Scroll Top
header-datactu-2
Partager l'article



*




DATACTU JURIDIQUE #12 FÉVRIER 2024

 

Article rédigé le 7 février 2024 par Me Laurence Huin et Raphaël Cavan

ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU

LES RECO CNIL DU MOIS

Publication d’un guide pour les services de prévention et de santé au travail (SPST)

La CNIL a publié le 15 décembre dernier un guide de sensibilisation au RGPD à destination des services de prévention et de santé au travail (SPST).

Acteur majeur de la santé des travailleurs, les SPST sont amenés à collecter au quotidien de nombreuses données à caractère personnel sensibles dans le cadre de leur activité visant principalement à lutter contre les accidents du travail et les maladies professionnelles

En effet, la gestion du dossier médical en santé du travail (DMST) constitue le point névralgique de la mise en conformité des SPST aux exigences du RGPD en raison du caractère éminemment sensible des données de santé présentes dans le dossier médical du salarié.

Un autre enjeu qui se pose pour les SPST en termes de respect du RGPD est la communication des données de santé collectées dans le cadre de la gestion du DMST. Celle-ci amène nécessairement des questions en raison de la pluralité de catégories de professionnels intervenant tant sur le plan médical que sur le plan administratif au sein de ces services dont l’organisation varie selon le nombre de salarié.

Ce guide apporte un éclairage sur ces problématiques sous la forme de fiches thématiques et de fiches dédiés aux spécificités des fichiers constitués par les SPST, et propose également en annexe des modèles de fiches de registre des activités de traitement, des notices d’informations pour la gestion du DMST et un cahier des charges permettant d’évaluer son niveau de conformité globale au RGPD, ainsi que les conditions de réutilisation des données collectées par les SPST.

Le guide de sensibilisation au RGPD à destination des services de prévention et de santé au travail  élaboré par la CNIL est consultable en cliquant ici.

La Communication du dossier médical d’un mineur précisé par le CNOM

Le Conseil National de l’Ordre des Médecins (CNOM) a publié le 11 décembre dernier une fiche visant à accompagner les médecins lorsqu’une demande de communication du dossier médical d’un enfant mineur, dont l’accès est encadré par l’article L.1111-7 du code de la santé publique, leur est adressée

Cette fiche tend à éclairer les médecins qui se retrouvent dans des situations parfois conflictuelles, que ce soit par exemple lorsqu’un parent privé de l’autorité parentale souhaite obtenir le dossier médical de l’enfant, lorsque la demande de communication est contraire à l’intérêt de l’enfant, ou encore lorsque le mineur est soigné à l’insu de ses parents.

En outre, le CNOM vient aiguiller le médecin dans la réponse à apporter à ce type de demander en venant préciser sur l’ensemble des documents pouvant être communiqué, l’information à délivrer au mineur, mais également en précisant les documents pouvant être sollicité par le médecin selon la situation dans laquelle il se trouve auprès de la personne à la base de la demande.

Les médecins doivent plus que jamais s’approprier les bons réflexes en matière de gestion des demandes d’accès au dossier médical dans la mesure où ces derniers peuvent faire l’objet de sanctions par la CNIL en cas de non-respect des droits des personnes concernées, à l’image de ce professionnel de santé sanctionné par la CNIL en novembre dernier dans le cadre de sa procédure de sanction simplifiée pour non-respect du droit d’accès au dossier médical, qui plus est concernant le dossier médical d’un enfant.

La fiche de la CNOM est consultable en cliquant ici.

Actualité juridique données de santé

ACTU SANTÉ NUMÉRIQUE

La nouvelle version de la certification HDS prévue pour 2024

Cinq ans après la mise en œuvre de la certification « Hébergeur de données de santé » (ou HDS), la Délégation du Numérique en Santé (DNS) et l’Agence du Numérique en Santé (ANS) ont décidé de lancer en fin d‘année 2022 une consultation publique afin de modifier le référentiel de certification HDS, et celui portant sur les organismes certificateurs.

Cette révision du référentiel HDS avait pour objectif de réactualiser les exigences posées par la certification HDS à l’aune des enjeux en matière de souveraineté numérique, des nouvelles évolutions de la norme ISO 27001 en matière de systèmes de management de la sécurité de l’information, mais aussi au regard des exigences posées par la certification SecNumCloud proposée par l’ANSSI.

