DATACTU JURIDIQUE #13 Mars 2024
Article rédigé le 21 mars 2024 par Me Laurence Huin et Raphaël Cavan
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
LES RECO CNIL DU MOIS
La CNIL rappelle les règles de sécurité pour l’accès au DPI santé
Le 9 février 2024, la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») a mis en demeure plusieurs établissements de santé à propos de la sécurité du dossier patient informatisé (ci-après « DPI »). Cela fait suite à plusieurs contrôles réalisés par la CNIL entre 2020 et 2024 auprès d’établissements de santé.
Ces investigations ont démontré que les mesures de sécurité informatique et la politique de gestion des habilitations présentaient des lacunes par rapport aux besoins des établissements, celles-ci permettant l’accès aux données contenues dans le DPI par des professionnels de santé qui n’intervenaient à aucun moment dans la prise en charge du patient.
La CNIL enjoint ainsi ces établissements de santé à prendre les mesures permettant de préserver la sécurité et rétablir la confidentialité des données contenues dans le DPI au titre des exigences posées par l’article 32 du Règlement européen sur la protection des données (« RGPD »), lesquelles disposent que le responsable du traitement de données doit garantir un niveau de sécurité adapté au risque en mettant en place des mesures techniques et organisationnelles permettant de garantir notamment la confidentialité des données.
Quelles sont donc les mesures de sécurité préconisées par la CNIL ?
- Premièrement, sécuriser les accès au DPI par le biais d’une politique d’authentification robuste, avec des mots de passe présentant une complexité suffisante.
- Deuxièmement, prévoir en interne des habilitations spécifiques en prenant en compte le métier exercé par la personne, et la notion d’équipe de soins au sens de l’article L. 1110-12 du Code de la Santé publique. À titre d’illustration, l’hôte de l’accueil doit avoir accès uniquement au dossier administratif du patient, tandis que l’accès au DPI doit être réservé aux seuls professionnels de santé impliqués dans la prise en charge du patient, lesquels sont soumis au secret médical. Cela n’empêche pas les établissements de santé de prévoir un mode « bris de glace » permettant d’accéder à ces informations pour des agents administratifs ou professionnels de santé en cas d’urgence (sous réserve de conditions d’identification et de justification de la personne).
- Enfin, tous les accès au DPI doivent faire l’objet d’une traçabilité (« journalisation ») permettant d’identifier l’acteur qui a eu accès au DPI, les données auxquelles la personne a eu accès, le moment de la connexion. À ce titre, un système d’analyse automatique des journaux de connexion est à privilégier afin de détecter les accès répétitifs anormaux ou l’usage fréquent du mode « bris de glace ».
Les médecins DIM et les DPO des établissements connaissent pour la plupart ces mesures de sécurité visant à garantir la confidentialité des données personnelles. La réalité du terrain les pousse néanmoins à devoir composer avec l’exigence d’assurer la disponibilité de ces mêmes données. Dès lors, quand une procédure de bris de glace est prévue, pourquoi ne pas établir des contrôles a posteriori ? Ces contrôles doivent néanmoins être encadrés juridiquement et le personnel informé afin que les résultats issus de ces contrôles soient pleinement opposables au personnel et puissent faire l’objet éventuellement de sanction.
Et vous avez-vous prévu ces contrôles a posteriori et les avez-vous encadrés dans votre charte informatique ou tout autre document opposable ?
Pour consulter le communiqué de la CNIL, cliquer ici.
ACTU SANTÉ NUMÉRIQUE
La CJUE invalide l’obligation des normes payantes
Au royaume de la certification, les organismes privés éditant les normes obligatoires règnent en maitre sur l’écosystème de la mise en conformité. Pour autant, la Cour de Justice de l’Union européenne est peut-être en train de redistribuer les cartes et de remettre en cause la validité des normes produites par tous les organismes de normalisation.
Comment ? En invalidant le caractère obligatoire des normes commerciales établies par des organismes privés, lesquelles ne sont pas accessibles gratuitement aux justiciables.
