c'est pas nous, ce sont les médecins qui doivent s'en occuper, nous ne sommes que des intermédiaire.
Bisous
n'a visiblement pas fonctionner correctement avec la cnil, j'imagine que les utilisateurs qui se sont fait répondre ce genre de phrase ont saisi la cnil :). merci a eux
Pour qu'il y ait violation, 2 conditions doivent être réunies :
Vous avez mis en œuvre un traitement de données personnelles.
Ces données ont fait l’objet d'une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).
Perdre des données personnelles pour un responsable de traitement, c'est un problème. Par exemple ça amène des conséquences indirectes (devoir notifier la CNIL) sur un plan de reprise d'activité suite à un incendie/une inondation de centre de données si on a perdu les données hébergées, ou même sur un cas plus simple où un admin aurait seulement effacé 3% de la base de données en oubliant une clause SQL WHERE par exemple.
Et « l'implémentation ultime du RGPD » c'est plutôt ne collecter aucune donnée personnelle.
Perdre des données personnelles pour un responsable de
traitement, c'est un problème. Par exemple ça amène des
conséquences indirectes (devoir notifier la CNIL) sur un plan
de reprise d'activité suite à un incendie/une inondation de
centre de données si on a perdu les données hébergées, ou même
sur un cas plus simple où un admin aurait seulement effacé 3%
de la base de données en oubliant une clause SQL WHERE par
exemple.
Sauf que le responsable du traitement, c'est pas Doctolib, c'est le médecin. Doctolib n'est que le sous traitant.
C'est ce que le DPO du CHU de Nantes pointe dans un article.
Comme c'est pas exactement la rigueur qui étouffe NextInpact, le journal a fait un news en prenant un médecin random sur Twitter. Et quand on va voir les tweets de ce médecin, on voit qu'il poste des infos persos des patients mal anonymisés, en l’occurrence, la date de naissance.
Ensuite, dans le texte de la CNIL (et la loi), quand on parle de "perte de disponibilité, d’intégrité ou de confidentialité de données personnelles", le fait de rajouter "disponibilité", c'est pour couvrir les choses comme les ransomwares plus que la majeur partie des bugs de production à mon sens, car tout ce qui entraine un crash serait une perte de disponibilité autrement.
Le RGPD définit (article 4, point 12):
«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;
Est ce qu'un bug "classique" (par exemple, une typo dans le nom d'un champ d'un formulaire qui entraînerait le non envoi des données) est une "violation de sécurité" ? Si oui, va falloir en remplir des demandes de CVE pour chaque bug qu'on corrige dans le libre.
La SNCF traite des données personnelles, mes trajets en train. Les billets sont nominatifs, ça donne ma localisation, ça rentre clairement dans "donnée personnelle". Est ce que chaque panne du site de la SNCF devrait impliquer une déclaration ?
On peut avoir une approche maximaliste et littérale dans l’interprétation du RGPD comme n'importe quelle loi. Mais ça serait sans doute absurde et ça ne bénéficierais à personne.
Et si les responsables de traitement, c'est les médecins, alors en pratique, ce qu'il aurait fallu, c'est avoir 2300 signalements par les 2300 médecins à la CNIL. Si chacun prends 30 minutes à le faire, on a 1150 heures de travail, soit 32 semaines (à 35h).
Et ça va apporter quoi à part du taf pour la CNIL et les médecins ? Rien.
Mais je n'ai pas le sentiment que le propos de ce thread soit que les médecins devraient le faire, mais que Doctolib devrait le faire.
Pourquoi vouloir ça, à part pour se défouler sur l'entreprise ?
Car dans le cas de Doctolib, on va pas non plus se mentir, ne pas aimer le service, c'est trendy pour certains (suffit de voir certaines réponses sur le fil du dit docteur cité par NI).
Le fait que le premier commentaire soit sur Doctolib alors qu'on parle de Doctissimo, ou qu'on parle du RGPD sans se poser la question de qui est responsable montre bien qu'il y a un court-circuitage de la réflexion et qu'on est dans l'affect.
Et faut peut être se poser la question du "pourquoi".
Ensuite, dans le texte de la CNIL (et la loi), quand on parle de "perte de disponibilité, d’intégrité ou de confidentialité de données personnelles", le fait de rajouter "disponibilité", c'est pour couvrir les choses comme les ransomwares plus que la majeur partie des bugs de production à mon sens, car tout ce qui entraine un crash serait une perte de disponibilité autrement.
La CNIL avait déjà fais une réponse pour l'incendie d'OVH :
# leur fameux :
Posté par ChocolatineFlying . Évalué à -4.
c'est pas nous, ce sont les médecins qui doivent s'en occuper, nous ne sommes que des intermédiaire.
Bisous
n'a visiblement pas fonctionner correctement avec la cnil, j'imagine que les utilisateurs qui se sont fait répondre ce genre de phrase ont saisi la cnil :). merci a eux
[^] # Re: leur fameux :
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 9.
