DATACTU JURIDIQUE #18 NOVEMBRE 2024
Lettre rédigée le 18 novembre 2024 par Me Raphaël Cavan avec la participation de Me Laurence Huin
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
LES RECO CNIL DU MOIS
Sous-traitance de données personnelles : les recommandations du CEPD pour une gestion conforme et sécurisée des données personnelles
Le Comité européen de la protection des données a adopté un avis le 7 octobre 2024 portant sur les obligations du responsable de traitement en matière de gestion de sous-traitants et de sous-traitants ultérieurs.
Pour rappel, le CEPD est une institution européenne qui a pour rôle de veiller à l’application cohérente du règlement général sur la protection des données (« RGPD ») au sein de l’Union européenne (« UE ») et d’émettre des avis pour guider les pratiques en matière de protection des données personnelles.
Ce nouvel avis du CEPD vise à éclairer les responsables de traitement sur leur niveau de responsabilité en matière de respect des garanties mises en œuvre par leurs sous-traitants et les sous-traitants ultérieurs de ces derniers.
En effet, l’article 28 du RGPD précise le cadre d’intervention d’un sous-traitant amené à traiter des données personnelles pour le compte du responsable de traitement et recense notamment l’ensemble des mentions devant obligatoirement apparaitre dans le contrat existant entre le responsable de traitement et son sous-traitant.
À ce titre, le CEPD fournit aux responsables de traitement des conseils pratiques pour assurer la conformité au RGPD dans la chaîne de sous-traitance mise en place, pour ainsi réduire les risques juridiques et renforcer, par voie de conséquence, la confiance des personnes concernées par les traitements de données réalisés.
Le CEPD insiste donc sur l’importance pour le responsable de traitement de maintenir une documentation interne à jour, détaillant les garanties et processus en place pour ses sous-traitants et leurs sous-traitants éventuels, notamment :
- La liste à jour des sous-traitants intervenant dans un traitement de données personnelles, comprenant le nom, prénom et coordonnées du point de contact ;
- L’identification et l’évaluation de tous les sous-traitants impliqués dans le traitement de données personnelles. À ce titre des opérations de contrôles (audits sur place ou sur pièces) doivent être sollicités par le responsable de traitement, en vertu de l’article 28.3.h du RGPD, dont l’étendue des vérifications et évaluations réalisées variera d’un traitement à un autre selon son niveau de sensibilité ;
- S’assurer des flux des données mis en œuvre en dehors de l’Espace économique européen (« EEE») soient bien encadrées et sécurisées, là encore, à travers des opérations d’audit.
Ainsi, et à titre d’illustration, un responsable de traitement collaborant avec des acteurs de la recherche scientifique situés en dehors de l’Union européenne ont tout intérêt à faire preuve d’une vigilance renforcée sur la protection des données, notamment concernant les flux de données réalisés.
La relation contractuelle entre le promoteur européen et l’investigateur situé hors de l’UE peut être illustré ainsi :
Pour le promoteur français, responsable de traitement, cela suppose de s’assurer que le centre investigateur situés hors de l’Union européenne ayant accès à des données personnelles respecte les normes européennes en réalisant des audits de sécurité réguliers sur les modalités techniques des transferts de données personnelles réalisés en dehors de l’EEE.
Le responsable de traitement doit donc inclure des clauses de contrôle dans les contrats pour assurer une supervision continue et pouvoir demander des preuves de conformité, en documentant toutes ces démarches pour garantir la traçabilité et répondre aux exigences de conformité.
Ainsi, le responsable de traitement doit dans tous les cas être en mesure de s’appuyer sur son délégué à la protection des données pour pouvoir évaluer le niveau de risque inhérents à ses traitements, et identifier les garanties juridiques et techniques pouvant être mises en œuvre pour renforcer ces aspects.