Ce paradoxe a justement été pointé du doigt en 2018 par deux organisations sans but lucratif dans le cadre d’une demande d’accès à quatre normes harmonisées concernant la sécurité des jouets établies par le CEN (Comité européen de normalisation), alors que l’accès à celles-ci est payant. Leur demande a été écartée par la Commission européenne, puis par le Tribunal de l’Union européenne, lequel avait considéré que la demande de divulgation des normes n’était pas justifiée par l’existence d’un « intérêt public supérieur ».
Or, la CJUE dans sa décision du 5 mars 2024 est venue à contrepied du tribunal et a reconnu l’existence d’un intérêt public supérieur justifiant la divulgation des normes harmonisées demandées, et ce, au titre du principe de l’Etat de droit et du libre accès à la loi. La CJUE rappelle donc ici que l’accès au droit doit être libre et gratuit.
Ainsi, les organismes privés ne peuvent donc pas imposer des frais pour accéder à leurs normes, car ces dernières font partie du droit de l’Union européenne et doivent être accessibles à tous sans discrimination financière. En tranchant en faveur de la liberté d’accès au droit et en refusant de reconnaître le caractère obligatoire des normes élaborées par des organismes privés, la CJUE vient peut-être de bouleverser la base normative de nombreuses certifications notamment en matière de sécurité.
En effet, la décision de la CJUE implique que les normes commerciales utilisées pour des certifications doivent être accessibles gratuitement pour garantir la légitimité de ces certifications. Si ces normes commercialisées ne sont pas librement accessibles, alors celles-ci ne respectent pas le principe d’accès libre au droit, compromettant ainsi la validité de la certification qui en résulte.
Est-ce un premier pas vers une généralisation des normes ouvertes et gratuites? A l’heure où l’agence du numérique en santé a publié le projet d’arrêté modifiant le référentiel de certification HDS qui repose notamment sur la norme ISO 27001, il est nécessaire de suivre de très près les répercussions de la décision de la CJUE.
Pour consulter la décision de la CJUE, cliquer ici.
POUR ALLER + LOIN
Les enquêtes de satisfaction au sein des ESSMS : Quelle base légale pour vos traitements de données à caractère personnel ?
Depuis la Loi n° 2002-2 du 2 janvier 2002 relative à l’action sociale et médico-social, l’article L.311-6 du code de l’action sociale et des familles (CASF) prévoit l’obligation d’instaurer un Conseil de la Vie Sociale (CVS) afin d’assurer la représentation des personnes accompagnées au sein des établissements et services sociaux ou médico-sociaux (ESSMS).
Après plus de 20 années d’existence, le Conseil de la Vie Sociale occupe aujourd’hui un rôle moteur dans la démarche qualité des ESSMS. En effet, assurer l’expression et la participation effective des personnes accompagnées par les ESSMS est l’une des thématiques abordées par le nouveau référentiel d’évaluation de la Haute Autorité de santé (« HAS ») depuis mars 2022.
Pour autant, le Conseil de la Vie Sociale n’est pas obligatoire pour tous les ESSMS, dont la liste est prévue par l’article D.311-3 du CASF introduit par le Décret n° 2022-688 du 25 avril 2022 venu modifier le fonctionnement du CVS, à charge pour les établissements ou services n’étant pas concernés d’instaurer en contrepartie « d’autres forme de participation ».
Parmi ces autres formes de participation, le code de l’action sociale et des familles prévoit, de manière non exhaustive, la possibilité pour le responsable de l’établissement ou du service d’instituer un groupe d’expression, d’organiser des consultations des personnes accompagnées, ou encore de réaliser des enquêtes de satisfaction.
En abordant la question de l’expression et de la participation des personnes accompagnées au sein des ESSMS, ce n’est pas seulement la dimension « qualité » des services par rapport aux exigences posées par le référentiel de la HAS qui doit être examinée, mais également la dimension « protection des données personnelles » qu’impose le RGPD qui doit être pris en considération par les responsables de traitement des ESSMS.
