Scroll Top
header-datactu-2
Partager l'article



*




DATACTU JURIDIQUE #14 AVRIL 2024

 

Article rédigé le 15 avril 2024 par Me Laurence Huin et Raphaël Cavan

ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU

LES RECO CNIL DU MOIS

La CNIL passe la deuxième sur l’IA !

Alors que l’IA Act vient d’être adopté le 13 mars dernier par le Parlement européen, marquant ainsi une étape décisive dans la réglementation de l’intelligence artificielle, la CNIL a multiplié les publications en lien avec le développement des systèmes d’intelligence artificielle (IA) dans le respect du RGPD.

Fruit d’une consultation publique de deux mois à laquelle les acteurs du numérique provenant de secteur d’activités variés ont participés, la CNIL a publié le 8 avril dernier sur son site internet ses « premières recommandations » sur le développement des systèmes d’intelligence artificielle. Ces recommandations présentées sous forme de fiche au nombre de 7 abordent des thématiques variées en lien avec la gestion et la protection des données à caractère personnel durant la phase de développement d’une IA (détermination du régime juridique applicable, définition de finalités, définition d’une base légale, gestion et protection des données dès la conception des systèmes, analyse d’impact sur la vie privée, …).

Le fait que la CNIL ait publiée ses recommandations comme étant les « premières » montre qu’elle ne compte pas s’en arrêter là. En témoigne justement l’annonce qui accompagne ses recommandations qu’elle publiera prochainement de nouvelles fiches qui seront soumises à consultation publique dans le but d’expliquer comment concevoir et entraîner des modèles dans le respect du RGPD.

Les thématiques abordées par ses fiches ont même été arrêtées : la récupération de données sur internet ; comment mobiliser l’intérêt légitime comme base légale ; l’exercice des droits d’accès, de rectification et d’effacement ; le recours ou non à des licences ouvertes…

Parallèlement, on relève également que la CNIL a publié sur son site internet l’édition 2024 du guide de la sécurité des données personnelles, enrichie de nouvelles entrées, notamment sur l’IA, le cloud computing et les applications mobiles.

On relève également que la CNIL a lancé le 28 mars dernier une consultation publique ouverte jusqu’au 31 mai 2024 sur un projet de recommandation destiné à accompagner les utilisateurs et fournir ainsi des orientations sur l’usage de l’authentification multifacteur (MFA) dans le cadre de l’obligation de sécurité qui s’impose à l’ensemble des responsables de traitement.

Encadrer l’innovation technologique tout en préservant les droits fondamentaux et la vie privée des personnes concernées fait partie des nombreux enjeux à relever dans les années à venir dans le cadre du développement de l’IA. Demain est déjà là, alors pensez à vous préparer aux prochaines évolutions juridiques et techniques en matière de sécurité à venir.

Pour consulter les recommandations de la CNIL sur le développement de l’IA, cliquer ici.

Pour consulter le guide sur la sécurité des données personnelles, cliquer ici.

Pour consulter la consultation publique de la CNIL sur les MFA, cliquer ici.

Actualité juridique données de santé

ACTU SANTÉ NUMÉRIQUE

Projet loi SREN et exigences de souveraineté en matière d’hébergement de données de santé

Les parlementaires français sont parvenus à un compromis de haute lutte mardi 26 mars dernier sur le projet de loi SREN, en réussissant à adoucir les dispositions qui auraient pu entrer en conflit avec la législation européenne, tout en insérant dans la loi des exigences de souveraineté dans le domaine du cloud.

Ce compromis implique que les prestataires de services d’hébergement de données devront respecter les normes de cloud souverain de la France lors du traitement des données de santé, faisant ainsi écho aux exigences posées par la circulaire « Cloud au centre » dans la version finale du projet de loi, notamment en recourant à des hébergeurs certifiés « SecNumCloud ».