Pour consulter les recommandations du CEPD, cliquer ici
ACTUALITÉS SANTÉ NUMÉRIQUE
La CNIL autorise un EDS constitué à partir de données pseudonymisées collectées auprès des médecins libéraux de ville volontaires
Le 13 septembre 2024, la Commission nationale de l’informatique et des libertés (« CNIL ») a accordé à la société Gers SAS (Cegedim health data), l’autorisation de créer un entrepôt de données (« EDS ») de santé baptisé « THIN ».
Hébergé sur le cloud de Cegedim, certifié hébergeur de données de santé auprès de l’ANS, cet entrepôt stockera les données pseudonymisées collectées auprès de médecins libéraux volontaires, telles que le département du lieu d’habitation des patients, leurs antécédents médicaux, les actes médicaux réalisés, les prescriptions de vaccins, les produits prescrits et délivrés…
L’objectif de cet entrepôt est de réaliser des recherches et des études non interventionnelles portant notamment sur :
- l’analyse de l’usage du traitement, des indicateurs d’observance et de persistance, de la prise en charge et des schémas thérapeutiques, des changements de traitements et des parcours des patients ;
- la réduction de l’errance de diagnostic par analyse prédictive de survenue des maladies ;
- l’évaluation de la bonne utilisation des médicaments (interactions médicamenteuses, effets secondaires, posologies prescrites respectant les recommandations de la Haute autorité de santé, etc. ) ;
- l’évaluation de la consommation de soins et de coûts de prise en charge des patients à des fins d’études médico-économiques ;
- les calculs de prévalence, d’incidence et évaluant le fardeau de la pathologie ;
- le suivi des campagnes de vaccination et de dépistage au cabinet médical ;
- le suivi de crises épidémiques.
À cet effet, une liste des études réalisées dans le cadre de cet EDS sera prochainement publié sur son site web .
Enfin, rappelons tout de même que le 5 septembre 2024, la CNIL avait infligé une amende de 800.000 euros à Cegedim Santé, pour avoir mis en œuvre un EDS sans avoir réalisé de demande d’autorisation auprès de la CNIL ou de déclaration de conformité à son référentiel EDS.
Cyberattaques : les établissements de santé toujours en première ligne
Le dernier rapport de l’ANSSI, publié le 7 novembre 2024, alerte sur la montée en puissance des cybermenaces ciblant les établissements de santé.
Le secteur de la santé, soumis à des contraintes de disponibilité et de confidentialité, fait face à des attaques variées : rançongiciels, exfiltration de données et tentatives de fraude, causant des interruptions de soins, des fuites de données sensibles et des risques accrus pour les patients.
Parmi les incidents et signalements transmis à l’ANSSI entre janvier 2022 et décembre 2023, 86 % concernaient des établissements de santé, 7 % des organisations productrices de produits pharmaceutiques, 5 % des centres de recherche médicale et 2 % les ministères en charge des politiques de santé et leurs établissements publics. Ces cyberattaques exposent également des failles organisationnelles et techniques, notamment liées à des infrastructures anciennes et peu sécurisées. À titre d’illustration, le rapport précise qu’entre 2022 et 2023, l’ANSSI a été informée de 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé. Ces incidents représentent 10 % des incidents liés à des rançongiciels signalés à l’ANSSI sur cette période.
L’ANSSI formule dans son rapport des recommandations à destination des établissements de santé, parmi lesquelles figurent notamment :
- le renforcement de la segmentation des réseaux,
- le recours à l’authentification multi-facteurs,
- ainsi que la formation et la sensibilisation du personnel aux bonnes pratiques de cybersécurité.
L’ANSSI souligne également l’importance de la planification de la résilience, en prévoyant des plans de continuité d’activité pour minimiser l’impact des incidents.
Enfin, la coordination avec des entités spécialisées comme le CERT Santé est essentielle pour une réponse rapide et efficace. Pour rappel, le CERT Santé (Centre de réponse aux incidents cyber pour le secteur de la santé) est une entité dédiée à la cybersécurité des établissements de santé en France.
Hébergé par l’Agence du Numérique en Santé (« ANS »), il a été créé pour accompagner les établissements de soins, médico-sociaux et les autres acteurs du secteur de la santé dans la prévention et la gestion des incidents de sécurité informatique.