À l’issu de cette consultation, le nouveau projet de référentiel a reçu un avis favorable émis le 13 juillet 2023 par la Commission nationale de l’informatique et des libertés (CNIL).

L’un des points majeurs de cette révision consiste à imposer aux hébergeurs certifiés une obligation d’hébergement physique des données de santé exclusivement sur le territoire d’un pays situé au sein de l’Espace Economique Européen (EEE). À ce titre, l’hébergeur devra tenir informé ses clients dans le contrat des éventuels accès distant aux données réalisées par lui ou ses sous-traitants depuis un pays tiers à l’UE, mais aussi de rendre public sur son site internet une cartographie des éventuels transferts réalisés des données hébergées vers un pays n’appartenant pas à l’EEE.

En outre, la nouvelle version du référentiel de certification HDS tend à préciser l’articulation entre les exigences de la certification HDS et celles posées par la certification SecNumCloud. Pour rappel, une circulaire de la première ministre datant de juin 2023, venant préciser la « doctrine cloud » de l’Etat français, exprimait la volonté d’imposer aux hébergeurs de « données nécessaires à l’accomplissement des missions essentielles de l’Etat » une obligation de recourir à la qualification SecNumCloud délivrée par l’ANSSI.

Toutefois, le référentiel HDS ne s’aligne pas sur les exigences posées par la version 3.2 du référentiel SecNumCloud en termes d’immunité extraterritoriale, lesquelles visent à encadrer l’influence des entités tierces situées hors de l’UE participant au sein d’une société prestataire implantée dans l’UE.

Ces nouvelles exigences posées par la nouvelle version du référentiel HDS tendent donc à harmoniser et à actualiser ces dernières au regard de « l’état de l’art technique »

En parallèle, le référentiel d’accréditation des organismes certificateurs a également connu des modifications, lesquelles portent principalement sur les évolutions apportées par la mise à jour de la norme ISO 27001, et devront être intégrées dans leurs procédures de certification dans les 6 mois à compter de la publication de l’arrêté approuvant les révisions des référentiels.

Cet arrêté devrait voir le jour au cours du premier semestre 2024.

Les hébergeurs de données de santé devront donc se conformer à de nouvelles exigences plus contraignantes cette année. Du côté des acteurs de la santé souhaitant recourir à de tels services, ces derniers devront faire preuve d’une plus grande vigilance dans le choix de leur prestataire.

Pour consulter la communication de l’ANS, cliquer ici.

L’adoption par la HAS d’un référentiel d’agrément sur la téléconsultation

Le 21 décembre 2023, le collège de la Haute Autorité de Santé (« HAS ») a adopté le référentiel d’agrément concernant les sociétés de téléconsultation. En effet, la loi de financement de la sécurité sociale (LFSS) 2023 a mis en place un statut ad hoc pour ces sociétés. Selon la loi, la prise en charge par l’assurance maladie des actes de téléconsultation réalisés par les médecins, salariés de ces sociétés, est soumise à un agrément délivré par les ministres chargés de la Santé et de la Sécurité sociale.

Ainsi, l’agrément des sociétés de téléconsultation sera soumis au respect de nombreuses exigences notamment en matière de structuration juridique, de gouvernance, de protection des données personnelles. Enfin, l’article 4081-4 du Code de la santé publique (CSP) prévoit les exigences s’agissant d’un renouvellement de l’agrément. Ce renouvellement sera soumis au respect dudit référentiel qui établit les bonnes pratiques professionnelles relatives à la qualité et à l’accessibilité de la téléconsultation.

Le référentiel sur la téléconsultation établi par la HAS est disponible ici.

Publication d’un rapport sur l’utilisation secondaire des données de santé

Les ministres de l’Economie, de l’Enseignement supérieur et de la Santé avaient lancé le 31 mai 2023 une mission visant à établir une feuille de route pour la réutilisation des données de santé en France

Un rapport de décembre 2023, produit de la mission interministérielle, dresse un état des lieux de l’utilisation secondaire des bases de données en santé et émet à ce titre plusieurs recommandations visant, notamment, à accélérer l’accès aux données de santé en France, favoriser le déploiement de l’intelligence artificielle et améliorer la compétitivité française dans les domaines de la recherche et de l’innovation.

