DATACTU JURIDIQUE #17 OCTOBRE 2024
Article rédigé le 2 octobre 2024 par Me Laurence Huin et Me Raphaël Cavan
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
LES RECO CNIL DU MOIS
L’ANSSI publie des recommandations pour les l’hébergements des SI sensibles dans le cloud
Alors que la CNIL alertait cet été sur les risques du projet de certification européenne EUCS (European Cybersecurity Certification Scheme) en matière de protection des données hébergées dans le cloud, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a récemment publié ses recommandations pour l’hébergement des systèmes d’information sensibles dans le cloud, avec l’objectif d’accompagner les entités dans la sécurisation de leurs infrastructures cloud face à des menaces de plus en plus sophistiquées.
Ces recommandations, en parfaite cohérence avec la doctrine « cloud au centre » de l’État, se structurent autour de trois axes principaux :
- Typologie des offres cloud : En fonction de la sensibilité des systèmes d’information (SI) et des données, l’ANSSI distingue plusieurs niveaux d’offres cloud, privilégiant les solutions les plus sécurisées pour les informations critiques.
- Niveau de menace : Les recommandations tiennent compte de l’évolution des cybermenaces et préconisent des solutions cloud qualifiées, comme celles répondant au standard SecNumCloud, pour protéger les systèmes d’information sensibles des menaces externes.
- Exigences de conformité : L’ANSSI insiste sur l’importance de choisir des fournisseurs de cloud qui garantissent un ancrage juridique européen, afin de protéger les données sensibles contre l’accès non autorisé par des juridictions étrangères, un point qui résonne fortement avec la loi SREN et les exigences de souveraineté numérique.
Ces recommandations concernent particulièrement les systèmes d’information des opérateurs de services essentiels (OSE) et des prestataires de services numériques (PSN), en renforçant les critères de sécurité pour l’utilisation de solutions cloud dans des contextes sensibles.
Ces recommandations sont donc importantes pour les établissements de santé et les organismes traitant des données critiques, en ce qu’elles encadrent strictement le choix de prestataires cloud dans le cadre de la cybersécurité et de la protection des données sensibles que ces derniers sont amenés à traiter au quotidien.
ACTUALITÉS SANTÉ NUMÉRIQUE
Annulation du référentiel MSSanté : l’ANS sanctionnée pour excès de compétence par le tribunal administratif
Le tribunal administratif de Paris, dans une décision rendue le 14 juin 2024, a annulé un référentiel de l’Agence du numérique en santé (ANS) portant sur l’intégration des opérateurs de messagerie au système MSSanté.
Ce référentiel, publié en avril 2022, était obligatoire pour ces opérateurs, mais l’Apicem (Association pour la promotion de l’informatique et de la communication en médecine) en a contesté la légalité.
Le tribunal a estimé que l’ANS n’avait pas la compétence pour rendre ce référentiel obligatoire, notant que cette tâche revenait au ministre des Solidarités et de la Santé via un arrêté, ce qui, ici, n’avait pas été le cas.
Par conséquent, l’Apicem a obtenu gain de cause, et le tribunal a annulé le référentiel pour incompétence de l’ANS, laquelle a été condamnée à verser 1 500 euros à l’Apicem pour les frais de justice.
Cependant, d’autres requêtes de l’Apicem ont été rejetées, notamment celles visant l’annulation de l’arrêté du 19 décembre 2019 constituant l’ANS, pour cause de dépôt hors délai, et l’annulation du contrat-type d’opérateur MSSanté, car l’Apicem n’était pas opérateur MSSanté et n’avait donc pas intérêt à agir dans ce cadre.
Il est intéressant de noter que le Tribunal a eu l’occasion de reconnaitre le caractère obligatoire de ce référentiel :« le référentiel attaqué présente un caractère obligatoire pour l’ensemble des opérateurs de messagerie sécurisée de santé souhaitant intégrer le système MSSanté. ».
RECHERCHES
Révision de la convention unique : une mise à jour stratégique en réponse aux nouveaux défis réglementaires et financiers des essais cliniques
Un arrêté publié le 29 juillet 2024 a révisé les modèles de la convention unique hospitalière définie à l’article R. 1121-3-1 du Code de la santé publique.
Instaurés en 2016 par le décret n°2016-1538, ce modèle de convention permet aux établissements de santé, maisons ou centres de santé de voir les frais supplémentaires de la recherche pris en charge par le promoteur. Par ce modèle unique de convention, l’objectif est d’accroître l’attractivité de la France en simplifiant et accélérant la mise en place de ces recherches.
