Scroll Top
header-datactu-2
Partager l'article



*




DATACTU JURIDIQUE #10 NOVEMBRE 2023

 

Article rédigé le 6 novembre 2023 par Me Laurence Huin et Raphaël Cavan

ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU

LES RECO CNIL DU MOIS

Consultation sur la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle

Dans le but de soutenir le développement des systèmes d’intelligence artificielle (IA) dans le respect des dispositions de la réglementation sur la protection des données, la CNIL a ouvert le 11 octobre dernier une consultation publique sur la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle (IA).

Cette consultation vise à permettre aux acteurs de l’écosystème IA de s’exprimer sur les fiches pratiques élaborées par la CNIL ayant pour objectif d’apporter des réponses concrètes en matière d’application du RGPD à l’IA.

Ces fiches destinées à accompagner un large nombre de professionnels aux profils aussi bien juridique que technique, abordent des thématiques RGPD dans le cadre de la phase de développement d’un système d’IA amené à collecter des données à caractère personnel, notamment sur la détermination du régime juridique applicable au projet envisagé, ou encore sur la gestion et la protection des données amenées à alimenter le système d’IA.

Les établissements de santé peuvent également s’appuyer sur ces fiches, notamment dans le cadre de l’élaboration d’un PoC (Proof of concept), ou même d’un partenariat visant à mettre à disposition leurs bases de données pour l’apprentissage de l’algorithme d’une start-up.

Cette consultation est ouverte jusqu’au 16 novembre prochain.

En attendant une version définitive, pour consulter ces fiches ou participer à cette consultation, consulter le site de la CNIL en cliquant ici.

ACTU CYBERSÉCURITÉ

La certification des établissements de santé modifiée par le référentiel de la HAS

La Haute Autorité de Santé (ci-après « HAS ») a présenté au cours d’un webinaire le 12 septembre dernier les ajustements qu’elle entend mettre en œuvre dans le cadre de la certification des établissements de santé face au risque croissant des cyberattaques auquel ils font quotidiennement face.

Pour rappel, cette certification est un dispositif d’évaluation externe, indépendant et obligatoire pour tous les établissements de santé, qu’ils soient publics ou privés, et qui a pour objectif de porter une appréciation indépendante sur la qualité des soins fournis par les hôpitaux et les cliniques en France.

Les principales modifications réalisées par la HAS à son référentiel visent notamment à renforcer :

  • l’information délivrée au patient sur ses données à caractère personnel,
  • la sécurisation et l’identification du patient,
  • la communication sécurisée d’informations médicales ou encore
  • la maitrise des risques de sécurité visant les espaces numériques.

Ce référentiel est téléchargeable sur le site de la HAS depuis le 12 septembre 2023 et sera applicable auprès des établissements de santé à partir de janvier 2024.

À ce titre, et afin d’évaluer ces critères, la HAS recrute depuis le 6 juillet 2023 des experts-visiteurs compétents sur les sujets du numérique au sein des hôpitaux et des cliniques afin de renforcer le nombre d’experts-visiteurs déjà existants.

Ainsi, les modifications apportées par la HAS à son référentiel permettent de participer à la conformité des établissements aux dispositions du RGPD, mais aussi au respect de leurs obligations prévues par le code de la santé publique en matière d’échange et de partage de données de santé entre professionnels de la santé.

Actualité juridique données de santé

ACTUALITÉ EN SANTÉ NUMÉRIQUE

Publication d’un guide RGPD par la CNIL et l’Ordre national des pharmaciens

En juillet 2022, la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») a publié un référentiel relatif aux traitements de données à caractère personnel destiné à la gestion des officines de pharmacie.

Dans la continuité de ce référentiel, le Conseil National de l’Ordre des Pharmaciens (ci-après « CNOP »), en collaboration avec la CNIL, a publié récemment un guide comprenant des outils pratiques à destination des pharmaciens d’officine afin de les accompagner dans leur mise en conformité à la réglementation sur la protection des données.

Ce guide pratique comprend une présentation des principales notions à connaître et des règles à respecter sous la forme de cases à cocher. Six fiches thématiques sont également proposées, le tout accompagné d’exemples concrets et de bonnes pratiques, ainsi que d’outils adaptables et utilisables par les pharmaciens pour les besoins de leurs activités.

