DATACTU JURIDIQUE #16 JUIN 2024
Article rédigé le 26 juin 2024 par Me Laurence Huin et Me Raphaël Cavan
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
LES RECO CNIL DU MOIS
La CNIL clarifie les démarches pour les modifications des traitements de données de Santé soumis à des formalités préalables
Certains traitements de données de santé relèvent d’un régime de formalités préalables prévue par la loi Informatique et Libertés (LIL) et doivent faire l’objet d’une autorisation préalable auprès de la CNIL pour être opérationnels.
Pour autant, certains traitements de données peuvent s’affranchir de cette autorisation s’ils sont conformes aux exigences posées par un référentiel de la CNIL (ex : les méthodologies de référence, type MR-005, ou référentiel entrepôt de données de santé). Ces différents référentiels sont d’ailleurs en cours d’évolution suite à la grande concertation ouverte par la CNIL à ce sujet en mai dernier, laquelle prend fin le 12 juillet prochain.
Dans sa dernière communication, la CNIL identifie les modifications dites « substantielles » nécessitant la réalisation de nouvelles démarches auprès de la CNIL et des personnes concernées par les traitements menés.
Ces modifications substantielles identifiées par la CNIL, sont à titre d’illustration :
- L’ajout de nouvelles finalités au traitement mené ;
- L’ajout de la collecte de nouvelles catégories de données sensibles ;
- L’allongement conséquent d’une durée de conservation
- Le changement de l’identité du responsable de traitement,
- Ou encore ajout d’un responsable conjoint de traitement.
- Etc.
A contrario, les modifications non substantielles n’exigent pas de démarches supplémentaires si ce n’est que l’existence d’une documentation interne à l’établissement retraçant ces éléments.
Pour les établissements de santé, responsables de traitement, cette actualisation impose une vigilance accrue sur la nature des modifications apportées aux traitements de données réalisées dans le cadre de leurs activités, et ce, pour ne pas passer à côté de leurs obligations en matière de conformité avec le RGPD.
Il revient donc aux responsables de traitement de mettre en place des procédures internes adaptées pour évaluer et documenter toute modification de traitement. Le registre des activités de traitement constitue un bon point de départ pour documenter ces modifications.
POUR ALLER + LOIN
Le web scrapping web dans le secteur de la santé ?
La CNIL poursuit dans sa volonté de construire l’articulation entre le RGPD et l’IA Act avec une nouvelle consultation pour l’élaboration de nouvelles fiches pratiques relatives au développement d’un système d’IA.
Consciente du besoin de construire des bases de données suffisamment conséquentes pour développer un système d’IA, la CNIL cherche notamment au travers de sa consultation à encadrer plus strictement l’usage du web scrapping.
A travers cette consultation, la CNIL soulève les enjeux liées à l’adaptation des règles en matière de collecte et de réutilisation de données en ligne, et ce alors qu’elle vient de publier le 12 juin dernier ses recommandations en matière de réutilisation des données à partir de sources ouvertes.
En effet, la pratique du web scraping est très courante dans le développement des modèles de langage et d’autres technologies d’IA, mais aussi pour l’élaboration d’annuaires professionnels à partir de données personnelles de professionnels accessibles en ligne, pour laquelle la CNIL a d’ailleurs consacré une fiche entière aux droits des professionnels concernées.
Cette pratique implique donc très souvent la collecte de données à grande échelle depuis des sources web, parfois « ouvertes » (Open Source), et soulève d’importants enjeux sur le plan de la protection des données personnelles, en matière de consentement et d’information des personnes concernées, mais également sur le plan de la propriété intellectuelle, notamment le droit des producteurs de base de données.
On vous en dit plus dans notre article : Annuaires de professionnels de santé et scraping font-ils bon ménage?
DECISION DU MOIS
Nouvelles sanctions simplifiées de la CNIL : que retenir ?
La CNIL a prononcé depuis mars 2024 neuf nouvelles sanctions dans le cadre de sa procédure simplifiée.
