ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
LES RECO CNIL DU MOIS
Recommandation de la CNIL sur l’usage de la Vidéosurveillance dans les chambres d’Ehpad
Le 2 mai 2024, la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») a publié ses recommandations concernant l’installation de dispositifs de vidéosurveillance dans les chambres des établissements d’hébergement pour personnes âgées dépendantes (« EHPAD »). Cette publication fait suite à la consultation publique lancée à ce sujet en 2023.
Dans le cadre de ses recommandations, la CNIL rappelle que l’installation d’un dispositif de vidéosurveillance relève du seul ressort des directions des EHPAD. En ce sens, une concertation devrait être menée avec les proches si la demande d’installation d’un tel dispositif est formulée par la famille du résident.
Ainsi, l’installation d’un dispositif de vidéosurveillance ne peut être envisagé, que temporairement, et uniquement dans le cadre d’une enquête pour maltraitance en cas de suspicion étayée de mauvais traitement (par ex. hématomes, changements comportementaux, etc.) et après échec des procédures d’enquêtes internes (conditions cumulatives).
À l’inverse, cette installation ne pourra être mise en œuvre pour améliorer le service offert par l’EHPAD aux résidents.
Lorsque le consentement de la personne concernée doit être recueilli avant l’installation d’un tel dispositif, une attention toute particulière devra être portée sur les modalités de recueil du consentement des résidents concernés, et sur la manière d’informer ces derniers sur les caractéristiques du dispositif déployé.
En effet, certains résidents peuvent faire l’objet de mesures de protection juridique (tutelle, curatelle, etc..), et peuvent avoir également désigné une personne de confiance pour les accompagner dans leurs différentes démarches administratives ou médicales, et dans la compréhension de leurs droits (article L.1111-6 du code de la santé public). Il conviendra alors de se tourner vers les mandataires désignés par la mesure de protection et la personne de confiance, si celle-ci a été désignée.
En outre, en l’absence de l’existence d’une mesure de protection juridique et de la présence d’une personne de confiance, les résidents en EPHAD sont dans tous les cas définis comme étant des personnes « vulnérables ». Il conviendra, dès lors, d’adapter la transmission des informations nécessaires et préalables au recueil du consentement pour que celle-ci soit conforme aux exigences posées par l’article 7 du RGPD, notamment en facilitant la compréhension des informations délivrées. À ce titre, le recours à la méthode du « Facile à lire et à comprendre » (FALC) peut constituer une manière adaptée pour délivrer des informations auprès de ce type de public (ex : infographie explicative).
Enfin, les EHPAD devront s’assurer de la conformité de l’installation de ces dispositifs vis-à-vis du RGPD en prévoyant pour les résidents une clause dans le contrat d’hébergement indiquant l’éventuelle mise en œuvre de la vidéosurveillance. Pour les salariés des EHPAD, il s’agira de s’assurer de leur bonne information, avec l’insertion, par exemple, d’une mention dans le règlement intérieur préalablement présenté au CSE. Il s’agira également de veiller à bien documenter ce traitement de vidéosurveillance au sein d’une analyse d’impact relative à la protection des données (« AIPD »), mais également au sein du registre des activités de traitement de l’établissement.
Pour en savoir plus sur la recommandation de la CNIL en matière de vidéosurveillance dans les EHPAD, cliquer ici.
ACTU SANTÉ NUMÉRIQUE
L’horizon se dégage-t-il pour la souveraineté numérique de nos données ?
Alors que le projet de loi visant à sécuriser et réguler l’espace numérique (ci-après « SREN ») a été adoptée le 10 avril 2024 par le Parlement réuni en commission mixte paritaire, le chantier visant à replacer la confiance dans le numérique et à renforcer notre souveraineté numérique est en pleine ébullition.
En effet, la loi SREN introduit deux articles qui imposent désormais une stricte régulation pour les administrations de l’État et leurs opérateurs lorsqu’ils ont recours à des fournisseurs privés de services cloud.
- L’article 10 bis A dispose que ces entités doivent garantir que les fournisseurs respectent des critères de sécurité et de protection des données, notamment, via une certification SecNumCloud, pour l’hébergement des données sensibles (et donc des données de santé). Une dérogation est toutefois possible si, à la date d’entrée en vigueur de l’article, un projet nécessitait déjà l’utilisation d’un service cloud.
- Par ailleurs, l’article 10 bis B étend le référentiel HDS aux fournisseurs de services d’archivage numérique des données de santé, exigeant une certification SecNumCloud pour l’hébergement de ces données d’ici le 1er juillet 2025.
