DATACTU JURIDIQUE #11 DÉCEMBRE 2023
Article rédigé le 6 décembre 2023 par Me Laurence Huin et Raphaël Cavan
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
LES RECO CNIL DU MOIS
La Délibération n°2023-095 du 14 septembre 2023 de la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») paru au Journal officiel de la République du 15 novembre dernier a permis l’adoption d’un référentiel « durées de conservation » pour les traitements de données à caractère personnel les plus courants menés dans le secteur social et médico-social.
Pour rappel, les référentiels adoptés par la CNIL n’ont pas de valeur contraignante et ne sont pas opposables aux responsables de traitement dans le cadre de leurs activités. Ces derniers peuvent donc s’écarter des préconisations de ces référentiels, à condition toutefois de pouvoir justifier et documenter leur choix sous leur responsabilité.
L’objectif de ce référentiel est donc de pouvoir accompagner les responsables de traitement des organismes privés ou publics œuvrant dans le secteur social et médico-social dans leur mise en conformité aux règles posées par la réglementation générale sur la protection des données (« RGPD ») et ses grands principes en matière de gestion des données à caractère personnel prévus par l’article 5 de la réglementation, et en particulier celui de la limitation de la conservation des données.
En effet, la question de la détermination d’une durée de conservation des données à caractère personnel est un sujet épineux et complexe au cœur de la mise en conformité aux règles du RGPD, qui peut rapidement devenir un sacerdoce pour les responsables de traitement qui peinent à justifier leurs durées de conservation retenues lorsqu’aucune durée n’est posée par un texte légal ou réglementaire.
Pour cela, ce nouveau référentiel guide les responsables de traitement dans la détermination d’une durée de conservation opérationnelle et adaptée aux caractéristiques des traitements de données à caractère personnel menés par leurs établissements.
La CNIL souligne pour autant le caractère non-exhaustif de ce référentiel qui a pour objectif de couvrir les traitements les plus courants, tels que l’instruction, la gestion et le versement des prestations sociales légales.
Une fiche pratique dédiée à la détermination d’une durée de conservation pertinente complète ce référentiel afin d’accompagner étape par étape le responsable de traitement dans la gestion des durées de conservation des données qu’il collecte pour les besoins de son activité et des services proposés par son établissement.
- Notre analyse
La CNIL n’est pas à son premier référentiel « sectoriel » visant le secteur social et médico-social, et avait déjà produit en mars 2021 un référentiel pour le suivi médico-social des personnes âgées, en situation de handicap, ou en difficultés, ainsi qu’un autre référentiel en février 2022 sur la protection de l’enfance et des majeurs de moins de 21 ans, ou encore en mai 2021 un guide pédagogique élaboré en lien avec l’Unaf (« Union nationale des associations familiales ») destiné à accompagner les professionnels du secteur social et médico-social dans leurs premières démarches de mise en conformité avec le RGPD.
Les deux référentiels précités comportaient déjà des durées de conservation, pour la plupart reprises dans ce nouveau référentiel qui lui est entièrement consacré à la détermination de ces durées. Dès lors, ce nouveau référentiel a une vocation plus large que ceux préexistants dans la mesure où celui-ci abandonne la logique d’un référentiel visant une catégorie de personnes concernées par les traitements de données à caractère personnel (personnes âgées, personnes mineurs, …) pour adopter une vision plus structurelle et générale en visant les traitements les plus fréquents dans le secteur social et médico-social.
Ainsi, ce référentiel est l’occasion pour les organismes du secteur social et médico-social de repenser et réévaluer leur conformité au RGPD à travers les grilles de lecture offertes par la CNIL dans ce référentiel et sa fiche pratique, notamment au regard du principe de responsabilité du RGPD (« accountability ») imposant aux responsables de traitements une logique de documentation de leur conformité au RGPD.