Une première mise à jour avait été effectuée en 2022, intégrant notamment quatre nouveaux articles relatifs au traitement des données à caractère personnel. La révision de cet été répond aux évolutions récentes de la recherche clinique, visant à réduire les délais de mise en place des essais cliniques et à affiner les coûts entre promoteurs et investigateurs.
Les principaux changements apportés aux modèles de 2022 sont les suivants :
- Outre les RIPH 1 et 2, le modèle intègre désormais les essais de médicaments, les investigations sur les dispositifs médicaux et les études des performances sur les dispositifs de diagnostic in vitro
- Deux nouvelles annexes ont été ajoutées : l’une concerne les clauses relatives à la mise à disposition de matériel et d’équipements, l’autre se concentre sur les clauses relatives aux ressources biologiques. Ces annexes aux clauses très générales sont optionnelles, offrant une flexibilité aux parties signataires de la convention. Pour les projets plus complexes, des accords supplémentaires pourront être nécessaires et le contenu de ces annexes pourra être modifié.
- La matrice des coûts et surcoûts liés à la réalisation des recherches à finalité commerciale a également été modifiée, avec une hausse des montants unitaires et l’introduction de nouveaux coûts
Ainsi sur les nouveaux coûts, par exemple, en plus de la consultation d’inclusion visant notamment à recueillir le consentement, il est prévu également une « Consultation pour consentement éclairé supplémentaire 45 min »). De même, pour les essais décentralisés, une ligne est créée pour valoriser, chaque envoi de produits expérimentaux ou auxiliaires au domicile ou lieu de vie du patient.
Si ce modèle ne s’applique pas aux promoteurs académiques, certaines dispositions pourront être reprises.
Il sera noté que ces nouveaux modèles, que ce soit pour les établissements coordonnateurs ou les établissements associés, s’appliqueront pour toute convention unique conclue à partir du 4 août 2024.
On notera également que la Direction générale de l’offre de soins (DGOS) a mis en place une foire aux questions (FAQ) et une note d’information.
Cette dernière a également lancée un recensement du 13 juin 2024 au 10 octobre 2024 (à 23h59), pour mesurer l’impact de la convention unique, et notamment le délai de contractualisation entre le responsable légal du lieu de la recherche et le promoteur de l’étude commerciale. Les établissements investigateurs ont ainsi jusqu’au 10 octobre 2024 pour soumettre leurs dossiers sur la plateforme dédiée : « demarches-simplifiees.fr ».
Une avancée juridique alignée sur le droit européen : Suppression d’une disposition controversée dans la recherche clinique
Le décret n°2024-795 du 8 juillet 2024 marque un tournant important pour le cadre juridique français relatif aux investigations cliniques et aux études de performances.
Ce texte a abrogé l’alinéa 2 de l’article R. 1121-1-1 du Code de la santé publique, qui définissait les recherches impliquant la personne humaine (RIPH) portant sur les dispositifs médicaux comme toute investigation clinique visant à déterminer ou confirmer leurs performances, à identifier d’éventuels effets indésirables, et à évaluer les risques en regard des performances assignées au dispositif.
Cette suppression, qui est à saluer, s’inscrit dans une volonté de conformité avec le droit européen. En effet, le cadre juridique français sur la recherche clinique, qui trouve ses origines dans la loi Huriet-Sérusclat de 1988, a connu une évolution majeure en 2014 puis en 2017 avec l’adoption des règlements européens relatifs aux médicaments, aux dispositifs médicaux (DM) et aux dispositifs médicaux de diagnostic in vitro (DMDIV).
Cependant, une incohérence persistait dans la réglementation française, qui continuait d’inclure les essais de médicaments, les investigations cliniques sur les DM et les études de performance sur les DMDIV dans les RIPH, en totale contradiction avec le droit européen.
Si cette initiative législative représente une première tentative de clarification bienvenue, on ne peut que regretter toutefois que le législateur n’ait pas été plus loin. En effet, la suppression du premier alinéa de cet article aurait également été nécessaire pour supprimer également toute référence aux essais de médicaments.
Le décret du 8 juillet 2024 apporte également des dispositions nouvelles concernant les études de performance relatives aux dispositifs médicaux de diagnostic in vitro (DMDIV).
En effet, un nouveau chapitre a été intégré à la partie réglementaire du code de la santé publique, introduisant plusieurs dispositions (articles R. 1126-1 au R. 1126-32 du CSP).