Ce développement remet en perspective la délibération 2023-146 de la CNIL autorisant le Health Data Hub (« HDH ») à mettre en œuvre l’entrepôt de données de santé nommé « EMC2 », hébergé chez Microsoft, laquelle a été très largement critiquée et portée devant le juge des référés du Conseil d’Etat par des entreprises d’hébergement et des associations de protection des données.

Or, le juge des référés du Conseil d’État a le 22 mars dernier rejeté l’intégralité de cette requête, jugeant que la condition de l’urgence faisait ici défaut.

Le Conseil d’Etat a relevé qu’aucun candidat français n’était en mesure de répondre aux besoins et exigences techniques posées par le projet dans les délais requis au moment où l’appel d’offre de l’Agence européenne du médicament avait été lancée, et a également pris en considération l’existence de mesures de pseudonymisation des données permettant de minimiser les risques sur la vie privée des personnes concernées.

S’agissant du risque de transmission des données de santé auprès services de renseignement américains soulevé par les requérant, celui-ci n’était pas suffisamment établi selon le Conseil d’Etat, alors même que les requérants avaient demandé à ce que soit saisit la CJUE d’une question préjudicielle sur la validité de la décision d’exécution de la Commission européenne rendue le 10 juillet 2023 visant à reconnaitre que les Etats-Unis offrent un niveau de protection adéquat pour les données personnelles transférées de l’Union Européenne vers les États-Unis.

Enfin, le Conseil d’Etat soulève « l’intérêt public » poursuivit par la réalisation du projet EMC2, notamment en ce qui concerne la recherche et l’évaluation des médicaments et dispositifs médicaux en France, justifiant ainsi qu’aucun retard ne soit pris dans la réalisation de ce projet.

Est-ce un coup dur pour la souveraineté des données françaises ? De prime abord, oui, mais peut-être s’agit-il en réalité d’un contretemps, dans la mesure où le compromis sur le projet de loi SREN a été adopté par le Parlement et que le texte doit encore être soumis à un troisième examen auprès de la Commission européenne.

Par ailleurs, il a été rendu public en mars dernier un rapport d’expertise technique sur l’hébergement de l’entrepôt de données de santé du projet EMC2 réalisé en décembre 2023 par la délégation au numérique en santé (DNS) avec le concours de la Direction interministérielle du numérique (Dinum), l’Agence du numérique en santé (ANS) et l’Inria, qui nous apprend qu’il a été recommandé au HDH à ce que le projet « EMC2 » puisse continuer sur la plateforme actuelle, mais que des travaux de préparation pour migrer vers un cloud de confiance d’ici 2025 soient entamées cette année.

Ce feuilleton est donc loin d’être terminé. Patience donc.

Pour consulter l’avancée de la loi SREN : cliquer ici.

Pour consulter la décision du Conseil d’Etat, cliquer ici.

Le GHT personne morale : Quel futur pour l’exemption HDS ?

Relayé au sein de notre blog par Me Laurent Houdart, l’article 25 de la Loi Valletoux autorise désormais les groupements hospitaliers de territoire (GHT) à constituer une personne morale sous la forme d’un groupement de coopération sanitaire (GCS).

Au-delà de l’opportunité que représente la réforme Valletoux pour les groupements, des questions importantes sur la gouvernance méritent d’être soulevées, notamment celles portant sur l’hébergement des données de santé, et l’avenir de l’exemption de l’obligation de certification prévue par la doctrine de l’Agence du Numérique en santé.

En effet, dans le cadre de la convergence des systèmes d’information, identifiée comme l’une des missions principales d’un GHT (Article L6132-3 du Code de la santé publique), l’établissement support a très souvent été amené à mettre à disposition les moyens de l’hébergement des données de santé pour l’ensemble des membres du GHT.

Les établissements membres d’un GHT, souvent non certifiés HDS, se retrouvent dès lors confrontés à un carrefour réglementaire.

Alors que la certification HDS est en pleine évolution, notamment au regard des enjeux liés à la souveraineté des données animant les débats politiques de ces derniers mois, quelles solutions s’offrent aux GHT souhaitant acquérir la personnalité morale sous la forme d’un GCS, lorsque ces derniers bénéficiaient de l’exemptions de certification HDS ? Le GHT sous la forme d’un GCS pourra-t-il dès lors bénéficier dans les mêmes conditions de cette exemption ?

