RGPD : vous avez (encore) un nouveau message
Tous les services en ligne (presque tous) sont en train de se mettre au niveau des exigences du RGPD, le règlement général sur la protection des données qui entre en vigueur partout en Europe à compter de ce vendredi 25 mai.
Et après avoir fait le nécessaire pour se mettre en règle, ces mêmes services préviennent leurs utilisateurs par e-mails, ce qui provoque une véritable frénésie de courriels. Du coup, la meilleure chose à faire, c'est de suivre l'exemple de @NayverM : troquer l'icône habituelle de l'app Mail par une image du RGPD !
Dans tous ces mails qu'on reçoit à flot continu, j'ai noté 2 approches diamétralement opposées...
Certains donnent un lien pour aller valider qu'on souhaite que le site conserve nos coordonnées et/ou qu'on souhaite continuer à recevoir des infos de leur part. J'apprécie cette approche.
Et puis il y a tous ceux qui racontent qu'ils ont mis à jour leur politique de confidentialité et qu'on est invité à aller la lire et c'est tout. Si on ne fait rien, on restera dans leurs listes de diffusion.
@r e m y
C’est vrai, moi qui m’attendais à constater l’approche d’Apple et cie à chaque fois (téléchargement et suppression des données)
@r e m y
En attendant, tous ces gens qui nous expliquent à quel point la confidentialité est importante pour eux et à quel point ils nous aiment, nous et notre vie privée, c'est fascinant.
Et un peu couillon, toutes ces années de malentendu, où nous, pauvres consommateurs, on en arrivait à penser l'inverse pour quelques spams (par heure, hélas).
Si j'avais pas une solide confiance en l'humain, j'y verrais presque de l'ironie, dans leur mails.
Sinon, je me répète, mais vider son historique Google depuis 2000, c'est juste jouissif.
@Bigdidou
"historique Google depuis 2000"
Vraiment ? ?
@reborn
Tu peux le faire. Je pense que tu peux remonter jusqu'en 1900.
Je sais pas si elle remonte jusque là, mais j'étais très enthousiaste.
Et comme AltaVista a disparu, Google a payé pour les deux.
@Bigdidou
Tu parle de l’historique web ?
@reborn
De tout. Web, recherches, YouTube, Android, recherches et trajets dans map, date et heure d'utilisation de chaque app Android, et j'en passe...
C''est fou, tout ce qui est stocké !
Sans rire, ça fait peur, quand même. Ça rend beaucoup plus concret le bigdata.
@Bigdidou
Ah j’avais deja désactivé pas mal de choses il y a un moment.
Dans de mauvaise mains ce genre de données peu faire des dégâts.
@reborn
J'ai rien vu pour désactiver les trucs, par contre.
Effacer ce qui est stocké, oui.
Mais désactiver le stockage, c'est encore mieux.
Tu as un lien ?
Sinon, faudrait presqu'un script qui te vide ça périodiquement.
Et pas que pour Google, tant qu'à faire.
Eh bien c’est dans les paramètres de compte google.. je saurais pas te dire exactement où c’est tellement confus. Mais commence par taper "désactiver historique web" dans google
@reborn
Merci...
C'est là : https://myaccount.google.com/activitycontrols
@Bigdidou
Voila ?
@Bigdidou
La partie historique des positions est pour moi la pire. C’est incroyable de voir tout ce qui est mémorisé.
@baklawa
"La partie historique des positions est pour moi la pire"
C'est impressionnant, hein ?
Je me demande si le fait qu'on a maintenant facilement accès à ça ne peut pas avoir des effets pervers collatéraux.
@Bigdidou
Vider l'historique Google, j'ai commencé mais j'ai renoncé.... le faire un par un c'est d'un chiant!
"Bizarre" qu'ils n'aient pas pensé à mettre une case "tout supprimer" ?
Au passage j'ai noté que même quand je ne suis pas connecté à mon compte Google sur www.google.com, les recherches effectuées étaient quand même mémorisées et associées à mon compte.
@r e m y
""Bizarre" qu'ils n'aient pas pensé à mettre une case "tout supprimer" ?"
Elle existe, mais c'est bien caché. J'ai un peu galéré pour trouver la méthode, mais une fois qu'on a compris, c'est très rapide.
Faudrait que MacG fasse un petit tuto ;)
@Bigdidou
Exact! Je viens de trouver la méthode de filtrage par date.
J'ai tout viré d'un coup depuis le 1er janvier 2000
(Dans le champ de recherche en haut de page, ne RIEN mettre puis spécifier les dates de début et de fin de recherche et enfin cliquer les "3 points verticaux" et choisir de supprimer tous les résultats)
@r e m y
C'est ça ;)
@Bigdidou
Si tout le monde fait pareil, la consommation électrique des datacenter va s'effondrer, au niveau mondial!