On note également que ce référentiel a été réalisé dans le cadre d’un groupe de travail social et médico-social en concertation avec différents acteurs institutionnels œuvrant quotidiennement auprès des professionnels des secteurs concernés. Nous retrouvons au sein de ce groupe l’Unaf, NEXEM, la Fédération des acteurs de la solidarité, et enfin le groupe social et médico-social social de l’association française des correspondants à la protection des données (AFCDP) auquel notre cabinet est membre.
La CNIL précise par ailleurs que l’objectif de ce groupe de travail est de « co-produire des outils (fiches pratiques, élaboration de mentions d’information, etc.) sur des thèmes précis (durées de conservation, information des personnes, registre des traitements, etc.) afin de faciliter la mise en œuvre de la réglementation en matière de protection des données personnelles pour l’ensemble des professionnels des secteurs ».
Nous ne pouvons donc qu’espérer que la CNIL et ce groupe de travail ne vont pas s’arrêter à ce référentiel et produiront dans le futur d’autres ressources à destination des acteurs concernés par le RGPD dans le social et/ou médico-social.
C’est par ici pour consulter ce référentiel « durées de conservation » publié par la CNIL.
ACTU SANTÉ NUMÉRIQUE
L’obtention gratuite d’une copie du dossier médical du patient consacrée par la CJUE
Lors d’un arrêt en date du 26 octobre 2023, la CJUE consacre le droit du patient à obtenir une première copie de son dossier médical sans que cela entraîne des frais à sa charge.
Dans cette affaire se déroulant en Allemagne, le patient a reçu auprès de son dentiste des soins dentaires durant lesquels il a soupçonné des erreurs commises par ce dernier.
Le patient a donc demandé la remise à titre gratuit d’une première copie de son dossier médical.
Or, le dentiste a déclaré qu’il ne répondra pas favorablement à sa demande, sauf à la condition que le patient prenne en charge les frais liés à la fourniture de la copie du dossier médical, ainsi que le prévoit le droit national allemand dans son code civil.
En effet, le code civil allemand prévoit que le patient peut obtenir une copie de son dossier médical, à condition de rembourser au praticien les frais qui en résultent. À noter que cette disposition allemande date d’avant l’entrée en vigueur du RGPD.
En parallèle avec la France, l’article L.1111-7 du code de la santé publique, qui encadre la communication du dossier médical du patient, prévoyait jusqu’au 1er novembre 2021 des frais à la charge du patient lorsque celui-ci demandait une copie de son dossier médical. Aujourd’hui, cette disposition n’est plus en vigueur et prévoit uniquement que « La consultation sur place des informations est gratuite ».
Dans l’affaire portée devant la Cour de justice de l’Union européenne (ci-après « CJUE »), le patient allemand contestait cette condition financière et considérait qu’au regard du RGPD, son dossier médical devait lui être communiqué gratuitement.
La CJUE a dû s’interroger sur les modalités de l’exercice à titre gratuit du droit d’accès du patient à son dossier médical, et l’opposabilité d’une limite à cette exercice tirée d’une disposition de droit national.
En se basant sur les dispositions du RGPD et les objectifs poursuivis par ce règlement, la CJUE répond que le responsable de traitement est dans l’obligation de fournir une première copie, et ce, à titre gratuit à la personne concernée qui souhaite accéder à ses données à caractère personnel.
En effet, la disposition nationale allemande, entrée en vigueur antérieurement à celle du RGPD, et conditionnant l’exercice du droit d’accès du patient à son dossier médical moyennant une contribution financière tend à préserver les intérêts économiques du responsable de traitement au détriment de la personne concernée.
Dès lors, une telle disposition ne saurait justifier valablement une charge supplémentaire au profit de la personne concernée, et lui imposer une contrainte supplémentaire dans l’exercice de son droit. Le droit français a bien fait de se mettre à jour du RGPD !
Bien que le responsable de traitement dispose de la faculté de facturer des frais raisonnables à la charge de la personne concernée dans le cadre d’une demande d’accès à des données à caractère personnel, ce dernier ne peut le faire que lorsque les demandes en question constituent un abus de droit et sont « manifestement infondées » ou « excessives », notamment en raison de leur caractère répétitif.