On y trouvera notamment les modalités spécifiques pour l’examen de ces études par les comités de protection des personnes (correspondant au comité éthique mentionné dans le DMDIV). Plus précisément les modalités concernant la procédure d’évaluation, les conditions d’assurance des promoteurs, des conditions d’autorisation de certains lieux d’étude des performances, des aspects financiers, ainsi que des mesures de suspension, d’interdiction ou de fin de ces études sont également précisées.
HORIZONS EUROPÉENS
Italie : une erreur sur le destinataire des données de santé se paie chère !
L’autorité italienne de protection des données, Garante per la protezione dei dati personali, a récemment rendu une décision concernant la divulgation accidentelle de données sensibles.
Dans cette affaire, une personne séropositive, ayant obtenu le statut de personne handicapée, a vu son certificat médical transmis par erreur à l’employeur de son gendre. Ce dernier avait sollicité des jours de congés pour prendre soin de cette personne, conformément à la loi italienne.
L’employeur a alors demandé à l’autorité sanitaire de vérifier la véracité du statut de handicap. Pour autant, au lieu de fournir une confirmation succincte, l’autorité sanitaire a transmis l’intégralité du certificat, révélant ainsi le diagnostic de VIH de la personne.
L’autorité a jugé que cette transmission contrevenait aux principes de minimisation des données et de sécurité, tels qu’établis par l’article 5 du RGPD. En effet, il n’était pas nécessaire de divulguer les informations relatives à la santé pour vérifier la demande de congé.
En outre, l’article 75 du code italien sur la protection des données interdit explicitement de révéler des informations sur le VIH à des tiers sans le consentement du patient.
Malgré les justifications avancées par l’autorité sanitaire, qui a évoqué un contexte de surcharge de travail en raison de la pandémie de COVID-19, l’autorité de contrôle a conclu à une violation des règles de protection des données.
Ainsi, définir les destinataires des données personnelles de ses traitements est un bon début, mais délimiter précisément le champ des données auxquels ils peuvent avoir accès est encore mieux !
POUR ALLER + LOIN
La gestion qualité des ESSMS et le RGPD : Une synergie existe !
L’évaluation de la qualité dans les ESSMS, via le référentiel de la HAS, va au-delà de l’amélioration des services : elle se croise également avec les exigences du RGPD. En documentant la sécurité des données et en respectant les critères de sécurisation des accès, les ESSMS répondent non seulement aux attentes de la HAS mais aussi aux obligations légales de protection des données sensibles. Une synergie entre les experts en qualité et ceux du RGPD pourrait ainsi incontestablement renforcer ces démarches.
Par ailleurs, l’accès aux informations médicales par des évaluateurs externes soulève des questions de responsabilité en matière de données personnelles. Clarifier le rôle exact des évaluateurs externes à l’aune du RGPD reste essentiel.
Nous vous proposons d’apporter ce mois-ci ces pistes de réflexion sur notre blog en cliquant ici.
DECISION DU MOIS
Sanction de la commune KOUROU : La foudre de la CNIL frappe deux fois au même endroit
Souvenez-vous, nous vous en parlions lors d’une précédente datactu : La commune de Kourou sanctionnée en décembre 2023 par la CNIL d’une amende de 5 000 euros pour n’avoir ni désigné de délégué à la protection des données (DPO), ni coopéré avec l’autorité, malgré une injonction d’avril 2022. Une astreinte de 150 euros par jour de retard avait alors été imposée, ainsi qu’une obligation d’informer les usagers sur son site web.
En juillet 2024, la CNIL a prononcé une nouvelle sanction contre la commune, liquidant l’astreinte à hauteur de 6 900 euros, cette dernière ne s’étant toujours pas conformée à ses obligations.
La morale reste la même : le manquement à l’obligation de désigner un DPO pour un organisme public est une infraction majeure.
CEGEDIM : Amende record pour un entrepôt de données de santé sauvage
Impossible de passer à côté de cette actualité qui a fait beaucoup de bruits ! La CNIL a infligé une amende de 800 000 euros à CEGEDIM Santé pour avoir traité des données de santé sensibles sans autorisation, notamment via un entrepôt de données de santé sauvage (c’est-à-dire n’ayant fait l’objet d’aucune formalité préalable).
L’entreprise, qui gère des logiciels pour environ 25 000 cabinets médicaux, proposait à un panel de médecins de ville utilisant ce logiciel d’adhérer à un observatoire en vue de collecter des données issues des dossiers des patients. Ces données étaient relatives à la fois au dossier administratif des patients, au dossier médical, aux prescriptions pharmaceutiques. En cas d’adhésion à l’observatoire , les données contenues dans les logiciels des médecins étaient extraites dans le flux d’un logiciel, de manière non anonyme, afin d’être ensuite utilisées dans le cadre d’études et de statistiques dans le domaine de la santé réalisées par les clients de la société.