Ce rapport met donc en évidence la nécessité d’un investissement durable dans la cybersécurité des établissements de santé et médico-sociaux, qui ont tout intérêt à s’inscrire dans les programmes de financement nationaux et les appels à projets.
Par ailleurs, ces établissements doivent s’attendre à un renforcement des exigences de sécurité à venir avec les nouvelles recommandations de la CNIL sur la gestion du dossier patient informatisé (« DPI »), présentées lors de sa séance plénière du 17 octobre dernier, pour protéger non seulement les données de santé des patients mais aussi garantir le bon fonctionnement de leurs services pour accompagner les patients pris en charge.
Pour consulter le rapport de l’ANSSI et ses recommandations, cliquer ici
RECHERCHES
La stratégie du réseau des agences européennes des médicaments 2025-2028
Le réseau EMA-HMA a publié sa stratégie 2025-2028 pour guider les agences européennes dans un contexte de transformation technologique et réglementaire rapide.
Ce plan, validé en octobre 2024 par le comité exécutif de l’EMA (« European Medicines Agency » : le réseau des directeurs des agences nationales, compétentes en matière de réglementation des médicaments et des produits de santé à usage humain et vétérinaire au sein de l’espace économique européen), vise à remplacer la stratégie 2021-2025 en tenant compte des nouvelles priorités imposées par les avancées technologiques – notamment l’intelligence artificielle (IA) – et les besoins en matière de régulation des médicaments.
Les objectifs portés par la nouvelle stratégie sont les suivants :
- Accessibilité : Améliorer l’accès des patients aux médicaments en harmonisant les processus avec les HTA et les organismes de remboursement.
- Exploitation des données et IA : Utiliser les données et l’IA pour optimiser les décisions réglementaires tout en garantissant la sécurité et la qualité des données.
- Innovation et compétitivité : Soutenir l’innovation pharmaceutique et positionner l’Europe comme un acteur compétitif en matière de recherche et développement de médicaments.
- Résistance antimicrobienne et menaces sanitaires : Adopter une approche intégrée pour prévenir la résistance antimicrobienne et préparer les réponses aux crises sanitaires.
- Disponibilité des médicaments : Réduire les pénuries de médicaments critiques en renforçant la chaîne d’approvisionnement et en coordonnant des stratégies de stockage.
- Durabilité du réseau : Assurer les ressources et les compétences nécessaires pour pérenniser l’efficacité et l’adaptabilité du réseau des agences européennes de santé.
Ainsi, la nouvelle stratégie fait de l’appropriation de l’IA une priorité pour les trois prochaines années, évoquant une véritable « transition numérique », notamment dans le domaine de la pharmacovigilance.
En effet, l’EMA et le HMA misent sur l’IA pour améliorer l’efficacité du travail fourni par les membres de leur réseau tout au long du cycle de vie du médicament (développement, production, évaluation de la sécurité), notamment à travers l’automatisation des processus permettant de traiter plus rapidement et efficacement les signalements d’effets indésirables grâce à l’analyse de grandes quantités de données.
Par ailleurs, le réseau EMA-HMA souhaite maximiser la production, l’interopérabilité, l’utilisation et l’échange de données en intégrant des données de santé issues de la plateforme européenne d’analyse de données de vie réelle Darwin (« Data Analysis and Real World Interrogation Network ») et les données individuelles des patients issues d’essais cliniques dans ses systèmes de pharmacovigilance, et ce, pour d’améliorer les modèles de détection et les processus décisionnels des membres de son réseau.
Cet objectif nécessite notamment l’établissement de normes communes d’interopérabilité, de standardisation et de qualité des données de santé, en tenant compte des biais potentiels et des considérations éthiques.
En effet, selon la stratégie EMA-HMA, un renforcement de la gouvernance des données à travers l’harmonisation des normes précitées permettrait de faciliter la collaboration dans les projets de recherche clinique multicentriques, le partage sécurisé des données avec d’autres acteurs, ainsi que l’accès aux bases de données européennes.