La CJUE rappelle donc ici l’existence du principe de la gratuité de la première copie des données inhérent à l’article 15 du RGPD, ainsi que l’absence de nécessité pour la personne concernée d’invoquer un motif spécifique justifiant sa demande d’accès. Pour la CJUE, ces éléments contribuent nécessairement à faciliter l’exercice par la personne concernée des droits qui lui sont conférés sur ses données à caractère personnel par le RGPD.
Par ailleurs, elle précise également que la communication de cette copie doit être faite de manière intégrale, et constituer une reproduction fidèle et intelligible de l’ensemble des données présentes dans le dossier médical du patient à la base de la demande.
Faciliter l’exercice du droit d’accès aux données est donc le mot d’ordre que nous devons retenir de cette décision, et qui doit animer le responsable de traitement qui en encadre les modalités.
Il conviendra donc à ce que les établissements de santé veillent bien à ce que les services en charge du traitement des demandes à l’accès au dossier médical et les services en charge du traitement des demandes d’exercice des droits prévus par le RGPD se coordonnent dans les modalités du traitement de ces demandes.
Pour consulter la décision de la Cour de Justice de l’Union européenne, cliquer ici.
POUR ALLER + LOIN
Où en sommes-nous de l’IA Act ?
Le cabinet Houdart & Associés a accueilli dans ses locaux une réunion de travail sur les impacts dans le domaine de la santé de la future réglementation européenne sur l’intelligence artificielle (IA Act), réunissant des délégués à la protection des données d’horizons variés (établissements de santé, laboratoires, fournisseur de dispositifs médicaux ….).
Un moment d’échanges riche en réflexions ayant permis aux participants de mutualiser les retours d’expérience et les connaissance de chacun pour appréhender au mieux cette nouvelle réglementation foisonnante, complexe et en pleine évolution.
Mais au fait, où en sommes-nous de l’IA Act ?
À l’heure où sort cette Datactu, le prochain trilogue prévu entre les institutions européennes sur l’IA Act aura lieu le 6 décembre prochain. L’occasion pour nous de faire le point.
Pour rappel, la Commission européenne a publié en avril 2021 une proposition de règlement sur différentes règles harmonisées concernant l’intelligence artificielle, appelée « Artificial Intelligence Act » ou « IA Act ».
Ce texte vise à apporter un cadre juridique uniforme entre les Etats membres de l’Union européenne concernant l’usage et la commercialisation des intelligences artificielles en proposant une approche multi-risques, c’est-à-dire en distinguant selon le niveau de risque inhérent à l’IA développée et proposée sur le marché.
À ce titre, les fournisseurs d’IA « à haut risque » seraient soumis à des obligations plus contraignantes. Ce serait notamment le cas des IA intervenant dans le domaine de la santé.
Son adoption entraînerait des conséquences similaires à celles du RGPD en termes de portée, et permettrait d’imposer à l’ensemble des développeurs d’IA dans l’Union européenne, et ceux voulant intervenir sur le marché économique européen de nouvelles exigences de conformité en matière de sécurité et de transparence
Les négociations interinstitutionnelles entre les trois institutions européennes (Parlement européen, Commission européenne et Conseil de l’Union européenne) afin d’élaborer les dispositions finales de l’IA Act ont débuté le 14 juin 2023 lorsque les députés européens se sont mis d’accord sur le contenu de l’IA Act.
Depuis, plusieurs trilogues ont eu lieu entre les institutions européennes et ont fait apparaître un point de divergence majeur parmi les Etats membres européens : La réglementation des modèles de fondation. Les modèles de fondation désignent les modèles d’intelligence artificielle entrainés à partir d’une grande quantité de données. On retrouve notamment ce genre de modèles auprès des IA génératives, type Chat GPT.
En effet, le dernier trilogue du 24 octobre laissait entendre qu’un consensus avait été pris entre les Etats membres sur ce point capital, notamment en poursuivant une approche multi-niveaux permettant d’introduire des règles plus strictes aux fournisseurs de modèles puissants susceptibles d’avoir un impact important sur la société, ces derniers étant principalement des acteurs non-européens.