Pour rappel, la certification SecNumCloud élaborée par l’Agence nationale de la sécurité des systèmes d’information (« ANSSI ») est un corpus de règles de sécurité pour les prestataires proposant des offres informatiques cloud. La certification couvre des exigences techniques, opérationnelles et juridiques relatives à la prestation de service et son exécution, ainsi que sur la gestion et l’encadrement des membres de leur personnel. Elle vise entre autres à garantir la protection des données traitées ou stockées contre tout accès par des autorités publiques d’Etats tiers non autorisés par le droit de l’Union ou d’un Etat membre.
En outre, la nouvelle version du référentiel HDS publiée le 16 mai dernier au Journal Officiel précise l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud, en prévoyant en annexe une matrice de correspondance avec les exigences de la certification SecNumCloud. De même, le référentiel intègre une partie entière consacrée à la souveraineté des données (exigences n°28 à 31), laquelle impose désormais aux hébergeurs un stockage des données personnelles exclusivement réalisé au sein de l’Espace Economique Européen (« EEE »), et qui encadre les accès distants pouvant être réalisés depuis un pays situé hors de l’EEE par les règles posées au sein du chapitre V du RGPD relatif aux transferts de données vers des pays tiers ou à des organisations internationales.
Sur ce point, le référentiel précise qu’il s’agit là d’une première étape, et que des exigences renforcées en termes de souveraineté européennes seront ajoutées au plus tard en 2027, en cohérence avec les futurs référentiels européens, notamment celui de l’EUCS, (European Cybersecurity Certification Scheme for Cloud services).
Pour autant, le schéma de certification européen précité envisage de renoncer à l’immunité juridique des prestataires de cloud vis-à-vis des juridictions étrangères, et ce, alors que les Etats-Unis ont récemment renouvelé la controversée loi FISA autorisant l’espionnage numérique des européens à grande échelle, faisant ainsi craindre auprès des fournisseurs IT et entreprises européennes une dégradation importante du niveau de cybersécurité dans l’EEE.
Le chemin vers la souveraineté numérique est donc encore parsemé d’obstacles mais un horizon tend à se dégager !
Bien que la loi SREN ait été adoptée, celle-ci a toutefois fait l’objet d’une saisine auprès du Conseil constitutionnel le 17 avril dernier par plus de soixante députés. Affaire à suivre pour les établissements de santé, opérateurs privés ou public du domaine de la santé, et les groupements d’intérêt public (GIP), telle que la Plateforme de données de santé (« PDS » ou « Health Data Hub »), qui devront, si ce n’est déjà fait, recourir à une solution cloud certifiée SecNumCloud pour l’hébergement de leurs données de santé.
DECISION DU MOIS
Mise en demeure de la commune de Beaucaire : Le Conseil d’Etat valide la position de la CNIL
Le Conseil d’Etat a validé le 30 avril dernier la mise en demeure non publique prononcée par la Commission nationale de l’informatique et des libertés (« CNIL ») à l’encontre de la commune de Baucaire.
En effet, à la suite d’un signalement de la chambre régionale des comptes, la CNIL a effectué en 2021, plusieurs contrôles sur place et sur pièces auprès de la commune de Beaucaire situé dans le Gard, afin de contrôler la conformité de ses dispositifs informatiques et de vidéoprotection.
La CNIL a alors prononcé le 6 février 2023 une mise en demeure à la commune de mettre un terme, sous un délai de six mois, à différents manquements qui sont les suivants :
- La mise en œuvre des dispositifs de lecture automatisée des plaques d’immatriculation des véhicules (Caméra LAPI) ayant pour seule finalité de répondre aux réquisitions des forces de l’ordre pour l’exercice de leurs missions de police judiciaire, relatives à des infractions, ne correspond pas à l’une des finalités énumérées par le code de la sécurité intérieure justifiant la mise en œuvre d’un tel dispositif (Article 87 de la loi Informatique et Libertés (« LIL »)) ;
- L’absence de réalisation d’une analyse d’impact sur la vie privée des personnes concernées par le traitement mis en œuvre par les dispositifs de vidéoprotection de la commune (Article 90 de la LIL) ;
- Et enfin, un manquement à l’obligation d’assurer la sécurité des données à caractère personnel, en raison de l’insuffisance de la complexité des mots de passe utilisés pour certaines applications mises en œuvre par la commune, l’absence de segmentation de son réseau, et pour l’utilisation d’un système d’exploitation qui n’était plus maintenu par son éditeur depuis 2015 (Article 32 du RGPD).