La planète dit merci à l'UE et au RGPD ?
@r e m y
Et ça va faire s’effondrer le prix du disque dur d’occasion ?
Perso on en sort là où je travaille ! On a fait partir l’email aujourd’hui. Et bien entendu l’utilisateur choisit ce qu’il veut comme consentement. Et si bien sûr non consentement pour l’email et pseudo (connexion + participation à la vie du site) il supprime son compte et toutes ses données. Et toutes les autres options sont personalisables, de la réponse aux formulaire de contact aux notifications. C’est du taff mais quitte à jouer le jeu autant le faire bien.
J’ai pas encore reçu le mail de macg ???
Je peux demander à ma banque toutes les infos quelles ont sur moi ?
Les études qu'elles font avec mes données ? Les scores qu'elles m'ont mis ?
Dans quelle campagne marketing je suis ?
@free00
Malheureusement je ne pense pas, mais la logique voudrait que ce soit la même chose, d’autant plus que les banques travaillent de plus en plus en ligne.
@free00
Tente toujours.
Voila ce que fait paypal par contre https://rebecca-ricks.com/paypal-data/
Par contre télécharger les données qu’ont les opérateurs je dis oui, mais c’est pas encore gagné ☹️
https://www.freenews.fr/freenews-edition-nationale-299/free-mobile-170/donnees-personnelles-la-quadrature-du-net-saisit-la-cnil-contre-free-et-les-3-autres-operateurs
@reborn
'Voila ce que fait paypal par contre https://rebecca-ricks.com/paypal-data/'
Bref, les données sont partagées avec à peu près tout le monde ;)
@free00
Théoriquement oui à partir du moment ou elles traitent des données personnelles, sauf la suppression des données probablement en contradiction avec d’autres lois.
D’un côté j’en ai marre de tous les mails que je reçois concernant le RGPD et d’un autre cotée ça montre bien que les entreprises se conforment à la règle
Et pour compléter, meme les fichiers papiers contenant des informations personnelles sont concernés, et les données en question n’ont pas besoin d’être accessible en ligne pour y être soumises, donc pas seulement les banques avec activités en ligne sont concernées.
Oh punaise ! Je me disais exactement la même chose avant de lire votre article... Ça vient de tous les côtés...
...
Je suis le seul à n’en avoir rien à foutre que mes données personnelles soient utilisées à des fins commerciales ?
@niroz
Pour tous les autres, c’est une vraie liberté. Avant, on n’avait pas le choix. Maintenant, on l’a.
Le petit fonctionnaire de l'UE qui a eu cette merveilleuse idée devrait être licencié !! Immenses dépenses d'énergie pour rien. Grrr
@padeca
Une connerie sans nom pour les libéraux et petit commerces. Ma conjointe est osteo je ne sais meme pas comment aborder cette lois de merde!
Elle a juste un ordi relié a internet sans sauvegarde et toutes les données patient sont dans un logiciel protégé par un mots de passe. Que faire?
@ecosmeri
"Une connerie sans nom pour les libéraux et petit commerces. Ma conjointe est osteo je ne sais meme pas comment aborder cette lois de merde! "
Je vois pas ce que ça change pour les professions de santé.
Les informations recueillies et leurs conditions d'accès sont réglementées depuis longtemps, heureusement. Nous sommes bien sûr très en avance sur ce rgpd qui ne nous concerne pas directement. De toute façon, les données ne sont partagées que pour assurer la coordination et le prolongement des soins dans l'intérêt de la personne.Ou à des fins de recherche, sous couvert d'une anonymisation suivant des procédures définies et strictes, ccpprb et tout ça.
Si ce règlement pose problème, il faut s'interroger à propos de ses pratiques antérieures.
"Elle a juste un ordi relié a internet sans sauvegarde et toutes les données patient sont dans un logiciel protégé par un mots de passe. Que faire?"
Commencer par se mettre en règle avec la cnil si ce n'est déjà fait. Puis mettre en place un système aux normes. : logiciel et matériel. Ça va coûter cher et prendre beaucoup de temps.
Je comprends son problème, mais profession de santé, ça s'improvise pas. Ce que tu décris est juste monstrueux. Pas de sauvegarde, pas de protections de données confidentielles, pas d'information aux patients ni d'accès organisé aux données, n'importe quel kiné, médecin ou infirmière se prendrait des sanctions monstrueuses pour ça, qui commencerait par l'arrêt de toute activité.
Maintenant, si elle a un logiciel pro dédié aux normes, elle se fait peut-être du souci pour rien. Il n'y a peut-être que la sauvegarde et l'accès des patients à leur données à organiser.
C'est pas grand chose.
@Bigdidou
Je ne sais pas si elle est soumise au meme règles que les profession de santé car elle est professionnelle de la santé. Donc pas les même impératifs que justement infirmières et kiné.