Parmi les recommandations phares du rapport, on peut citer l’arrêt de l’hébergement sur Microsoft Azure du Health Data Hub (HDH) pour une migration, dans un horizon de 2 ans, vers un cloud certifié SecNumCloud, ou encore l’accélération de la mise à dispositions des données du SNDS.

Le rapport interministériel est consultable ici.

POUR ALLER + LOIN

Et si la publication en ligne de photos et vidéos de patients et résidents était un traitement de données de santé ?

Un établissement de santé ou médico-social qui communique en ligne sur les réseaux sociaux ou sur son site internet à l’aide de photos et vidéos sur lesquelles apparaissent leurs patients/résidents réalise un traitement de données personnelles au sens du RGPD. Et si ce type de traitement comportait des données de santé ?

C’est en tout cas le sens de l’analyse rendue par l’autorité de la protection des données danoise, la Datatilsynet, que nous vous proposons d’aborder cette semaine dans un article consacré aux enjeux existant derrière la communication en ligne réalisée par un établissement de santé ou médico-social.

La décision rendue par l’autorité danoise visait un hôpital qui publiait régulièrement des photos et vidéos de ses patients sur son compte Instagram. Alors que le consentement des patients était recueilli par l’hôpital danois, l’autorité de contrôle a déclaré le traitement visant à faire la promotion de son activité sur les réseaux sociaux illicite.

En effet, celle-ci identifie une « relation asymétrique » entre le patient et l’Hôpital danois qui ne permet pas de remplir les conditions de validité du consentement comme base légale du traitement, et justification d’un traitement de données de santé.

Parce que oui, l’autorité estime ici que la publication des photos et vidéos des patients constitue bien un traitement de données de santé. Pourquoi ? Découvrez-le en lisant notre article publiée sur notre blog, mais nous vous laissons un indice : la déduction.

Pour consulter un résumé de cette décision, cliquer ici.

REGARD EUROPÉEN

La Suisse : Pays reconnu « adéquat » par la Commission européenne pour les transferts de données

Dans son rapport du 15 janvier 2024, la Commission européenne, a constaté que la Suisse possédait un niveau de protection adéquat des données sur la base du RGPD.

Pour rappel, une décision d’adéquation prévue par l’article 45 du RGPD permet à un pays de l’UE de réaliser un transfert de données vers un pays en dehors de l’UE mais présentant un niveau de protection des données similaire ou équivalent à celui posé par le RGPD, sans avoir besoin de recourir aux exigences supplémentaires prévues par le chapitre V du RGPD consacré au transfert de données.

La Suisse rejoint donc la liste des autres pays adéquats au rang desquels nous retrouvons Les îles britanniques de Guernesey, de Man, et de Jersey, les Îles Féroé du Danemark, Israël, Japon, la Nouvelle-Zélande, le Royaume Uni, l’Uruguay et enfin la Suisse !

Alors pensez-y dans vos traitements de données personnelles, de nouvelles opportunités peuvent se présenter.

Le rapport de la Commission européenne est disponible ici.

DÉCRYPTAGE DE LA SANCTION DU MOIS

Le « Kourou » de la CNIL frappe une commune pour défaut de désignation d’un délégué à la protection des données

À l’occasion d’une campagne de mises en demeure réalisée par la CNIL en avril 2022 visant des communes n’ayant pas procédé à la désignation d’un délégué à la protection des données (DPO) en méconnaissance des dispositions de l’article 37 du RGPD, la commune de Kourou a été sanctionnée par la CNIL d’une amende, non-publique, de 5 000€ dans le cadre de la procédure de sanction simplifiée.

La CNIL avait également adressé une injonction à la commune de Kourou de se mettre en conformité sous un délai de trois mois. Or, à l’issue de ce délai, la commune n’avait ni désigné de délégué à la protection des données, ni même répondu aux différentes sollicitations de la CNIL.

La CNIL a dès lors sanctionné le 12 décembre dernier une nouvelle amende de 5 000€ à la commune de Kourou pour ne pas avoir répondu à son obligation de désigner un DPO, et pour défaut de coopération avec l’autorité.

La formation restreinte de la CNIL rappelle l’importance du rôle de DPO au sein des autorités et organismes publics depuis l’entrée en vigueur du RGPD pour la conformité des organismes avec les dispositions du RGPD.

Elle rappelle par la même occasion les enjeux qui se posent aux organismes publics en matière de protection des données à caractère personnel, notamment en raison du caractère sensible des données collectées et traitées dans le cadre de leurs activités, mais aussi en raison du contexte d’accroissement des attaques informatiques à l’encontre des organismes publics.