C’est ce que nous vous proposons d’aborder ce mois-ci dans un article consacré à cette épineuse problématique. Rassurez-vous, rien n’est impossible et l’opportunité offerte par la réforme Valletoux demeure, encore faut-il être en mesure d’opérer certains « ajustements » dans votre gouvernance.

Pour consulter l’article sur notre blog, cliquer ici.

POUR ALLER + LOIN

La régulation de l’IA en Santé : tous concernés !

Le cadre juridique sur l’intelligence artificielle est en pleine effervescence, mais savez-vous vraiment quelles implications ce texte va avoir auprès des acteurs de la santé ?

Maitre Huin vous propose une analyse très complète à ce sujet, consultable sur notre site internet en cliquant juste ici.

Prenez-en bonnes notes !

CYBERSÉCURITÉ

La sécurité des données personnelles à l’ère de l’IA

Dans la continuité de l’effervescence présente autour de l’IA générative lors du congrès HIMSS qui s’est tenu à Orlando en mars dernier, la CNIL a publié le 2 avril dernier sur son site internet un focus sur deux normes ISO importantes dans la sécurité informatique.

  • la première, déjà bien connue des acteurs de la sécurité informatique est la norme ISO/IEC 27701 publiée en août 2019. Cette norme tend à compléter deux autres normes ISO, la 27001 sur la certification « système de management de la sécurité de l’information » et la 27002 qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.

Cette nouvelle norme permet aujourd’hui d’inclure les particularités des traitements de données à caractère personnelle dans le cadre de la mise en place d’un « système de management de la protection de la vie privée » prévoyant la gestion et la documentation de la protection des données (principe « Accountability »), et des mesures spécifiques devant être mises en œuvres par l’organisme selon son rôle dans le traitement de données (Responsable de traitement, sous-traitant, sous-traitant ultérieur).

Cette norme a une portée mondiale mais n’est pour autant pas spécifique aux exigences posées par le RGPD, bien que celui-ci ait été pris en compte lors des contributions des experts venant du monde entier.

Pour autant, le Comité européen de normalisation en électronique et électrotechnique (CEN-CENELEC) a adapté la norme ISO 27701 en procédant à des affinements relatifs au contexte européen avec la norme EN 17926 publiée en novembre 2023, rendant ainsi obligatoire toutes les mesures imposées par le RGPD. La CNIL précise a ce sujet qu’un schéma de certification européen est en cours de préparation.

Pour rappel, un schéma de certification européen est un mécanisme volontaire qui aide les organisations soumises au RGPD à démontrer leur conformité aux exigences posées par le texte (principe « Accountability »). En effet, il s’agit d’une sorte « d’approbation » que les pratiques, processus, politiques et technologies de traitement des données personnelles mises en œuvre au sein d’un établissement respectent bien les normes de protection et de sécurité des données conformes à « l’état de l’art technique », et donc aux exigences de sécurité et de confidentialité inhérentes aux dispositions de l’article 32 du RGPD.

  • La deuxième norme est moins connue que l’ISO 27701 mais est appelée à prendre une place tout aussi importante dans les années à venir, dans la mesure où cette nouvelle norme ISO/IEC 42001 publiée en décembre 2023 porte sur la mise en place d’un « système de management pour l’intelligence artificielle ».

Cette norme ISO détaille les méthodes pour aborder les enjeux de confiance dans l’utilisation des systèmes d’IA, et notamment la sécurité, la sûreté, l’équité, la transparence, ainsi que la qualité des données et des systèmes à travers leur cycle de vie. Elle propose également un ensemble de pratiques opérationnelles et de conseils pour leur application. À titre d’exemple, réaliser une évaluation des impacts et des risques associés à un système d’IA, garantir un développement et une utilisation responsables, procéder à la documentation et au suivi du système, etc…

Par ailleurs, la CNIL précise dans sa publication que le CEN-CENELEC a été sollicité par la Commission européenne pour développer prochainement des normes harmonisées destinées à accompagner les établissements dans leur conformité aux exigences posées par l’IA Act dans la mise en place de mesures appropriées de gestion des risques.