Or, à l’occasion d’une réunion du groupe de travail « Télécommunications » du Conseil de l’Union européenne, le jeudi 9 novembre 2023, des représentants de plusieurs Etats membres, notamment la France, l’Allemagne ou encore l’Italie, se sont montrés fermement opposés à cette approche multi-niveaux et à une réglementation des modèles de fondation par l’IA Act, jugeant celle-ci contre-productive pour l’émergence d’acteurs européens capables de rivaliser avec des acteurs internationaux étrangers, à l’image des ambitions portées par le nouveau projet d’IA « Kyutai » lancé par Xavier Niel et Rodolphe Saadé présenté comme l’équivalent français d’OpenAI.
L’Espagne, à la tête de la présidence du Conseil de l’UE depuis le 1er juillet 2023, a alors proposé une refonte des dispositions de la réglementation pour prendre en considération les positions des pays opposés à une réglementation des modèles de fondation. Celle-ci justifie le rejet de l’approche multi-niveaux en ce qu’elle aurait fait apparaître une « réglementation dans la réglementation » et, par voie de conséquence, aurait freiné l’innovation en matière d’IA sur le sol de l’Union européenne.
Les négociations sont donc au point mort à l’heure où nous écrivons ces lignes, et l’avenir de l’IA Act est plus qu’incertain du fait de ces positions divergentes entre les Etats membres de l’Union européenne. De plus, le scepticisme de certains Etats membres quant à l’intérêt de cette réglementation tend à croitre, celle-ci étant de plus en plus perçue comme une « surrèglementation ».
Par ailleurs, l’abandon de l’approche multi-niveaux nécessiterait, si elle est définitivement retenue, une refonte majeure de l’ensemble du texte, que ce soit en matière de responsabilité des acteurs intervenant tout au long de la conception jusqu’à la commercialisation de l’IA, ou encore en matière de règles de gouvernance.
Le prochain trilogue du 6 décembre 2023 est donc capital pour l’adoption de l’IA Act, tandis que la présidence de l’Espagne s’achève le 31 décembre prochain et que la présidence Belge à venir pour le mois de janvier 2024 ne disposera peut être pas du temps nécessaire pour poursuivre ce dossier complexe avant les prochaines élections du Parlement européen qui auront lieu du 6 au 9 juin 2024.
Pour les besoins de cette rencontre, la présidence espagnole du Conseil de l’UE aura besoin d’un mandat de négociation révisé.
En effet, dans le cadre de négociations entre les institutions européennes (les trilogues), chaque institution européenne désigne, pour chaque dossier, des négociateurs qui la représenteront et qui défendront son mandat de négociation qui leur ont été attribués par leurs organes respectifs. Autrement dit, chaque institution en amont de ces négociations établit sa position sur un dossier à travers ce mandat.
Le Comité des représentants permanents (Coreper) Composé des « ambassadeurs » des Etats membres a pour fonction de préparer les travaux du Conseil de l’UE, et notamment de délivrer ce mandat de négociation au Conseil de l’UE dans le cadre des trilogues.
La présidence Espagnole a donc demandé la révision de son mandat de négociation (et donc sa position) au Coreper pour y intégrer les modèles de fondation, la gouvernance, l’accès au code source des système d’IA, le régime de sanctions, l’entrée en vigueur du règlement et le droit dérivé, mais aussi la proposition d’un compromis sur la question de l’utilisation de l’IA par les autorités judiciaires ou pour les besoins de la sécurité nationale (position soutenue par la France).
Ce nouveau mandat a été proposé vendredi dernier (1er décembre 2023) au Coreper qui devra se prononcer sur celui-ci.
Nous retenons notre souffle jusqu’au 6 décembre prochain, et ne manquerons pas de communiquer sur les avancées (ou non) de cette réunion décisive.
DÉCRYPTAGE DE LA SANCTION DU MOIS
La communication de données de santé dans le cadre d’une affaire en concurrence déloyale : un moyen de preuve légitime ?