Il est intéressant de noter sur le fond que ce guide, et ce dans la continuité du référentiel de la CNIL du 18 juillet 2022, intègre pour la première fois le critère du chiffre d’affaires pour savoir s’il est nécessaire de réaliser une analyse d’impact. En effet, pour les officines de pharmacie, la réalisation d’une analyse d’impact sur la vie privée devrait en principe être nécessaire pour celles ayant déclaré une activité globale annuelle de plus de 2 600 000 € hors taxes.

Pour consulter ce guide disponible sur le site de la CNIL, cliquer ici.

Par ailleurs, n’hésitez pas à consulter notre veille juridique dédiée à ce guide sur notre blog, en cliquant ici.

POUR ALLER + LOIN

Habeamus MR-007 et MR-008 : La CNIL adopte deux nouvelles méthodologies de référence

L’actualité dans le domaine de la recherche en santé a été marquée par l’adoption de deux nouvelles méthodologies de référence par la CNIL, adoptées le 20 juillet dernier et publiées au Journal Officiel de la République Française du 12 octobre 2023.

Ces nouvelles méthodologies ne sont pas une surprise dans la mesure où celles-ci étaient inscrites à l’ordre du jour de la séance plénières de la CNIL du 12 juillet 2022, en sus du projet de modification des méthodologies de référence MR-005 et MR-006 dont on attend toujours les suites après la consultation publique lancée en janvier 2022.  Ces deux méthodologies ont pour objectif d’ouvrir l’accès aux organismes publics (MR-007) et privés, à l’exception des assureurs (MR-008) aux données présentes dans la base principale du Système National de Données de Santé (SNDS), auparavant limité au seul programme de médicalisation des systèmes d’information (PMSI) dans le cadre de la MR-005 et MR-006.

Ces méthodologies de référence concernent les recherches, études ou évaluations dans le domaine de la santé qui n’impliquent pas la personne humaine, et sont l’occasion de formaliser l’implications de deux acteurs dans le cadre du traitement réalisé à partir des données du SNDS, que ce soit le responsable de la mise en œuvre du traitement, ou encore le gestionnaire de l’environnement maitrisé, et ainsi harmoniser la terminologie employée par la Plateforme de données de santé (HDH) sur ce point

Par ailleurs, ces méthodologies introduisent une nouvelle obligation à la charge du responsable de traitement tenant à la production d’un bilan de synthèse à transmettre tous les 3 ans à la CNIL permettant à celle-ci d’avoir des retours sur la manière dont le SNDS et ses composants sont exploités par les organismes ayant accès à celui-ci, mais aussi d’avoir des informations sur les répercussions scientifiques générées par la poursuite et la réalisation des études réalisées à partir des données du SNDS.

Quelques éléments de décryptage vous sont livrés dans notre article consultable en cliquant ici.

DÉCRYPTAGE DE LA SANCTION DU MOIS

Norvège : La communication de données de santé dans le cadre d’une procédure judiciaire

À l’occasion d’une procédure judiciaire se déroulant devant la Cour d’Appel Norvégienne opposant une compagnie d’assurance et l’un de ses assurés dans le cadre d’un litige concernant l’attribution d’une assurance contre les accidents du travail, la Cour a été amenée à se prononcer sur la licéité d’une transmission de données à caractère personnel de santé.

En effet, dans le cadre du litige, la compagnie d’assurance avait mandaté un psychiatre externe en tant qu’expert privé qui avait reçu communication des données de santé de l’assuré que détenait la compagnie d’assurance, et ce, sans son accord.

Un rapport rédigé par l’expert à l’aide de ces données a ensuite été produit devant les juges de la Cour d’Appel Norvégienne.

À ce titre, l’assuré considère que la communication de ses données de santé détenues par la compagnie d’assurance à un psychiatre qui ne participait pas à sa prise en charge constituait une divulgation illicite auprès d’un tiers non-autorisé, et par conséquent un manquement aux dispositions du RGPD.

La Cour a rejeté la plainte de l’assuré au motif que la communication de ses données de santé auprès d’un expert privé rentrait dans le cadre d’une procédure civile en cours d’instruction, et s’écartait du champ d’application du RGPD et du « Personal Data Act » (Loi norvégienne intégrant les exigences du RGPD, équivalent de la Loi Informatiques et Libertés en France).