En effet, derrière l’instauration d’une forme de participation des personnes accompagnées, nous sommes susceptibles de nous retrouver en présence d’un traitement de données à caractère personnel au sens du RGPD, notamment s’il s’agit d’enquêtes de satisfaction non anonymisées réalisées auprès des résidents, comme le prévoit l’article précité du CASF.
La question ne se posera pas en présence d’une enquête de satisfaction anonymisée (pas de données personnelles, pas de RGPD), mais dans le cas contraire, sur quelle base légale au sens de l’article 6 du RGPD doit se fonder le traitement de données personnelles réalisé par l’ESSMS, responsable de traitement lorsqu’il réalise des enquêtes de satisfaction contenant des données personnelles ?
Souvenons-nous, il existe 6 bases légales qui justifient le traitement de données personnelles : le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux, la mission d’intérêt public et l’intérêt légitime du responsable de traitement.
Ecartons d’ores et déjà le consentement de la personne concernée (Article 6.1.a RGPD), car celui-ci n’est pas suffisamment opérationnel pour l’établissement ou le service amené à réaliser régulièrement des opérations de traitement au travers de ces enquêtes de satisfaction. En effet, la personne concernée pourrait alors ne pas donner son consentement et ainsi ne pas répondre aux enquêtes menées.
Situation contreproductive, pour l’ESSMS qui se retrouverait avec un traitement RGPD licite, certes, mais qui ne lui permet pas de répondre aux exigences qualités posées par la HAS.
L’intérêt légitime (Article 6.1.f RGPD) ou encore l’exercice d’une mission de service public (article 6.1.e) ? Bien que ces bases légales semblent être les plus adaptées, nous retrouvons en réalité les mêmes difficultés qu’exprimées pour le consentement des personnes concernées, à savoir, la possibilité qu’elles s’opposent au traitement réalisé, sauf à ce que le responsable de traitement soit en mesure de démontrer qu’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts et les droits et libertés de la personne concernér. Lesquels ? Peut-être le respect d’une obligation légale qui s’impose aux ESSMS, celle qui vise à imposer l’instauration d’une forme de participation des personnes bénéficiaires des prestations proposées par les ESSMS.
Dans ce cas, pourquoi ne pas choisir comme base légale de ce traitement l’exécution d’une obligation légale à laquelle le responsable de traitement doit répondre (Article 6.1.c RGPD) ? Par ailleurs, le choix de cette base légale permet d’écarter l’exercice du droit d’opposition de la personne concernée, ce qui permettrait à l’ESSMS de garantir la remontée d’informations nécessaires à la démonstration du respect de ses obligations concernant la qualité de ses services.
En conclusion, le choix d’une base légale appropriée pour un traitement de données personnelles entraîne des conséquences non-négligeables pour les droits des personnes concernées, mais aussi pour les intérêts poursuivis par les responsables de traitement et le respect de leurs obligations juridiques. Ces éléments doivent être pris en considération au moment de déterminer la base légale juridique adaptée pour le traitement de donnée envisagée.
Les exigences posées par la HAS en termes de qualité des prestations proposées par les ESSMS ont des liens bien plus étroits que l’on ne pourrait l’imaginer avec la protection des données personnelles.
À titre d’exemple, vous êtes-vous déjà demandé si votre évaluateur HAS était un destinataire de données, un sous-traitant, ou bien même un co-responsable de traitement au sens du RGPD ?
Il est donc nécessaire d’anticiper les répercussions des exigences de la HAS sur les processus de traitement des données personnelles au sein des ESSMS.
CYBERSÉCURITÉ
Cybersécurité, le référentiel d’interopérabilité, de sécurité et d’éthique des systèmes d’information (SI) des sociétés de téléconsultation : inspiration pour tous les autres acteurs ?