CEGEDIM Santé a invoqué pour se défendre le caractère anonyme des données ; argument que la CNIL a écarté. Selon l’autorité de contrôle CEGEDIM Santé traitait des données pseudonymisées, permettant potentiellement la réidentification des personnes concernées.
Par ailleurs, la société CEGEDIM Santé soutenait que le traitement qu’elle mettait en œuvre ne constituait pas un entrepôt de données de santé, mais un réseau de médecins qui acceptent de transmettre des données anonymes issues de leurs dossiers médicaux aux partenaires de la société CEGEDIM SANTÉ. Elle estimait également que la nature transitoire du flux, dans lequel les données n’étaient conservées que trois mois, démontre qu’il ne s’agissait pas d’une base de données pérenne tel un entrepôt.
La formation restreinte de la CNIL a là encore considéré le contraire, au regard de :
- la collecte massive des données de santé de patients et de médecins ;
- l’alimentation sa base au fil de l’eau, afin d’obtenir un volume important de données (remontée journalière des données depuis les postes des médecins) ;
- mise à disposition des données aux clients de Cegedim qui réalisent des études et des statistiques dans le domaine de la santé.
Ces manquements, liés à l’absence de formalité préalable (déclaration au référentiel ou demande d’autorisation à la CNIL), ont été sanctionnés conformément à l’article 66 de la loi Informatique et Libertés.
Par ailleurs, et en parallèle de cette affaire, deux autres sociétés ont également été sanctionnées pour ne pas avoir réaliser les démarches nécessaires en amont de la constitution d’un EDS : une société spécialisée dans la gestion de flux numériques entre professionnels de santé (200 000 €) et une autre réalisant des statistiques pour des autorités de santé (800 000 €).
Ces différentes sanctions nous rappellent l’importance de la maîtrise des processus de gestion des données de santé, dès la conception des projets, et ce, afin d’éviter de se retrouver en situation de non-conformité face à la règlementation sur les données personnelles.
Pour rappel, les modalités liées à la constitution d’un « entrepôt de données de santé » peuvent être résumé ainsi :
PERSPECTIVES & CHANGEMENTS
Une nouvelle stratégie interministérielle annoncée, un pas de plus vers le partage secondaire des données de santé
Une stratégie interministérielle sur les données de santé définissant les actions futures concernant l’utilisation secondaire des données de santé, notamment à la lumière des nouvelles réglementations européennes est en cours d’élaboration et une consultation publique sera lancée le 30 septembre prochain.
En effet, dans une volonté de mise en place d’un marché unique des données pour favoriser leur réutilisation, l’Union européenne a adopté plusieurs textes :
- Tout d’abord, le règlement sur la gouvernance des données (Data Gouvernance Act – « DGA ») : ce texte, qui n’est pas spécifique au secteur de la santé, vise à faciliter le partage des données entre les différents secteurs d’activité et entre les États membres. Le DGA est entré en vigueur le 23 juin 2022 et, après un délai de grâce de 15 mois, Il est applicable depuis septembre 2023.
- Ensuite le règlement européen sur les données (« Data Act »), ce texte entrera en application le 12 septembre 2025[1]: ce règlement permet de mettre davantage de données à disposition en vue de leur réutilisation au moyen de nouvelles règles pour déterminer qui peut accéder aux données et les utiliser, et à quelles fins, dans tous les secteurs économiques de l’UE.
- Enfin et non des moindres, le règlement relatif à l’espace européen des données de santé : ce texte impose aux détenteurs de données de santé de mettre à disposition des données de santé électroniques. Les données de santé électroniques s’entendent d’une part des données de santé électroniques à caractère personnel et d’autre part, les données de santé électroniques à caractère non personnel.
Du côté de la France, la réutilisation des données de santé est encadrée par la loi Informatique et Libertés dont la CNIL et le CESRESS assurent l’application.
Récemment, d’importants investissements ont été menés et des appels à projets ont été lancés pour encourager la constitution de bases de données de santé, et notamment les entrepôts de données de santé hospitaliers. C’est ainsi qu’en janvier dernier est sorti le rapport Marchand Arvier qui rendait différentes recommandations pour « libérer l’utilisation secondaire des données ».
C’est dans cette continuité qu’une stratégie interministérielle sur les données de santé a récemment été annoncée et sera mise à consultation publique dès le 30 septembre prochain.
Pour en savoir plus, nous vous invitons à visionner nos vidéos sur le sujet :
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.