Pour autant, la Cour précise avoir écarté des débats le rapport de l’expert en raison de la violation faite à la section 21a de leur « Health Personnel Act » qui prévoit une interdiction de communication et d’accès des données de santé détenues par des professionnels de la santé à des tiers non-autorisés.

L’assuré avait en parallèle de cette procédure saisie l’autorité de contrôle norvégienne («The Norwegian Data Protection Authority ») concernant la divulgation de ses données auprès d’un tiers non-autorisé, laquelle est allée dans le sens de la Cour d’Appel en retenant que la demande du plaignant ne rentrait pas dans son champ de compétence conformément à l’article 55 du RGPD qui précise que « les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle ».

On peut se demander dans le cadre de cette affaire si l’homologue norvégienne de la CNIL et la Cour d’Appel Norvégienne n’ont pas commis une mauvaise interprétation de l’article 55 du RGPD dans la mesure où l’article précité vise expressément les traitements menés par les autorités judiciaires, et non les traitements de données à caractère personnel produits dans le cadre d’une procédure judiciaire.

Un parallèle peut être fait avec une décision rendue par le Conseil d’Etat le 15 novembre 2022 amené à se prononcer sur une décision rendue par la chambre disciplinaire nationale de l’ordre des médecins.

Dans cette affaire, une société d’assurance avait sollicité l’expertise d’un médecin-conseil pour l’évaluation du préjudice subi par un particulier dans le cadre d’une procédure d’indemnisation à l’amiable. L’indemnisation à l’amiable échoua et l’affaire sera ensuite portée devant les tribunaux judiciaires. Dans le cadre de cette procédure, le juge des référés ordonna la désignation d’une expertise judiciaire.

À ce titre, le rapport d’expertise du médecin-conseil de l’assurance a été communiqué auprès du médecin chargé par le juge de l’expertise, ce à quoi, le particulier s’est opposé car celui-ci n’avait pas donné son accord.

Cette contestation a été portée devant la chambre disciplinaire nationale de l’ordre des médecins qui avait considéré que les deux médecins étant soumis au secret professionnel, la communication des informations de santé du particulier n’était pas illicite et concourait par ailleurs à la bonne administration de la justice.

Le Conseil d’Etat ne retient pas cette analyse de l’ordre des médecins, et se fonde sur l’article L.1110-4 du code la santé publique qui prévoit que le partage d’informations couvertes par le secret médical entre professionnels de santé ne faisant pas partie de la même équipe de soins requiert le consentement préalable de la personne, et que les exigences posées par l’article 275 du code de procédure civile dans le cadre d’une expertise judiciaire ne sauraient déroger à cette règle.

On constate donc dans les deux cas que la constitution d’une preuve dans le cadre d’une procédure judiciaire ne saurait rendre légitime une communication de données de santé auprès de tiers non autorisés sans l’accord de la personne concernée

Par ailleurs, le fait que les professionnels de santé soient liés par les mêmes règles déontologiques tenant au secret médical ne saurait supplanter les droits et garanties accordées au patient, lequel doit pouvoir donner son accord à ce que ses données de santé fassent l’objet d’une communication auprès de professionnels de santé ne faisant pas partie de l’équipe de soins assurant sa prise en charge.

Pour consulter le résumé de la décision de la Cour d’Appel Norvégienne, cliquer ici.

Perspectives & Changements

Projet de loi visant à sécuriser et réguler l’espace numérique ou loi « SREN » : Une première étape vers un marché du cloud plus ouvert ?

L’Assemblée nationale a adopté le 17 octobre 2023 en première lecture avec modifications le projet de loi « SREN », dont les dispositions les plus attendues et largement relayées par les médias ces derniers jours visent notamment l’instauration d’un filtre anti-arnaque, le blocage rapide des sites pornographiques accessibles aux mineurs, ou encore l’introduction d’une peine de bannissement des réseaux sociaux pour les cyber-harceleurs.

Pour autant, ce projet de loi prévoit vise également à transposer les dispositions du règlement sur les services numériques (Digital Services Act- DSA) et le règlement sur les marchés numériques (Digital Markets Act- DMA) en confiant de nouvelles compétences à la CNIL et à l’ARCEP.