Pour nous changer des décisions de la CNIL, prenons le temps d’explorer une décision rendue par la cour d’appel de Nîmes qui ne manquera d’intéresser autant les DPO que les professionnels du droit.
Dans cette affaire portée devant la cour d’appel de Nîmes le 10 novembre 2023, la société IDS exerçant une activité d’insulinothérapie à domicile a soupçonné sa concurrente, la société Diabsanté, d’avoir débauchée et recrutée certains de ses anciens salariés alors qu’ils étaient soumis à une interdiction de non-concurrence prévue dans leur contrat de travail. Ce débauchage illicite aurait entrainé par la suite un détournement de la patientèle de la société IDS.
La société IDS a sollicité le président du tribunal de commerce de Nîmes pour que celui-ci désigne un huissier de justice dans le but de recueillir des éléments de preuve afin d’engager une action en indemnisation au fond.
Une ordonnance délivrée par le tribunal de commerce a permis de délimiter le périmètre des investigations de l’huissier de justice. Accompagné d’un expert informatique, le périmètre des investigations concerne notamment les programmes informatiques ou tout document écrit (devis, facture, dossier, …) de la société Diabsanté qui révèlerait l’existence d’une prospection et/ou Ia fourniture de prestations de services envers les patients de la société IDS.
Dans le cadre de ces investigations, une liste de mots clefs comprenant notamment les noms des patients de la société IDS a été confiée à l’expert informatique pour encadrer ses recherches.
À partir de cette liste, l’expert informatique était en mesure de rechercher toute correspondance signée ou émise par les anciens salariés de la société IDS adressée à la patientèle de la société IDS quel qu’en soit le support, y compris les PDA (préparation des doses à administrer).
Ces investigations aboutissent à la production d’une liste de 376 patients comprenant leurs prénoms et noms, leur numéro de sécurité sociale, leur domicile, leur diagnostic (diabète) et leur traitement (pompe à insuline externe).
La production de la liste devant le tribunal de commerce de Nîmes a donc entrainé la communication de données à caractère personnel de santé des patients au sens du RGPD, ce que conteste la société Diabsanté, notamment pour deux raisons :
- La première, en ce que les patients de la société IDS n’ont pas été tenus informés de manière transparente dans la politique de confidentialité de la société que leurs données à caractère personnel pouvaient être communiquées à l’autorité judiciaire et faire l’objet d’un traitement ultérieur. Selon la société concurrente, la société IDS aurait donc dû solliciter l’autorisation des patients dans le cadre de cette communication.
- La deuxième, en ce que la mesure ordonnée par le tribunal de Nîmes était disproportionnée car elle ne permettait pas de garantir la préservation du secret médical, du fait de l’absence d’un médecin pour encadrer les opérations d’investigation menées par l’huissier de justice.
Sur le premier argument : La cour d’appel de Nîmes répond que la communication des données personnelles des patients était nécessaire pour constituer la preuve de la concurrence déloyale de la société Diabsanté. Ainsi, la société IDS n’avait pas à solliciter le consentement des personnes concernées dans le cadre de la communication de leurs données auprès de l’autorité judiciaire.
Certes, la politique de confidentialité de la société IDS ne prévoyait pas l’éventualité de la communication des données de santé de ses patients auprès des autorités judiciaires dans le cadre d’un contentieux, pour autant les dispositions de l’article 9.1.f du RGPD précisent qu’un traitement de données à caractère personnel « sensible » est autorisé lorsque celui-ci est nécessaire à des fins de constatation, d’exercice ou à la défense d’un droit en justice.
La société IDS n’avait donc pas recueillir le consentement des patients, ces derniers disposant de voies de recours judiciaires pour faire valoir une éventuelle atteinte à leur vie privée.
Sur le second argument : Concernant l’absence d’un médecin pendant les investigations menées, la cour d’appel de Nîmes considère que l’huissier de justice est un officier ministériel soumis au secret professionnel et qu’il n’a pas eu accès au dossier médical des patients, mais seulement à des informations donnant des indications sur la pathologie de ces personnes dont disposait déjà la société IDS.
