Publicité en cours de chargement...
Les traces d’accès aux données médicales, suite
Dans ce jugement, le tribunal a donné raison à une plaignante, cliente d’une agence bancaire, qui demandait d’accéder aux traces de connexion en ligne à son compte bancaire. Si ce jugement est intéressant dans la mesure où le tribunal a considéré que les traces de connexion étaient communicables à l’usager final, il faut tout de même lui apporter plusieurs bémols.
D’une part, il y avait manifestement un litige autour de la situation débitrice du compte, avec des mails assez inhabituels échangés entre le chargé de compte, le mari de la plaignante et la banque.
D’autre part, ce jugement ne concerne en l’espèce que le domaine bancaire, et rien ne dit qu’il s’appliquerait in extenso au domaine médical – je laisse le soin aux juristes de confirmer ou d’infirmer ce point de vue.
Enfin, et c’est le point qui nous semble le plus important dans le sens où il n’est pas applicable à la situation d’un DPI interne, la plaignante demandait l’accès aux logs de connexion à ses comptes en ligne, et non pas les logs de connexion à ses comptes des agents de la banque eux-mêmes dans le cadre de leurs missions habituelles de gestion. Il n’existe pas d’équivalent dans la santé, puisque par définition nul autre que le patient n’a accès à ses données médicales (en dehors des cas d’exception tels que les tutelles, etc.). La situation sera bien entendu différente si l’établissement de santé propose un portail patient en mode Web (équivalent d’un accès Web à une interface de gestion de comptes) et si le patient demande les traces de connexions IP extérieures à son dossier du fait d’une suspicion d’indiscrétion.
Enfin – et ce sera le dernier point –, Bruno Rasle et moi-même sommes en phase pour considérer que les traces techniques ne relèvent pas du périmètre de la Cada, aspect que j’avais évoqué dans le précédent article sans avoir la certitude de mes conclusions.
Cela étant, si d’autres lecteurs disposent d’éléments nouveaux, je suis preneur. Et, autant le préciser tout de suite, inutile de m’envoyer vos questions pour ce qui concerne la traçabilité de ceux qui demandent l’accès aux traces d’accès des traces d’accès : j’ai déjà assez mal au crâne au bout de deux articles sur ce sujet !
[2] Association française des correspondants à la protection des données à caractère personnel.
[3] http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4236
Avez-vous apprécié ce contenu ?
A lire également.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...
On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM
29 sept. 2025 - 10:43,
Tribune
-Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !
Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.
22 sept. 2025 - 22:16,
Tribune
-Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...
Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte
15 sept. 2025 - 22:20,
Tribune
-Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...