Dans un contexte de nomadisme numérique, il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte et que la machine qu'elle utilise bénéficient des autorisations nécessaires pour se connecter aux ressources internes. Ces mesures s'ajoutent à celles qui doivent exister lorsqu'une personne est déjà authentifiée sur le réseau, telles que des mécanismes d'authentification robustes lors de l'accès à des outils. Dans ce contexte, sont susceptibles de constituer des manquements à l'article 32 du RGPD:

1) La connexion au VPN d'une entité par des postes qui n'appartiennent pas à son parc informatique dès lors que cette entité ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements, qui peuvent donc ne pas correspondre au niveau de sécurité défini dans sa politique interne.

2) La simple collecte des données de journalisation. Le dispositif de journalisation n'est en effet efficace que si une entité est en capacité de traiter les informations enregistrées dans les journaux afin d'être en mesure, le cas échéant, de détecter rapidement un comportement suspect.

1) a) Politique d'habilitation pour les dossiers des patients informatisés (DPI) dans un hôpital. Est admissible un paramétrage du DPI prévoyant qu'un médecin peut consulter tout le dossier de ses patients, sans limite d'antériorité, à l'exception de séjours qui peuvent être paramétrés au sein du DPI en accès restreints, car présentant une sensibilité particulière pour la vie privée, ainsi que certains évènements futurs programmés à accès restreints. Un tel paramétrage répond à l'exigence de définir des droits en fonction du métier exercé au sein de la structure hospitalière en application de l'article L.1110-12 du Code de la santé publique et satisfait à l'exigence de protection de la confidentialité des données par une politique d'habilitation appropriée résultant de l' article 32 du RGPD.

b) N'est pas admissible, en revanche, le paramétrage qui prévoit que les médecins peuvent consulter les dossiers de tous les patients présents dans le DPI alors même qu'ils ne feraient pas partie de leur équipe de soins. Un tel paramétrage est contraire aux articles L.1110-4 et L.1110-12 du code de la santé publique, qui exigent que les habilitations tiennent compte de la notion d'équipe de soins.

2) a) Eu égard au volume et à la sensibilité des données traitées au sein du DPI, des contrôles réguliers de ces accès doivent être opérés, afin d'identifier ceux susceptibles d'être frauduleux ou illégitimes (par exemple un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace » lorsqu'il est mis en place). Il est fortement recommandé d'exercer ces contrôles par le biais d'une analyse automatisée ou semi-automatisée, permettant de garantir la sécurité et la confidentialité des données à caractère personnel traitées.

b) L'absence de contrôle régulier des journaux d'accès au DPI, alors qu'il contient des données sensibles qui concernent un nombre important de personnes, constitue un manquement à l'article 32 du RGPD.

Dans le cadre d’un décret précis concernant les modalités et les conditions de recevabilité de la saisine d’une institution par voie de pétition, ainsi que définissant les règles relatives à l’accès aux informations collectées, la mise en place d'un journalisation permettant de conserver une trace des opérations de consultation, création et modification des données est indispensable, conformément à la délibération de la CNIL n° 2021‑122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journaux.

En application de l’article 32 du RGPD, le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître.

1) La prévention des mésusages et des violations de données peut être en partie assurée par des mesures organisationnelles, notamment en informant les utilisateurs du système d’information sur les données qu’ils sont autorisés à traiter pour leurs missions, et en contrôlant l’usage qui en est fait, par exemple aux moyens de journaux de connexion.

2) En complément de ces mesures, la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions.

Les atteintes aux systèmes de traitement automatisé de données prévues à l'article 323-1 à 323-3 du code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d'accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d'éventuels autres utilisateurs du système, lorsqu'en l'espèce la personne mise en cause, seule utilisatrice du système, avait procédé à des saisies de données, puis à leur effacement, afin qu'elles n'apparaissent pas dans un journal de comptabilité.

Dans le cadre d'un décret précisant les modalités et les conditions de recevabilité de la saisine d'une institution par voie de pétition, définissant notamment les règles relatives à l'accès aux informations collectées, la mise en place d'un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données est indispensable, conformément à la délibération de la CNIL n° 2021‑122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation.

En particulier, une durée de conservation des journaux de six à douze mois est préconisée, et ces journaux doivent faire l'objet d'un contrôle automatique régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant. Le traitement proactif de ces journaux est d'autant plus pertinent que les données relatives à une pétition ont vocation à être traitées rapidement et peuvent conduire à des prises de décisions significatives pour l'institution et la société.

Si aucune disposition du RGPD n'impose effectivement de prévoir un système de journalisation dans l'acte réglementaire créant le traitement, le fait de le prévoir dans le décret oblige l'administration à le mettre en place et constitue une garantie importante. Il est d'ailleurs à noter que de nombreux décrets et arrêtés réglementant des traitements de données à caractère personnel le prévoient.