La commune de Beaucaire a demandé l’annulation pour excès de pouvoir de cette décision. La réponse du Conseil d’Etat nous apporte un éclairage intéressant sur le fonctionnement de la CNIL et sur la méthodologie qu’elle emploi pour retenir des manquements relatifs à la sécurité des données personnelles.
D’une part, nous pouvons constater que les contrôles de la CNIL ne sont pas uniquement déclenchés sur la base des plaintes qu’elle reçoit, des thématiques de contrôle qu’elle détermine, ou d’une manière générale des contrôles inopinés qu’elle réalise. En effet, la CNIL peut également réaliser des contrôles sur la base des signalements émis par d’autres autorités administratives.
D’autre part, le Conseil d’Etat confirme la méthodologie employée par la CNIL consistant à tenir compte de ses recommandations (notamment celles issues de sa délibération n° 2022-100 du 21 juillet 2022 relatif aux mots de passe) et celles de l’Agence nationale de la sécurité des systèmes d’information (« ANSSI ») pour apprécier le respect des dispositions de l’article 32 du RGPD.
Ce dernier point est très important pour la CNIL, car celui-ci lui permet d’apprécier l’étendue de l’état de l’art technique en vigueur au moment où elle réalise des opérations de contrôle des mesures de sécurité techniques et organisationnelles mises en œuvre par un responsable de traitement. La CNIL n’en n’est pas à son premier coup d’essai et à déjà plusieurs fois retenu des manquements aux exigences de l’article 32 du RGPD en se fondant sur ses propres recommandations fixant l’état de l’art technique (Pour un exemple : décision de la CNIL prise à l’encontre d’Infogreffe en 2022).
L’occasion de rappeler ici que la directive NIS 2 arrive à grand pas (octobre 2024) et que les établissements concernés, notamment ceux du secteur de la santé, devront s’assurer de l’opposabilité de ces nouvelles exigences techniques amenées à rehausser fortement le niveau de l’état de l’art technique.
Le Conseil d’Etat a validé la décision de la CNIL et a rejeté la requête de la commune. De plus, alors que la mise en demeure de la CNIL était non-publique, la commune connaitra également la publicité de cette affaire à laquelle elle avait échappée dans un premier temps.
Pour consulter la décision rendue par le Conseil d’Etat, cliquer ici.
Recherches
Le gouvernement lance un vaste chantier de simplification des démarches dans la recherche scientifique et la diffusion de l’innovation en France
Le 24 avril 2024, le ministère de l’Économie et des Finances a déposé au Sénat un projet de loi de simplification administrative visant notamment à mettre en œuvre différentes mesures afin de simplifier et de fluidifier l’ensemble du processus de la recherche à la diffusion de l’innovation.
Les principales mesures proposées pour la recherche et l’innovation dans ce plan d’action s’organisent autour de 4 axes :
- Faciliter l’innovation issue de la recherche, notamment en santé ;
- Accélérer le versement du Crédit impôt recherche ;
- Mieux prendre en compte l’enjeu d’innovation dans la régulation de la donnée ;
- Faciliter l’implantation de centres de données.
Concernant le premier axe, l’article 22 du projet de loi prévoit pour les recherches n’impliquant pas les personnes humaines (RNIPH), la possibilité, en cas d’avis favorable rendu par un comité scientifique et éthique (CSE) local, d’être dispenser de l’obtention de l’avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES), et ce, afin de désengorger ce dernier.
le projet prévoit également de simplifier les opérations d’import-export pour les entités juridiques en charge de biobanques au moyen d’autorisations globales d’import-export aux entités portant des biocollections et d’effectuer des contrôles a posteriori des opérations de transferts. Ceci permettra d’augmenter significativement la compétitivité des structures françaises, privées ou publiques.
Concernant le troisième axe, le projet de loi envisage de modifier l’article 8 de la loi « Informatique et Libertés » pour y intégrer la prise en compte des enjeux d’innovation dans l’ensemble des missions de la CNIL.
Sur ce point, l’avis rendu par le Conseil d’Etat le 22 avril 2024 n’est pas en faveur de cette disposition, dans la mesure où, selon lui, les missions confiées à la CNIL par le législateur prennent déjà en compte les avancées technologiques et leurs conséquences, et peut rendre publique, le cas échéant, son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés des personnes (Article 6.4 LIL).