Le niveau de menace informatique continue de peser sur les établissements de santé du sanitaire et du médico-social comme le révèle le panorama des cyberattaques 2023 publié par l’ANSSI le 27 février 2023. Pour prendre un exemple récent, le Centre hospitalier d’Armentières a été ciblé par une cyberattaque le 11 février dernier, entraînant le vol de données personnelles de 300 000 patients.
Le secteur de la santé demeure vulnérable aux cyberattaques, en raison de pratiques administratives internes insuffisantes, de retards dans l’application de correctifs et de l’absence de chiffrement des données, comme le souligne l’ANSSI. Ces mesures de sécurité sont pourtant considérées comme des recommandations de première nécessité pour prévenir les cybermenaces.
Ce constat intervient alors que le référentiel d’interopérabilité, de sécurité et d’éthique des systèmes d’information (SI) des sociétés de téléconsultation a été publié au Journal officiel du 11 février dernier (le même jour que la cyberattaque précitée). Ce référentiel vient fixer les exigences et les préconisations attendues des entreprises de téléconsultation qui devront être respectées pour pouvoir obtenir l’agrément permettant de bénéficier de la prise en charge des actes de téléconsultation par l’assurance maladie.
Ce référentiel couvre notamment les domaines suivants : l’identité nationale de santé (INS) ; Pro santé connect (PSC) ; l’annuaire de santé ; la politique générale de sécurité des SI en santé (PGSSI-S) ; la messagerie sécurisée de santé (MSSsanté) ; le dossier médical partagé (DMP) ; l’ordonnance numérique ; ou encore la protection et la souveraineté des données à caractère personnel.
Bien que les préconisations de ce référentiel concernent des sociétés privées de téléconsultation, les autres acteurs du secteur de la santé peuvent très largement s’en inspirer pour leur propre SI dans la mesure où les exigences techniques posées par ce référentiel peuvent être considérées comme celles correspondantes à l’état de l’art, notion à laquelle fait régulièrement référence la CNIL lorsqu’elle retient un manquement sur le fondement de l’article 32 du RGPD en matière de sécurité de traitement de données personnelles.
En effet, la CNIL, dans sa décision du 8 septembre 2022 visant la société Infogreffe, est venue apporter un précieux éclairage sur la notion de « l’état de l’art en matière de sécurité des données ». Elle précise que les recommandations de sécurité ne sont pas obligatoires (exemple : la note technique de l’ANSSI relative aux mots de passe ou le guide CNIL sur la sécurité des données à caractère personnel). Ne pas les respecter ne permet donc pas de relever un manquement aux exigences de l’article 32 du RGPD relatif à la sécurité des données personnelles.
En revanche, la CNIL précise que de telles recommandations demeurent «un éclairage pertinent pour évaluer les risques et l’état de l’art en matière de sécurité des données à caractère personnel ». Ainsi, lorsque la CNIL constate un écart entre les mesures déployées pour garantir la sécurité des données et les mesures préconisées par un référentiel, une recommandation, ou tout autre document de ce type, la CNIL est susceptible de retenir un manquement aux exigences relatives à la sécurité des données personnelles.
Les acteurs du secteur de la santé ont donc tout intérêt de consulter les différents référentiels de sécurité qui existent pour mettre à niveau la sécurité de leur SI, et ce, alors que la période des JO en France fait craindre de nouvelles cyberattaques plus importantes.
En sus de ce rendez-vous sportif très attendu, les acteurs du secteur de la santé ne devront pas manquer l’entrée en vigueur de la directive européenne NIS 2, annoncée au plus tard en octobre prochain, selon le site de l’ANSSI.
Pour rappel, NIS 2 impose entre autres aux entités essentielles ou importantes, notamment des établissements de santé, un niveau minimal d’exigence technique harmonisé entre les Etats membres de l’Union européenne pour assurer la sécurité de leur SI.
Parmi ces mesures, nous retrouvons celles en lien avec la gestion des risques et de la sécurité des SI, la surveillance continue du réseau informatique, la collaboration et le partage d’informations concernant les incidents de sécurités auprès des autorités de contrôles, ainsi que la réalisation de tests et d’exercices réguliers pour renforcer la résilience et la protection des infrastructures critiques.