Bref on vera. Pour l'instant on attend
@ecosmeri
"Je ne sais pas si elle est soumise au meme règles que les profession de santé"
Non, et c'est un peu le problème de l'ostéopathie. Raison de plus pour profiter de l'occasion pour se mettre dans un cadre réglementaire de bonnes pratiques.
Désolé pour ma rigidité à ce propos ;)
@Bigdidou
Tu as tout a fait raison. C'est juste pas simple a faire. Faudrait presque etre expert en informatique, en gestion, en compta, en juridique, architecte... en plus de son metier. Comme je me fait operer bientot je jetterai un oeil la dessus pendant mon arret
@ecosmeri
"Tu as tout a fait raison. C'est juste pas simple a faire. Faudrait presque etre expert en informatique, en gestion, en compta, en juridique, architecte... en plus de son metier"
C'est bien pour ça que j'admire les indépendants et que j'ai choisi d'être salarié dans une structure.
C'est d'ailleurs un mouvement de fond des professions de santé, face aux complexités collatérales du métier qu'il devient clairement impossible d'affronter seul.
@Bigdidou
Les données de santé donc médicales, que pus soyez un gros labo ou un indépendant sont au contraire considérées comme « sensibles » pour les règles RGPD
Il vous faut donc faire un plan d’impact
Cherchez le logiciel PIA fourni par la cnil sur son site
Et...sécuriser au mieux les données, même en cas de vol (aka chiffrement du disque dur / procédures an cas de vol/intrusion etc.)
@deltiox
"Les données de santé donc médicales, que pus soyez un gros labo ou un indépendant sont au contraire considérées comme « sensibles » pour les règles RGPD"
Ah, mais absolument, nous sommes tout à fait d'accord.
Mais en principe, le rgpd ne doit rien modifier face à des dispositions qui sont déjà prises dans le cadre des accréditations et certifications has (v. 2014), en tout cas pour les structures médicales qui y dont soumises.
Cela va même très au-delà des exigences du rgpd, en particulier en ce qui concerne la sécurisation des données. Quant à leur transmission et leur partage, il existe un cadre réglementaire spécifique (pour le moins complexe, mais j'attends beaucoup de l'HN 2020 auquel nous nous préparons maintenant).
Je ne vois donc pas très bien ce que peut apporter un plan d'impact, mais c'est l'occasion de refaire le point, c'est certain.
Pour les indépendants, les logiciels professionnels certifiés associés aux bonnes pratiques devraient couvrir le rgpd.
Les recommandations de notre Ordre (bien qu'on avait déjà des déclaration CNIL et l'obligation de transfert des infos médicales aux patients en faisant la demande (art. L.1111-7 du CSP), en revanche interdit de les effacer (obligation de conserver 20 ans les données après la dernière consultation) :
Toute entité privée ou publique réalisant des traitements de données dans le cadre de fourniture de biens ou de services.
Tous les établissements de santé, y compris les cabinets dentaires libéraux, sont donc concernés par ce rè- glement car nous traitons de nombreuses données personnelles et de santé.
Attention car cela concerne à la fois les données informatiques et papier.
Votre prothésiste est également concerné par l’application de ce règlement et la responsabilité des données est partagée entre le donneur d’ordre et le sous-traitant.
Même des données que vous pourriez considérer comme anonymes peuvent constituer des données à carac- tère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise (Art. 2 de la loi "Informatique et libertés »).
* Quelles sont les obligations à respecter au cabinet dentaire?
1- Tenir un registre de traitement des données.
Ce registre doit apporter un résumé d’ensemble clair de toutes les données traitées par le cabinet.
Cela concerne les :
- Données des fichiers patients.
- Données des salariés.
- Données des fournisseurs.
Il doit indiquer pour chaque donnée recueillie :
- La finalité de collecte.
- Les catégories de données utilisées.
- Quelles personnes y accèdent.
- Combien de temps elles sont conservées. (Pour rappel les données médicales doivent léga- lement être conservées 20 ans depuis la dernière visite du patient au cabinet (Article R. 1112-7 du Code de la santé publique).
Exemple de registre disponible sur le site de la C.N.I.L https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf
2 - Nommer un délégué à la protection des données (Data Protection Officer - D.P.O).
Cela concerne uniquement les cabinets amenés à traiter des quantités de données importantes. En pratique les cabinets de plus de 2 praticiens.
Le D.P.O a pour mission d’établir le registre des données et d’analyser la conformité avec le R.G.P.D. Ce délégué peut être mutualisé ou externalisé. https://www.cnil.fr/fr/le-delegue-la-protection-des-donnees-dpo
3 - Informer et être transparent sur la gestion des données.