 À ce titre, certaines mesures de ce projet de loi visent à réduire la dépendance des entreprises aux fournisseurs d’informatique en nuage (ou « cloud »), dont le marché est essentiellement occupé par trois géants numériques américains (Amazon, Microsoft et Google).

Trois propositions prévues par le texte de loi concourent à cet objectif :

  1. La consécration d’un droit à la portabilité des données d’une entreprise chez un autre fournisseur, interdisant ainsi l’existence des frais de transfert de données lorsqu’une entreprise décide de changer de fournisseur.

Il ne faut pas ici confondre avec le droit à la portabilité des données personnelles prévue par l’article 20 du RGPD qui vise le transfert des données à caractère personnel d’un responsable d’un traitement vers un autre responsable de traitement.

Le projet de loi vise ici à anticiper l’intégration dans le droit français des dispositions du règlement européen sur la gouvernance des données (« Data act ») dont un accord politique sur son adoption a eu lieu le 27 juin dernier et doit encore être approuvé formellement par la Commission européenne.

L’Arcep aura la charge de contrôler l’effectivité de ces mesures, mais aussi de définir les conditions de l’interopérabilité des données, c’est-à-dire l’ensemble des spécifications techniques que devront appliquer les prestataires des services informatiques en nuage aux données qu’ils détiennent pour que celles-ci puissent aisément être transférées d’un prestataire à un autre.

  1. Une obligation pour les administrations de l’État ou ses opérateurs, dont la liste est annexée au projet de Loi de finances, ou pour les systèmes ou applications informatiques qui traiteraient des données d’une sensibilité particulière de recourir à des entreprises européennes pour l’hébergement des données stratégiques sensibles répondant aux exigences du référentiel SecNumCloud publié par l’Agence nationale de sécurité des systèmes d’information (Anssi).

À noter que les données stratégiques sensibles peuvent être également des données non personnelles, comme des données nécessaires à l’accomplissement des missions essentielles de l’État.

Cette mesure reprend l’une des recommandations de la circulaire actualisant la doctrine cloud de l’Etat français (« cloud au centre ») publié le 1er juin dernier. Cette recommandation présentait la qualification SecNumCloud, comme étant le référentiel recessant un ensemble de règles de sécurité garantissant un haut niveau de sécurité tant du point de vue technique, qu’opérationnel ou juridique que doivent être en mesure d’appliquer les prestataires proposant une offre d’informatique en nuage.

La circulaire prévoyait à ce sujet également qu’une qualification européenne garantissant un niveau au moins équivalent pouvait suffire, à l’image de la certification C5 obtenue par le cloud Amazon Web Service (« AWS ») et élaborée par la BSI (l’Office fédéral de la sécurité des technologies et de l’information) sur la base de la même norme internationale que SecNumCloud.

À ce titre, les eurodéputés se prononcent actuellement en faveur d’un vote pour amender le règlement européen sur la cybersécurité (Cybersecurity Act) en vigueur depuis le 7 juin 2019 dans le but de donner le pouvoir au Parlement européen de valider les certifications européennes de sécurité, et ainsi éviter une fragmentation du marché.

  1. Une obligation pour les fournisseurs de service d’informatique en nuage, à compter du 1erjuillet 2024, d’être certifiés par le référentiel SecNumCloud pour pouvoir héberger des données de santé.

Sur ce point, un aménagement est prévu si l’hébergeur conserve des données dans le cadre d’un service d’archivage électronique, alors celui-ci sera soumis à l’obligation précitée à compter d’une date fixée par décret, et au plus tard du 1er juillet 2025.

L’ensemble de ces mesures doivent désormais être débattues en commission mixte paritaire pour s’accorder sur une version finale du projet de loi.

Le projet de loi SREN tend donc à renforcer la souveraineté numérique de la France, mais encore faut-il que des offres présentes sur le marché puissent accompagner cette volonté, à l’image du cloud NumSpot, fruit de l’alliance de 4 grands industriels français (Docaposte, Dassault Systèmes, Bouygues Telecom et la Banque des Territoires) se présentant comme un acteur du cloud souverain et de confiance.

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant que juriste au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.