Pour consulter le panorama de la cybermenace de l’ANSSI, cliquer ici.
DÉCRYPTAGE DE LA SANCTION DU MOIS
Vigilance pour les professionnels de santé sur l’exercice du droit d’accés en 2024
2024 sera sous le signe du droit d’accès. En effet, le 28 février 2024, la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») a annoncé sa participation pour l’année 2024, avec plusieurs de ses homologues européens, au cadre d’action coordonnée du Comité européen de la protection des données (« CEPD ») pour mener des vérifications sur le droit d’accès prévu par le Règlement européen sur la protection des données (« RGPD »).
Le cadre d’action coordonnée (« Coordinated Enforcement Framework ») vise une application cohérente et harmonisée des règles du RGPD sur le territoire européen, pouvant aller pour une thématique choisie de la sensibilisation à des opérations répressives de la part des autorités de contrôle.
Outre le cadre d’action coordonnée, le droit d’accès fait partie des thématiques de contrôle arrêtées par la CNIL pour l’année 2024 parmi la collecte des données dans le cadre des jeux Olympiques et Paralympiques, les données de mineurs collectées en ligne et les programmes de fidélité et tickets de caisse dématérialisés.
Le droit d’accès est le droit prévu par l’article 15 du RGPD permettant à une personne, en l’occurrence un patient, de savoir si ses données personnelles ont fait l’objet d’un traitement par un organisme mais également les catégories de données personnelles concernées (nom, prénom, adresse, date de naissance, informations médicales, etc…). En somme, ce droit permet au patient d’avoir une certaine maîtrise sur ses données, en obtenant leur communication dans un délai strict, en contrôlant l’ampleur, la pertinence et l’exactitude de ces dernières, au besoin en les corrigeant ou en demandant leur suppression.
Dans le secteur sanitaire le droit d’accès est connu au travers du droit d’accès au dossier médical. L’article R. 1111-1 du Code de la Santé publique encadre le délai de traitement des demandes d’accès aux informations contenus dans le dossier médical d’un patient, dans des délais plus stricts que ceux prévus par le RGPD. L’accès au dossier médical doit intervenir dans un délai de 8 jours à compter de la date de réception de la demande par le professionnel ou l’établissement de santé. Lorsque les informations remontent à plus de cinq ans, un délai de deux mois s’applique et court à compter de la date à laquelle l’information médicale a été constituée.
Les nombreuses sanctions prononcées par la CNIL à ce sujet dans le cadre de la procédure des sanctions simplifiées, témoignent des difficultés rencontrées par les professionnels de la santé face à l’exercice de ce droit.
Ainsi, un médecin généraliste a été condamné en février 2023 à une amende de 3.000 euros avec injonction pour non-respect du droit d’accès. Pour le même manquement, en mai 2023 un chirurgien-dentiste a écopé d’une amende de 4.500 euros avec injonction. En novembre 2023, ce fut un orthophoniste qui a été condamné à une amende de 5.000 euros avec injonction.
Ces sanctions sont d’autant plus signifiantes, qu’elles révèlent pour la plupart des cas une absence de coopération de ces professionnels avec les services de la CNIL. Or, la tendance semble être à l’augmentation des contrôles, la CNIL rappelant que le droit d’accès constitue l’un des droits les plus fréquemment exercés, source d’une part importante des plaintes et qu’il s’agit d’une thématique prioritaire de ses contrôles en 2024.
Les professionnels de santé, qu’ils exercent en structure ou à leur compte, doivent donc faire preuve d’une grande vigilance lorsqu’ils reçoivent une demande d’accès de leurs patients, et ne doivent pas négliger les répercussions de celles-ci lorsqu’elles ne sont pas correctement traitées.
Pour voir le communiqué de la CNIL, cliquer ici.
Perspectives & Changements
L’Espace européen des données de santé : l’accord a été adopté.