La CNIL accompagne sa sanction d’une injonction de désigner un DPO sous deux mois assortie d’une astreinte de 150 euros par jour de retard, et d’une obligation d’afficher pendant quatre jours un message d’information à destination des usagers sur le site web de la commune.

Cette sanction est l’occasion de rappeler l’importance pour un organisme public de recourir à l’expertise d’un DPO pour piloter sa mise en conformité au RGPD, en particulier pour les organismes manipulant des données sensibles au sens du RGPD, telles que des données de santé, lesquelles nécessite un degré de vigilance encore plus important, notamment lorsque se pose la question de l’hébergement des données de santé, ou encore celle de l’organisation de la communication des données entre les professionnels de santé.

Pour consulter la communication de la CNIL sur cette décision cliquer ici.

Pour consulter la décision rendue par la CNIL, cliquer ici.

La société Amazon France sanctionnée à hauteur de 32 millions d’euros par la CNIL

Le 23 janvier 2024, la CNIL a sanctionné Amazon France par une amende de 32 millions d’euros pour plusieurs manquements au RGPD.

Dans cette affaire, la CNIL a diligenté plusieurs missions de contrôle en 2019 dans les locaux occupés par des entités françaises du groupe Amazon. Ces contrôles ont révélé plusieurs manquements notamment liés au suivi de l’activité des salariés à l’aide des scanners mais également aux traitements de vidéosurveillance.

En effet, s’agissant du suivi de l’activité des salariés, la CNIL a jugé illégale la mesure des temps d’interruptions d’activité des salariés conduisant ces derniers à devoir justifier potentiellement toutes les pauses et interruptions. La CNIL a également relevé que le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles était excessif. Enfin, l’autorité de protection retient que la conservation de l’ensemble de ces données statistiques pendant une période de 31 jours est excessif.

Concernant les manquements liés à la vidéosurveillance, la CNIL note un manquement à l’obligation d’information et de transparence prévus aux articles 12 et 13 du RGPD mais également un manquement à l’obligation de sécurité (article 32 du RGPD), l’accès au logiciel de vidéosurveillance n’étant pas suffisamment sécurisé.

La délibération de la CNIL est disponible en cliquant sur ce lien.

Perspectives & Changements

Habemus IA Act

Nous vous en parlions lors de notre dernière newsletter sur les enjeux derrière les négociations interinstitutionnelles entre le Parlement européen, la Commission européenne et le Conseil de l’Union européenne du 6 décembre dernier concernant l’IA Act.

Ces négociations avaient débuté le 14 juin 2023 mais la question de la réglementation des modèles de fondation désignant les modèles d’intelligence artificielle entrainés à partir d’une grande quantité de données (type « Chat GPT ») faisait l’objet de divergences entre les Etats membres et risquait sérieusement de compromettre l’adoption de ce texte.

Ainsi s’achève donc le mandat de la présidence espagnole du Conseil de l’Union avec un accord sur les règles harmonisées visant à encadrer l’utilisation de l’intelligence artificielle sur le territoire de l’Union européenne, et laisse désormais la place à la présidence belge pour les 6 prochains mois qui aura notamment la tâche d’accompagner la finalisation du texte.

L’accord retenu par les institutions européennes prévoit que l’IA Act s’appliquera deux ans après son entrée en vigueur.

La communication du Conseil de l’Union européenne est consultable ici.

Publication du décret n°2023-1321 du 27 décembre 2023 portant partie règlementaire du code de la recherche

Le décret n°2023-1321 du 27 décembre 2023, entrée en vigueur le 1er janvier 2024, marque l’achèvement de la codification du code de la recherche, en créant la partie règlementaire permettant de regrouper notamment les décrets régissant l’organisation générale de la recherche (livre Ier), les règles précisant les modalités d’exercice des activités de recherche (livre II), les dispositions générales applicables aux établissements publics de recherche (livre III), les dispositions statutaires applicables aux personnels de la recherche (livre IV) et les règles relatives à la valorisation de la recherche et les modalités de transfert de technologie (livre V).

Cette codification qui concerne les acteurs de la recherche, vise à améliorer l’accessibilité, la lisibilité et la cohérence rédactionnelle des textes.

Le décret est disponible en cliquant sur le lien suivant.

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.