Les traces d’accès aux données médicales, suite
Dans ce jugement, le tribunal a donné raison à une plaignante, cliente d’une agence bancaire, qui demandait d’accéder aux traces de connexion en ligne à son compte bancaire. Si ce jugement est intéressant dans la mesure où le tribunal a considéré que les traces de connexion étaient communicables à l’usager final, il faut tout de même lui apporter plusieurs bémols.
D’une part, il y avait manifestement un litige autour de la situation débitrice du compte, avec des mails assez inhabituels échangés entre le chargé de compte, le mari de la plaignante et la banque.
D’autre part, ce jugement ne concerne en l’espèce que le domaine bancaire, et rien ne dit qu’il s’appliquerait in extenso au domaine médical – je laisse le soin aux juristes de confirmer ou d’infirmer ce point de vue.
Enfin, et c’est le point qui nous semble le plus important dans le sens où il n’est pas applicable à la situation d’un DPI interne, la plaignante demandait l’accès aux logs de connexion à ses comptes en ligne, et non pas les logs de connexion à ses comptes des agents de la banque eux-mêmes dans le cadre de leurs missions habituelles de gestion. Il n’existe pas d’équivalent dans la santé, puisque par définition nul autre que le patient n’a accès à ses données médicales (en dehors des cas d’exception tels que les tutelles, etc.). La situation sera bien entendu différente si l’établissement de santé propose un portail patient en mode Web (équivalent d’un accès Web à une interface de gestion de comptes) et si le patient demande les traces de connexions IP extérieures à son dossier du fait d’une suspicion d’indiscrétion.
Enfin – et ce sera le dernier point –, Bruno Rasle et moi-même sommes en phase pour considérer que les traces techniques ne relèvent pas du périmètre de la Cada, aspect que j’avais évoqué dans le précédent article sans avoir la certitude de mes conclusions.
Cela étant, si d’autres lecteurs disposent d’éléments nouveaux, je suis preneur. Et, autant le préciser tout de suite, inutile de m’envoyer vos questions pour ce qui concerne la traçabilité de ceux qui demandent l’accès aux traces d’accès des traces d’accès : j’ai déjà assez mal au crâne au bout de deux articles sur ce sujet !
[2] Association française des correspondants à la protection des données à caractère personnel.
[3] http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4236
Avez-vous apprécié ce contenu ?
A lire également.

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !
23 juin 2025 - 18:14,
Tribune
-Ça fait deux fois.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.