Les négociations entre la Commission européenne, les parlementaires européens et le Conseil sous la nouvelle présidence belge portant sur le projet de règlement d’espace européen des données de santé (European Health Data Space ou « EHDS ») s’étaient achevées sans succès à l’issue de la 3e réunion du trilogue européen.
Une nouvelle réunion s’est tenue le 14 mars dernier et a permis aux institutions européennes de parvenir à l’adoption d’un accord provisoire sur le projet de règlement.
Pour rappel, le règlement EHDS vise à poser un cadre de l’échange et du partage des données de santé à travers l’Union européenne afin d’assurer la continuité et la qualité des soins. L’EHDS vise également à permettre l’utilisation secondaire des données de santé à des fins de recherche, d’innovation et de politique publique à l’échelle européenne.
Le principal point d’achoppement résidait dans la réutilisation secondaire des données de santé qui comprend la collecte de dossiers médicaux, de données administratives, génétiques, d’études cliniques, etc.. par des tiers. En effet, les Etats membres considèrent que la mesure d’anonymisation des données est suffisante pour garantir des éventuels risques liés au traitement des données par des tiers. Le Parlement européen, en revanche, estimait que le règlement devait prévoir une clause d’opt-out stricte permettant à chaque patient de limiter le partage et l’utilisation secondaire de ses données, même anonymisées, avec des tiers. Il ressort du communiqué de presse du Parlement européen que les députés ont obtenu pour les patients le droit de s’opposer (opt-out) à l’utilisation secondaire, avec certaines exceptions pour des raisons d’intérêt public, d’élaboration de politiques ou de statistiques, et la protection des droits de propriété intellectuelle et des secrets commerciaux lorsque les données pertinentes sont partagées pour une utilisation secondaire.
Parallèlement, le Health Data Hub (« HDH ») a annoncé le 8 mars 2024, le lancement du projet européen Quantum visant à établir un label de qualité pour l’utilisation secondaire des données de santé dans l’Union européenne. Ce projet vient matérialiser l’article 56 de la proposition de règlement EHDS qui prévoyait justement la création de ce label pour l’utilisation secondaire des données.
L’accord provisoire sur le règlement EHDS doit encore être formellement adopté par le Parlement européen et le Conseil européen, mais il s’agit là d’une simple formalité. L’EHDS verra donc bien le jour.
Pour consulter le communiqué du Parlement européen, cliquer ici.
Pour plus d’informations sur le projet Quantum, cliquer ici.
IA Act : adoption par le Parlement européen
Le 13 mars 2024, le Parlement européen a approuvé la législation européenne sur l’intelligence artificielle. Ce règlement établit des obligations pour les systèmes d’IA en fonction de leurs risques et de leur niveau d’impact.
Pour rappel, le règlement interdit certaines applications fondées sur l’IA (système de catégorisation biométrique, notation sociale, etc…) et vient apporter des obligations pour les systèmes d’IA à haut risque (par exemple la tenue de registres d’utilisation, la soumission à supervision humaine, etc..). Les citoyens pourront déposer plainte concernant les systèmes d’IA et recevoir des explications lorsqu’une décision, basée sur un système d’IA à haut risque, a une incidence sur leurs droits.
Le règlement doit encore faire l’objet d’une adoption officielle par le Conseil. La législation entrera en vigueur 20 jours après sa publication au Journal officiel et sera pleinement applicable 24 mois après son entrée en vigueur, sauf pour l’interdiction des pratiques interdites qui s’appliquera 6 mois après la date d’entrée en vigueur, des codes de pratique (9 mois après l’entrée en vigueur), des règles concernant l’IA à usage général, notamment la gouvernance (12 mois après l’entrée en vigueur), et des obligations pour les systèmes à haut risque (36 mois).
Nous reviendrons plus en détail sur les nouvelles obligations liées à ce règlement.
Le communiqué de presse du Parlement européen est consultable ici.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant que juriste au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.