Les traces d’accès aux données médicales, suite
Dans ce jugement, le tribunal a donné raison à une plaignante, cliente d’une agence bancaire, qui demandait d’accéder aux traces de connexion en ligne à son compte bancaire. Si ce jugement est intéressant dans la mesure où le tribunal a considéré que les traces de connexion étaient communicables à l’usager final, il faut tout de même lui apporter plusieurs bémols.
D’une part, il y avait manifestement un litige autour de la situation débitrice du compte, avec des mails assez inhabituels échangés entre le chargé de compte, le mari de la plaignante et la banque.
D’autre part, ce jugement ne concerne en l’espèce que le domaine bancaire, et rien ne dit qu’il s’appliquerait in extenso au domaine médical – je laisse le soin aux juristes de confirmer ou d’infirmer ce point de vue.
Enfin, et c’est le point qui nous semble le plus important dans le sens où il n’est pas applicable à la situation d’un DPI interne, la plaignante demandait l’accès aux logs de connexion à ses comptes en ligne, et non pas les logs de connexion à ses comptes des agents de la banque eux-mêmes dans le cadre de leurs missions habituelles de gestion. Il n’existe pas d’équivalent dans la santé, puisque par définition nul autre que le patient n’a accès à ses données médicales (en dehors des cas d’exception tels que les tutelles, etc.). La situation sera bien entendu différente si l’établissement de santé propose un portail patient en mode Web (équivalent d’un accès Web à une interface de gestion de comptes) et si le patient demande les traces de connexions IP extérieures à son dossier du fait d’une suspicion d’indiscrétion.
Enfin – et ce sera le dernier point –, Bruno Rasle et moi-même sommes en phase pour considérer que les traces techniques ne relèvent pas du périmètre de la Cada, aspect que j’avais évoqué dans le précédent article sans avoir la certitude de mes conclusions.
Cela étant, si d’autres lecteurs disposent d’éléments nouveaux, je suis preneur. Et, autant le préciser tout de suite, inutile de m’envoyer vos questions pour ce qui concerne la traçabilité de ceux qui demandent l’accès aux traces d’accès des traces d’accès : j’ai déjà assez mal au crâne au bout de deux articles sur ce sujet !
[2] Association française des correspondants à la protection des données à caractère personnel.
[3] http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4236
Avez-vous apprécié ce contenu ?
A lire également.
Le moment Spoutnik de la cyber
24 nov. 2025 - 22:22,
Tribune
-En matière d’armement, on dit que ce qui compte vraiment, c’est le nombre et la force. Mais surtout la force.
Digressions sur la cyber et les enjeux climatiques
17 nov. 2025 - 20:53,
Tribune
-Cela nous pendait au nez : l’époque est aux questions semi-existentielles sur les enjeux climatiques, et la cyber, longtemps restée à l’écart, voit le sujet arriver par différentes sources et sous différentes formes, dont l’amendement sur les enjeux climatiques de la 27001.
Mettre l’Humain au Cœur du Numérique en Santé : un Atelier Stratégique pour Réussir la Conduite du Changement
17 nov. 2025 - 19:35,
Communiqué
- DSIHLe numérique en santé ne réussit que lorsqu’il s’ancre dans la réalité humaine des organisations. Jeudi 27 novembre — 2h30 pour comprendre, anticiper et agir : un temps privilégié pour décrypter les dynamiques humaines, lever les résistances, engager les équipes et donner du sens à la transformation...
Doctolib condamné à une amende de 4,6 millions d’euros pour abus de position dominante
06 nov. 2025 - 12:33,
Actualité
- Rédaction,L’Autorité de la concurrence a récemment infligé une sanction financière de 4,6 millions d’euros à Doctolib, acteur majeur des plateformes de prise de rendez-vous médicaux et de téléconsultation en France. Cette amende fait suite à une procédure ouverte en 2019 à la suite d’une plainte déposée par C...