C'est Doctissimo, site et forum d'infos médicales (de qualité très variable) pas Doctolib (prise de rendez-vous avec les professionnels de santé).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: leur fameux :
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
Confusion avec https://www.nextinpact.com/lebrief/71634/doctolib-suite-a-incident-technique-donnees-medicales-nont-pas-ete-sauvegardees ?
[^] # Re: leur fameux :
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 3.
Probable et cet incident mérite d'être déclaré à la CNIL à mon avis. Mais bon.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: leur fameux :
Posté par Misc (site web personnel) . Évalué à 3.
Pourquoi la CNIL ? Ne pas garder de données du tout, c'est l'implémentation ultime du RGPD :)
[^] # Re: leur fameux :
Posté par Benoît Sibaud (site web personnel) . Évalué à 5. Dernière modification le 18 mai 2023 à 10:57.
(je me doute que c'est pour la blague, mais bon ça reste une compréhension erronée du RGPD alors je tartine un peu)
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
Perdre des données personnelles pour un responsable de traitement, c'est un problème. Par exemple ça amène des conséquences indirectes (devoir notifier la CNIL) sur un plan de reprise d'activité suite à un incendie/une inondation de centre de données si on a perdu les données hébergées, ou même sur un cas plus simple où un admin aurait seulement effacé 3% de la base de données en oubliant une clause SQL WHERE par exemple.
Et « l'implémentation ultime du RGPD » c'est plutôt ne collecter aucune donnée personnelle.
[^] # Re: leur fameux :
Posté par Misc (site web personnel) . Évalué à 5.
Sauf que le responsable du traitement, c'est pas Doctolib, c'est le médecin. Doctolib n'est que le sous traitant.
C'est ce que le DPO du CHU de Nantes pointe dans un article.
Comme c'est pas exactement la rigueur qui étouffe NextInpact, le journal a fait un news en prenant un médecin random sur Twitter. Et quand on va voir les tweets de ce médecin, on voit qu'il poste des infos persos des patients mal anonymisés, en l’occurrence, la date de naissance.
Ensuite, dans le texte de la CNIL (et la loi), quand on parle de "perte de disponibilité, d’intégrité ou de confidentialité de données personnelles", le fait de rajouter "disponibilité", c'est pour couvrir les choses comme les ransomwares plus que la majeur partie des bugs de production à mon sens, car tout ce qui entraine un crash serait une perte de disponibilité autrement.
Le RGPD définit (article 4, point 12):
«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;
Est ce qu'un bug "classique" (par exemple, une typo dans le nom d'un champ d'un formulaire qui entraînerait le non envoi des données) est une "violation de sécurité" ? Si oui, va falloir en remplir des demandes de CVE pour chaque bug qu'on corrige dans le libre.
La SNCF traite des données personnelles, mes trajets en train. Les billets sont nominatifs, ça donne ma localisation, ça rentre clairement dans "donnée personnelle". Est ce que chaque panne du site de la SNCF devrait impliquer une déclaration ?
On peut avoir une approche maximaliste et littérale dans l’interprétation du RGPD comme n'importe quelle loi. Mais ça serait sans doute absurde et ça ne bénéficierais à personne.
Et si les responsables de traitement, c'est les médecins, alors en pratique, ce qu'il aurait fallu, c'est avoir 2300 signalements par les 2300 médecins à la CNIL. Si chacun prends 30 minutes à le faire, on a 1150 heures de travail, soit 32 semaines (à 35h).
Et ça va apporter quoi à part du taf pour la CNIL et les médecins ? Rien.
Mais je n'ai pas le sentiment que le propos de ce thread soit que les médecins devraient le faire, mais que Doctolib devrait le faire.
Pourquoi vouloir ça, à part pour se défouler sur l'entreprise ?
Car dans le cas de Doctolib, on va pas non plus se mentir, ne pas aimer le service, c'est trendy pour certains (suffit de voir certaines réponses sur le fil du dit docteur cité par NI).
Le fait que le premier commentaire soit sur Doctolib alors qu'on parle de Doctissimo, ou qu'on parle du RGPD sans se poser la question de qui est responsable montre bien qu'il y a un court-circuitage de la réflexion et qu'on est dans l'affect.
Et faut peut être se poser la question du "pourquoi".
[^] # Re: leur fameux :
Posté par barmic 🦦 . Évalué à 4.
La CNIL avait déjà fais une réponse pour l'incendie d'OVH :
https://www.cnil.fr/fr/incendie-ovh-faut-il-notifier-la-cnil
Grosso modo oui si vous n'êtes pas en mesure de restaurer les données.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: leur fameux :
Posté par Claude SIMON (site web personnel) . Évalué à 4. Dernière modification le 19 mai 2023 à 15:46.
Ça a fait l'objet d'une petite discussion ici-même : https://linuxfr.org/users/epeios/liens/ovh-rgpd-vos-backups-sont-perdus-il-faut-le-signaler-a-la-cnil
Pour nous émanciper des géants du numérique : Zelbinium !
[^] # Re: leur fameux :
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Ah oui, j'ai eu la même confusion aussi : sont tous doct[oi] et pas assez doct avec les données.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.