A chaque fois que l’on collecte des données on doit obtenir le consentement éclairé des patients pour l'utili- sation de leurs données. Le patient doit être informé de manière intelligible et claire sur ses droits.
Cela consiste à :
- Informer le patient sur le traitement des données.
- Préciser la finalité de cette collecte.
- Expliquer le droit à l’accès, la modification ou la suppression des données.
Concernant ce dernier point:
* Vous devez garantir un délai de réponse inférieur à un mois, à compter de la réception de la demande. Cependant il est possible de prolonger ce délai à deux mois, à condition de le signaler au patient. Il est ici question des données personnelles récoltées, en cas de demande de communication du dossier médical les articles L. 1111-7 et R. 1111-1 du code de la santé publique (CSP) prévoient que la communication du dossier par le praticien doit intervenir au plus tard dans les huit jours suivant la demande formulée par le patient, et au plus tôt après qu’un délai de réflexion de quarante-huit heures aura été observé. Lorsque les informations médicales datent de plus de cinq ans, ce délai est porté à deux mois.
* Les copies fournies dans le cadre d'une demande d'accès à des données sont gratuites. Néanmoins, lorsque les demandes sont manifestement infondées ou bien excessives, vous pourrez exiger un paiement de frais rai- sonnables.
* Si la demande est réalisée par voie électronique, il sera possible d'envoyer le dossier par cette même voie, à condition que le patient ne demande pas qu'il en soit autrement.
4 - Garantir la protection des données à risque.
Mettre en place des procédures permettant de garantir la sécurité́ et la confidentialité́ des données. Mettre à jour les logiciels professionnels, les antivirus, le système d’exploitation informatique.
Faire attention à la gestion des mots de passe (qui ne doivent pas être accessibles sur un post-it à côté de l’or- dinateur).
Pour les armoires de dossier papier, elles doivent être sécurisées (ici aussi ne pas laisser la clé sur l’armoire).
En cas de violation des données, un signalement à la C.N.I.L doit être effectué dans les 72 heures. Il s’effec- tue directement en ligne. Les patients concernés doivent également être informés.
5 - Afficher une mention de la C.N.I.L dans votre cabinet :
Information des personnes
Ce lieu de soins dispose d’un système informatique destiné à faciliter la gestion des dossiers des patients et à assurer la facturation des actes et, le cas échéant, la télétransmission des feuilles de soins aux caisses de sécu- rité sociale.
Les informations qui vous sont demandées feront l’objet, sauf opposition justifiée de votre part, d’un enre- gistrement informatique.
Vous pouvez accéder aux informations vous concernant auprès de votre professionnel de santé*. *Loi n°78-17 du 6 janvier 1978 modifié en 2004 relative à l’informatique, aux fichiers et aux libertés.
6 - Etre en conformité pour le 25 mai 2018.
* Quelles sanctions en cas de non conformité ?
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives impor- tantes en cas de méconnaissance des dispositions du règlement.
Evidemment les sanctions dépendent de la gravité du problème et peuvent aller d’un simple avertissement jusqu’à une amende correspondant à 4% du chiffre d’affaire.
Je n’ai pas encore reçu le e-mail de l’administration fiscale
?
@deltiox
Tu vas sur le site impots.gouv.fr et tu coches la case demandant à être retiré de leurs bases de données... ?
@r e m y
Mince pas dispo
Je pense qu’il faut une résidence fiscale à Monaco pour profiter de l’option
c’est rassurant de voir à quel point Monaco est en avance sur les RGPD
Très content de recevoir tous ces mails.
Je suis en pleine épuration de mes comptes divers, ça me permet de me desinscrire de tous les sites dont j’ai oublié d’être membre.
Prochain gros morceau: dégager mon compte Google.
Pour ceux qui ne comprennent pas à quoi sert cette loi : sans rien faire, il y aura assez d’informations sur vous pour que, en les recoupant, un algorithme puisse mieux vous connaître que vous même.
Imaginez cet algorithme aux mains d’une compagnie d’assurance, d’un cabinet de recrutement, d’un site proposant de savoir si telle ou telle personne est fiable, sur quelles photos elle apparaît, à quels endroits elle traîne, ...
Et le summum : imaginez ces données servant à une dictature. Les « ennemis d’état » seraient identifiés, localisés, arrêtés et exécutés en une semaine.
@daffyduuck
Pour dégager Google cela va être difficile
Tous les sites web utilisant leur technologie
Tous les smartphone Android
Toutes les Apps avec pour champs de recherche par défaut Google
Etc.
Mais bon courage
Ca a au moins l’avantage de savoir qui a nos coordonnées !
@pasc'
"Ca a au moins l’avantage de savoir qui a nos coordonnées !"
Ça, c'est facile : tout le monde.
C'est plutôt ce qui en est fait qui est intéressant.