Ce dernier s’est donc seulement contenté de saisir les fichiers comportant les noms des patients que les sociétés concurrentes avaient en commun, ne nécessitant pas, dès lors, la présence d’un médecin.
Ce point est discutable, dans la mesure où les pathologies des patients constituent des données de santé, et ce, même lorsqu’elles sont consultées en dehors du dossier médical du patient.
En effet, d’après l’interprétation faite par la CNIL, une donnée est une donnée de santé soit par nature (un traitement médical, un antécédent, ou une pathologie), soit par croisement des données (lorsqu’elle est associée et/ou croisée avec d‘autres données comme dans le cadre de délivrance d’un certificat médical), soit par sa destination (leur utilisation sur le plan médical).
Récemment, la CJUE dans une décision rendue le 1er août 2022 a introduit le critère de la déduction permettant d’identifier l’existence d’une donnée de santé. À ce titre, il est donc désormais admis qu’au terme d’une opération intellectuelle de déduction ou de recoupement des informations qu’il soit possible d’identifier une donnée sensible, et donc une donnée de santé.
Au regard donc de ces éléments et du contexte dans lequel intervient les investigations réalisées par l’huissier de justice, il semble difficile de ne pas caractériser les pathologies des patients comme étant des données de santé.
À noter que la cour d’appel a tout de même prononcé l’annulation de l’ordonnance du tribunal de commerce prévoyant l’intervention de l’huissier de justice, car celle-ci n’était pas suffisamment délimitée dans le périmètre de recherche qui lui a été confié. En effet, dans le cadre de ses investigations, celui-ci a pu prendre connaissance d’informations relevant de faits antérieurs à l’année où la concurrence déloyale supposée s’était déroulée.
L’intérêt de cette affaire est de remarquer que la politique de confidentialité d’une société visant à encadrer l’utilisation des données à caractère personnel peut être pointée du doigt dans le cadre d’un contentieux.
Responsables de traitement, vérifiez donc que celles-ci soient bien tenues à jour, mais surtout qu’elles soient correctement mises en œuvre !
Perspectives & Changements
Qu’est que le plan de gestion des données ? Interview de Christian HUART
Êtes-vous au fait de ce qu’est un plan de gestion des données (ou « PGD »), aussi appelé « Data Management Plan » en anglais (ou « DMP » à ne pas confondre avec notre DMP correspondant au dossier médical partagé) ?
Incontournable de la gestion de projets en matière de recherche impliquant des données, le PGD est un document évolutif qui accompagne les acteurs pluridisciplinaires intervenant au sein d’un projet de recherche et a pour but de détailler la manière dont est obtenue, documentée, analysée, utilisée et, éventuellement communiquée, la données générée et/ou collectée, et ce, tout au long du cycle de vie de la donnée.
Alors que les des appels à projets (AAP) et appels à manifestation d’intérêt (AMI) dans le secteur sanitaire et médico-social se multiplient, ce PGD est désormais exigé par certains organismes financeurs de la recherche, tels que l’Agence nationale de la recherche (ANR).
Le cabinet se fait l’écho du retour d’expérience que Christian Huart (Hutsana Consulting) nous offre au sein d’une vidéo sur l’élaboration d’un tel document constituant un véritable outil d’aide à la réflexion en matière de gestion des données. Au-delà du caractère parfois obligatoire de ce document, ce dernier constitue, à n’en pas douter, une bonne pratique dans la gestion de projets impliquant la collecte, le traitement, la conservation et la communication de données personnelles, notamment dans le cas des entrepôts de données de santé.
En quoi consiste ce document ? Quel lien avec la conformité au RGPD ?
Monsieur Huart nous apporte dans cette interview des éléments de réponse à l’aune de son expérience enrichissante du PGD réalisé dans le cadre de l’AMI CMA Santé numérique.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant que juriste au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.