Le Sénat a déjà prévu de constituer une commission spéciale et examinera le texte à compter du lundi 3 juin en séance publique. Par la suite, il devra être examiné par l’Assemblée nationale et être approuvé dans les mêmes termes par les deux assemblées. En cas de désaccord prolongé des deux assemblées, une procédure de conciliation prenant la forme d’une commission mixte paritaire sera adoptée. Le texte de loi sera promulgué par le président de la République dans les 15 jours qui suivront son adoption par le Parlement. Le texte, d’ici là, a ainsi le temps d’être modifié.
Par ailleurs, le dossier de presse en lien avec le projet de loi nous apprend qu’il est également prévu un état des lieux des démarches de mobilité et de valorisation d’innovation par les chercheurs, et ce, afin de simplifier et faciliter les procédures limitantes. La Loi PACTE et la loi de programmation pour la recherche (« LPR ») sont donc ici directement concernées. Les travaux seront menés par le ministère de l’Enseignement supérieur et de la Recherche en lien avec le ministère de l’Economie. Affaire à suivre.
Pour consulter le dossier de presse, cliquer ici.
Perspectives & Changements
Le nouveau référentiel de sécurité du système national des données de santé (« SNDS ») est publié
Un arrêté du 6 mai 2024 présente la nouvelle version du référentiel de sécurité du Système National des Données de Santé (SNDS).
La nouvelle version du référentiel précise et élargi le périmètre d’application de ses exigences.
Le référentiel apporte des précisions sur la pseudonymisation et les conditions de transmission entre les responsables de traitement du SNDS central vers les systèmes fils réalisés dans le cadre de conventions spécifiques.
En outre, en cas de sous-traitance, plusieurs exigences sont amenées à être respectées, notamment la réalisation d’une analyse de risques préalable et un encadrement contractuel strict.
Dans son avis publié le 8 mai dernier, la CNIL avait appelé à plus de clarté du dispositif. À ce titre, des exemples précis dans une documentation devrait accompagner la publication de ce référentiel.
En outre, la CNIL avait également invité le ministère à fournir aux acteurs concernés des moyens humains et financiers suffisants afin de leur permettre de se mettre en conformité, « Compte tenu du niveau particulièrement élevé des exigences qu’il contient ainsi que des possibles freins au partage des données qu’il risque de générer ».
Enfin, au regard de la sensibilité et du volume des données présent dans la base principale du SNDS, la CNIL avait estimé que les organismes rassemblant et mettant à disposition ces données pour des finalités SNDS, ainsi que leurs sous-traitants, doivent être exclusivement soumis aux lois de l’Union européenne. La version publiée ne reprend pas cette exigence, qui a pour autant interdit les transferts en dehors de l’Union européenne.
Pour consulter la nouvelle version du référentiel SNDS, cliquer ici.
Évolution des méthodologies et référentiels santé de la CNIL : Grande Concertation à venir
Le 16 mai dernier, la CNIL a lancé une consultation pour recueillir l’avis des acteurs impliqués dans la recherche et la gestion des données de santé, notamment sur la nécessité d’ajuster les référentiels existants.
En effet, l’entrée en vigueur de nouveaux règlements européens, tels que celui sur les essais cliniques, les dispositifs médicaux, ou encore l’intelligence artificielle, conjuguée à l’utilisation accrue des données du SNDS et aux changements induits par la crise sanitaire sur la recherche en santé, nécessite que la CNIL ajuste ses référentiels. Ces ajustements concernent notamment les MR-001 à MR-008, mais aussi les référentiels entrepôts de données de santé, gestion des vigilances sanitaires, accès précoces et compassionnels, ainsi que celui portant sur l’accès simplifié aux données du SNDS.
Cette concertation intervient alors que le projet de phase pilote organisée par la DGS, la DGOS, l’ANSM et la CNIL visant à accompagner les promoteurs dans la conception de leurs projets de recherches cliniques décentralisés est en cours de réalisation jusqu’au mois de juin 2024.
Les acteurs concernés et intéressés par cette concertation auront deux mois à partir du 16 mai 2024 pour répondre à un questionnaire. De plus, un webinaire pour répondre aux questions en lien avec cette concertation sera organisée le 21 mai 2024 par la CNIL.
Les résultats de cette concertation seront publiés et feront l’objet de thématiques pour des groupes de travail au sein desquels participeront la CNIL, la Plateforme Données de santé (PDS ou HDH) et les acteurs concernés. Une manière pour la CNIL d’anticiper les mesures proposées par la loi de simplification.
Pour consulter l’annonce de la CNIL et les informations pour participer à cette concertation, cliquer ici.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.