Les manquements constatés par la CNIL sont notamment les suivants :
- Traitement illicite de données pour une société spécialisée en programmation informatique et intelligence artificielle qui a publié une vidéo promotionnelle contenant des images de dossiers patients sans leur consentement. Les images incluaient des informations sensibles telles que nom, prénom, genre, adresse et numéro de téléphone ;
- Violations liées à l’utilisation des cookies pour une société qui ne permettait pas aux utilisateurs de sons site internet de refuser les cookies aussi facilement que de les accepter. Un bouton sur le site permettait d’accepter tous les cookies immédiatement, tandis que pour les refuser, il fallait naviguer dans les paramètres et utiliser une interface complexe pour désactiver les cookies.
- Défauts de sécurité des données personnelles traitées pour l’absence de robustesse des mots de passe utilisés et stockage en clair de ces derniers, mais aussi pour l’absence d’une politique d’habilitation ;
- et enfin le non-respect des droits des personnes concernées pour notamment ne pas avoir respecté l’exercice du droit d’un patient à accéder à son dossier médical.
Les récentes sanctions de la CNIL soulignent l’importance pour les établissements de santé de mettre en place et/ou renforcer leurs processus internes (charte informatique, politique d’habilitation, politique de confidentialité, etc…) et de faciliter l’exercice des droits des personnes concernées (présence d’une bannière cookies simple à utiliser pour le site internet, une information adaptée au patient et la mise en place d’un processus de traitement d’une demande d’exercice).
RECHERCHES
Le Plan de rénovation de la recherche biomédicale en France mise sur la simplification des démarches liées à l’importation et la conservation des échantillons biologiques
Par lettre de mission en date du 20 novembre 2023, les ministres de l’Enseignement Supérieur et de la Recherche, de la Santé et de la Prévention et de l’Industrie, ont demandé à Mme Anne-Marie Armanteras et le Professeur Manuel Tunon de Lara de proposer un plan de rénovation de la recherche biomédicale en France.
Cette mission fait suite à une déclaration du président de la République prononcée le 16 mai 2023 à l’Institut Curie mettant en avant le besoin pour la France de développer une recherche biomédicale plus unifiée, plus efficace, et ce, notamment pour faire face à la forte compétition internationale existante en la matière.
Ce rapport s’organise autour de plusieurs axes (l’organisation de la recherche biomédicale au niveau national, l’attractivité des carrières hospitalo-universitaires, les conditions d’accélération et de simplification de la recherche clinique, etc…) faisant l’objet de recommandations.
A titre d’exemple, des propositions posées par ce rapport tendent à simplifier les démarches relatives à l’importation et la conservation des échantillons biologiques humains à des fins de recherche, notamment en :
- Supprimant l’autorisation explicite d’import-export des échantillons biologiques dans le cadre des Recherches Impliquant la Personne Humaine (RIPH). Cette simplification repose sur l’avis favorable d’un CPP ou l’autorisation de l’ANSM, suffisant pour l’importation et l’exportation, sans nécessiter l’intervention du MESR et de l’Agence de la Biomédecine (ABM) ;
- Simplifiant les démarches relatives à la conservation des échantillons biologiques humains à des fins de recherche, par le remplacement du contrôle a priori existant à l’heure actuelle par un nouveau régime qui serait fondé sur une méthodologie de référence garantissant le respect des principes juridiques et éthiques applicables.
Ces recommandations s’inscrivent dans la continuité des ambitions portées par le projet de loi de simplification présenté en avril dernier, lequel prévoyait qu’une autorisation de conduire la recherche équivaudrait à une autorisation d’importer et d’exporter des échantillons sans avoir besoin de recourir à d’autres démarches.
La récente dissolution de l’Assemblée nationale par le Président de la République met bien évidemment en attente ce projet de loi. Affaire à suivre.
