Publicité en cours de chargement...
Les traces d’accès aux données médicales, suite
Dans ce jugement, le tribunal a donné raison à une plaignante, cliente d’une agence bancaire, qui demandait d’accéder aux traces de connexion en ligne à son compte bancaire. Si ce jugement est intéressant dans la mesure où le tribunal a considéré que les traces de connexion étaient communicables à l’usager final, il faut tout de même lui apporter plusieurs bémols.
D’une part, il y avait manifestement un litige autour de la situation débitrice du compte, avec des mails assez inhabituels échangés entre le chargé de compte, le mari de la plaignante et la banque.
D’autre part, ce jugement ne concerne en l’espèce que le domaine bancaire, et rien ne dit qu’il s’appliquerait in extenso au domaine médical – je laisse le soin aux juristes de confirmer ou d’infirmer ce point de vue.
Enfin, et c’est le point qui nous semble le plus important dans le sens où il n’est pas applicable à la situation d’un DPI interne, la plaignante demandait l’accès aux logs de connexion à ses comptes en ligne, et non pas les logs de connexion à ses comptes des agents de la banque eux-mêmes dans le cadre de leurs missions habituelles de gestion. Il n’existe pas d’équivalent dans la santé, puisque par définition nul autre que le patient n’a accès à ses données médicales (en dehors des cas d’exception tels que les tutelles, etc.). La situation sera bien entendu différente si l’établissement de santé propose un portail patient en mode Web (équivalent d’un accès Web à une interface de gestion de comptes) et si le patient demande les traces de connexions IP extérieures à son dossier du fait d’une suspicion d’indiscrétion.
Enfin – et ce sera le dernier point –, Bruno Rasle et moi-même sommes en phase pour considérer que les traces techniques ne relèvent pas du périmètre de la Cada, aspect que j’avais évoqué dans le précédent article sans avoir la certitude de mes conclusions.
Cela étant, si d’autres lecteurs disposent d’éléments nouveaux, je suis preneur. Et, autant le préciser tout de suite, inutile de m’envoyer vos questions pour ce qui concerne la traçabilité de ceux qui demandent l’accès aux traces d’accès des traces d’accès : j’ai déjà assez mal au crâne au bout de deux articles sur ce sujet !
[2] Association française des correspondants à la protection des données à caractère personnel.
[3] http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4236
Avez-vous apprécié ce contenu ?
A lire également.
Contract Management : rigueur et dialogue au service des établissements de santé
15 déc. 2025 - 16:10,
Tribune
-Face à la pression financière croissante, la réduction des dépenses est devenue une priorité pour les établissements de santé. Dans ce contexte, maîtriser les engagements existants et éviter toute dérive est indispensable. C’est là qu’intervient le contract management, véritable outil stratégique po...
Digital Omnibus on AI, évolutions et perspectives
01 déc. 2025 - 21:44,
Tribune
-Faisant suite à un appel à contributions de la Commission européenne, deux projets de règlements ont été publiés le 19 novembre 2025 par la Commission européenne, bousculant assez substantiellement la réglementation en vigueur : le “Digital Omnibus for the digital acquis" ou "Omnibus numérique" [1] ...
Le moment Spoutnik de la cyber
24 nov. 2025 - 22:22,
Tribune
-En matière d’armement, on dit que ce qui compte vraiment, c’est le nombre et la force. Mais surtout la force.
Digressions sur la cyber et les enjeux climatiques
17 nov. 2025 - 20:53,
Tribune
-Cela nous pendait au nez : l’époque est aux questions semi-existentielles sur les enjeux climatiques, et la cyber, longtemps restée à l’écart, voit le sujet arriver par différentes sources et sous différentes formes, dont l’amendement sur les enjeux climatiques de la 27001.
