charte Ethique"
Il faut préciser que malgré la condamnation et l'amende réclamée par la CNIL, la sté pointe un
clame sa bonne foi en reprochant à la CNIL dans un communiqué, de"désaccord d'experts sur le caractère anonyme des données"
et ...envisage de faire appel. C'est le jeu..."jeter l'opprobre" "sur l’ensemble de ses logiciels alors que seul un usage particulier par 2 000 utilisateurs panélistes du logiciel Crossway et, de surcroit, sur une période limitée est concerné
Défense ridicule de mon point de vue car ils ont voulu jouer, et se sont fait attraper
Ce n'est pas en minimisant que cela exclu le fait
Et pour attendrir la CNIL (source Next.link). Snif.... On s'y laisserait prendre :
Cegedim ne souhaitait pas que cela arrive et a avancé plusieurs contre-arguments, notamment :
mais aussi que« la publicité de la délibération lui causerait un préjudice commercial et créerait un risque de divulgation d’informations sur l’hébergement et la transmission des données pouvant porter atteinte à la sécurité des données »,
Arguments balayés par la CNIL :« la publicité de la sanction lui ferait encourir un risque réel quant à sa survie et au regard de sa santé financière précaire ».
« La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements en cause et du nombre de personnes concernées ».
L'annonce de la CNIL
https://www.cnil.fr/fr/donnees-de-sante ... edim-sante
Le contexte
La société CEGEDIM SANTÉ édite et vend des logiciels de gestion aux médecins de ville exerçant en cabinet et en centre de santé. Environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. Ils permettent aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions.
Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que, dans le cadre de l'utilisation de l'un de ses logiciels, la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé.
En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.
Des données pseudonymes et non anonymes
Dans le cadre de son activité, la société propose à un panel de médecins utilisant l’un de ces logiciels d’adhérer à un « observatoire », les données alors collectées sont ensuite utilisées par des clients de la société CEGEDIM SANTÉ, notamment pour mener des études.
Les investigations menées par la CNIL ont permis d’établir que ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible.
S’agissant d’un traitement de données personnelles, la société aurait dû disposer d’une autorisation de la CNIL pour les utiliser (article 66.III de la loi Informatique et Libertés).
(...)
En pratique, la formation restreinte a relevé que la société CEGEDIM SANTÉ collectait de très nombreuses données sur les personnes concernées, telles que
Code : Tout sélectionner
- L’année de naissance,
- Le sexe,
- La catégorie socio-professionnelle,
- Les allergies,
- Les antécédents médicaux,
- La taille, le poids,
- Le diagnostic,
- Les prescriptions médicales,
- Les arrêts de travail
- Les résultats d’analyse.
Au vu de ces éléments, la formation restreinte a considéré qu’il est possible d’isoler un individu au sein de la base de données de la société et que la société dispose de nombreuses informations particulièrement riches le concernant, ce qui induit un risque de réidentification.
(...) – la formation restreinte a considéré que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par la société soient considérées comme anonymes.
Dès lors, la formation restreinte a considéré que les données traitées par la société CEGEDIM SANTÉ au moins jusqu’en 2022 (date de la fin des contrôles) étaient pseudonymes et non anonymes.
----------------------
Pour savoir la différence entre données anonymes et pseudonymes
https://www.cnil.fr/fr/technologies/lan ... rsonnelles