HORIZONS EUROPÉENS
Roumanie : Sanction d’un Médecin pour enregistrement non-autorisé d’un patient à l’aide de son téléphone personnel
L’autorité de contrôle roumaine, l’ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) a infligé une amende de 2000 € à un médecin pour avoir enregistré une patiente à l’aide de son téléphone personnel sans son consentement et publié la vidéo sur son compte Facebook.
Cette publication de la vidéo a révélé des données sensibles sur la patiente (image, voix, nom, état de santé) auprès d’un large public, en violation des règles posées par le RGPD (notamment l’absence de base légale pour un tel traitement) et de la législation nationale roumaine sur les droits des patients.
Ce type de manquement peut entraîner des sanctions sévères et éventuellement exposer la responsabilité de l’établissement de santé dans lequel est pris en charge le patient.
Cette décision souligne donc l’importance pour les établissements de santé de former et encadrer leur personnel sur les bonnes pratiques en matière de traitement des données personnelles et d’usages des outils informatiques.
À ce titre, l’élaboration d’une charte informatique constitue un bon moyen pour encadrer l’usage des outils informatiques des membres de son personnel. Encore faut-il que celle-ci soit opposable et que des sanctions soient prévues en cas de manquement du personnel.
PERSPECTIVES & CHANGEMENTS
Une nouvelle dérogation à venir dans le régime encadrant les demandes CADA ?
Le projet de loi « Simplification de la vie économique », qui avant l’annonce de la dissolution de l’Assemblée Nationale le 9 juin dernier était en débat au niveau du Sénat, vise à alléger les démarches administratives des entreprises.
À ce titre, l’article 23 du projet de loi propose que la CNIL prenne en compte dans ses missions les enjeux liés à l’innovation dans l’ensemble de ses actions, notamment lorsque cette dernière accompagne des entreprises.
Dès lors, un amendement adopté par le Sénat prévoit une dérogation au droit de communication des documents administratifs, dont le régime est encadré par le code des relations entre le public et l’administration, pour y inclure « les documents reçus ou produits par la Commission nationale de l’informatique et des libertés dans le cadre de l’instruction des demandes de conseil ou des programmes d’accompagnement […] lorsque ces documents ne sont pas relatifs à une mission de service public confiée au responsable de traitement concerné ».
Cette dérogation prévue au droit de communication des documents administratifs vise à rassurer les établissements sur la confidentialité de leurs échanges avec la CNIL, encourageant ainsi une plus grande sollicitation des programmes d’accompagnement.
L’opportunité d’inclure le Health Data Hub (HDH) dans le champ de cette dérogation se questionne pour que son accompagnement auprès des établissements soit également marqué par une grande confidentialité.
Le projet de loi étant en suspens pour le moment en raison des prochaines échéances politiques, il conviendra de voir son évolution une fois les prochaines législatives terminées.
Essais Cliniques Décentralisés : Prolongation de la Phase Pilote et Nouvelles Propositions de Bonnes Pratiques par la CNIL
La phase pilote des essais cliniques décentralisés initiée en janvier 2024, en collaboration avec la DGS, la DGOS, l’ANSM et la CNIL, est prolongée jusqu’au 30 septembre 2024.
Par ailleurs, La CNIL a publié de nouvelles propositions de bonnes pratiques soumises à consultation jusqu’au 12 juillet prochain :
- l’envoi d’une note d’information par voie dématérialisée aux participants d’un essai clinique ;
- les conditions dans lesquelles le suivi à domicile lors de recherches dans le domaine de la santé peut être réalisé :
- et enfin, le contrôle qualité à distance, lequel avait connu un essor lors de la crise sanitaire liée à la COVID-19.
Enfin, La CNIL travaille également en parallèle sur l’élaboration de bonnes pratiques concernant le consentement électronique, à l’aune des cas d’usage soumis par des promoteurs.
Ces démarches s’inscrivent dans le succès du cadre mis en place par la CNIL pendant la crise du Covid. L’idée étant ici de pérenniser ces dispositifs déployés dans l’urgence de la situation sanitaire que nous avons connue.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.