Ainsi, tous les nouveaux projets qui impliqueront l’utilisation de l’IA auront tout intérêt à prendre en considération ces exigences pour anticiper dès aujourd’hui les nouvelles exigences à venir dans l’utilisation de l’IA, que ce soit dans l’achat et l’intégration d’une solution dopée à l’IA en interne, ou en termes de mesures de sécurité à jour de la notion d’état de l’art si chère à la CNIL.

Pour consulter la publication de la CNIL, cliquer ici.

Recherches cliniques

La valorisation du contenu d’une base de données dans le cadre de la recherche scientifique

La délimitation de la protection des bases de données par le droit d’auteur et par le droit sui generis des producteurs constitue un enjeu majeur dans le marché unique numérique fondé sur la libre circulation des données.

Dans une décision récente, le Tribunal judiciaire de Paris (TJ Paris, 3e ch., 22 déc. 2023, n°22/03126) a eu l’occasion de démontrer la conséquence pratique de l’absence d’investissements pour la constitution d’une base de données.

En l’espèce, une société a développé un logiciel de gestion d’officines de pharmacies auquel était adossé un moteur d’une base de données, constituée quant à elle par les utilisateurs du logiciel, en l’occurrence les pharmaciens. La société a installé unilatéralement un dispositif technique empêchant l’accès à cette base de données. La société se prévalait des investissements réalisés relatifs à la création et aux mises à jour du logiciel et à la structuration des tables de la base de données pour les adapter aux besoins des officines.

En effet, un droit de propriété intellectuelle est reconnu aux producteurs de bases de données sur le contenu de la base de données (article L. 341-1 du Code de la propriété intellectuelle) lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain substantiel.

Cependant, n’ayant pas démontré avoir réalisé des investissements « pour la constitution ni le renouvellement de son contenu », condition sine qua non pour bénéficier de la protection accordée aux producteurs de bases de données, l’arrêt rendu par le Tribunal judiciaire de Paris dénie la qualité de producteur de base de données à la société.

Pour le Tribunal judiciaire de Paris, la réalisation d’investissements pour la création d’un logiciel associé à un système de gestion de bases de données ne confère pas la qualité de producteur de base de données, à défaut d’être en lien avec le contenu des bases, constituées par les utilisateurs du logiciel.

Ainsi, dans le cadre de la recherche, pour valoriser le contenu d’une base de données au titre du droit des producteurs, il conviendra d’être en mesure de démonter la réalisation d’investissements sur le contenu des bases et non sur les logiciels utilisés en lien avec la base de données.

Pour consulter la décision, cliquer ici.

Perspectives & Changements

Adoption de l’EHDS

Le 15 mars dernier, le Conseil de l’Union européenne et le Parlement européen sont parvenus à un accord provisoire sur la proposition de l’espace européen des données de santé ou « European Health Data Space » (« EHDS »).

l’EHDS vise à faciliter l’accès aux données de santé et leur échange entre les Etats membres, tant pour soutenir la fourniture des soins de santé (« utilisation primaire des données ») que pour faire avancer la recherche scientifique et élaborer des politiques dans le domaine de la santé, l’innovation, ou encore la sécurité des patients (« réutilisation ou utilisation secondaire des données »)

L’adoption définitif du texte aura lieu le 24 avril prochain pour une entrée en vigueur prévisible autonome prochain. A compter de son entrée en vigueur, l’application de ses dispositions sera échelonnée entre 2 et 10 ans.

Il est donc essentiel pour les acteurs du secteur de la santé d’anticiper dès à présent les prochaines échéances de ce projet européen ambitieux.

Pour consulter le communiqué de presse, cliquer ici.

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.