À noter que la stratégie interministérielle pour le patrimoine national des données de santé 2025-2028 présentée en septembre 2024 s’aligne également avec cet objectif de maximiser la production, l’interopérabilité, l’utilisation et l’échange de données de santé pour soutenir la prise de décision en santé.
Elle vise, tout comme le réseau EMA-HMA, à harmoniser les normes d’interopérabilité et de qualité des données, en anticipant les enjeux de sécurité et d’éthique dans le cadre de la réutilisation des bases de données de santé prévue par l’Espace Européen des Données de Santé (« EEDS »).
Pour autant, bien que la stratégie interministérielle française et la stratégie EMA-HMA poursuivent les mêmes objectifs, il sera nécessaire de limiter les écarts en termes de gestion et d’accès aux données prévus par les standards européens à venir et les standards nationaux annoncés.
En résumé, le réseau EMA-HMA entend faire de la pharmacovigilance un domaine plus prédictif et dynamique grâce à l’automatisation, à l’utilisation de l’IA, et à une meilleure intégration des données de santé en vie réelle, soutenant ainsi une surveillance renforcée et proactive de la sécurité des médicaments.
Pour consulter la stratégie, cliquer ici.
HORIZONS EUROPÉENS
La continuité dans les services de DPO : Y avez-vous pensé ?
L’autorité de protection des données personnelles italienne (Garante per la protezione dei dati personali), équivalente de la CNIL en France, a récemment statué sur l’importance, pour les responsables de traitement, de garantir la continuité des missions du Délégué à la Protection des Données (« DPO »).
Cette décision met en lumière les obligations de rigueur et de permanence que les responsables de traitement doivent adopter pour répondre efficacement aux demandes d’exercice des droits des individus.
Dans cette affaire, l’autorité italienne a infligé une amende de 4 000 € à une entreprise en raison d’une mauvaise gestion des demandes d’accès et d’effacement de données personnelles, en partie causée par l’absence de mesures garantissant la continuité des activités du DPO.
En effet, le DPO de l’entreprise avait pris des congés et était le seul à avoir accès à la boîte mail dédiée à la réception des demandes d’exercice des droits des personnes concernées, prévues par le Règlement Général sur la Protection des Données (« RGPD »).
Rassurons nos lecteurs, l’autorité italienne n’a pas sanctionné l’entreprise pour avoir permis à son DPO de prendre des vacances, mais pour ne pas avoir mis en place de mesures internes permettant à d’autres salariés de prendre connaissance des demandes reçues sur la boîte mail dédiée au DPO en son absence.
Cette décision souligne l’importance et la nécessité de formaliser des processus internes pour une gestion systématique des droits des personnes, même en cas d’absence ou de rotation du DPO.
Parmi les solutions envisageables, la mise en place d’une charte informatique encadrant les modalités d’absence et de départ d’un collaborateur, ainsi que l’établissement d’une procédure dédiée aux demandes d’exercice des droits, sont recommandées.
Ces solutions sont essentielles pour les établissements, en particulier lorsqu’ils collectent et traitent des données sensibles de santé au sens de l’article 9 du RGPD.
En effet, bien que le RGPD fixe un délai de traitement d’une demande d’exercice des droits à un mois à compter de sa réception (article 12.3 du RGPD), ce délai est réduit à huit jours lorsque la demande porte spécifiquement sur le droit d’accès à des données de santé (article L.1111-7 du Code de la santé publique). La gestion des délais est donc cruciale pour un responsable de traitement !
Ainsi, avoir un DPO en interne est déjà une bonne pratique, mais s’assurer de la permanence de ses services auprès des personnes concernées est également essentiel.
DECISION DU MOIS
Quand une donnée personnelle en cache une autre… : La CJUE confirme l’utilisation du critère de déduction pour identifier une donnée de santé
Dans un arrêt du 4 octobre 2024, la Cour de justice de l’Union européenne (ci-après « CJUE ») a clarifié des questions relatives à la concurrence déloyale et à la définition de données de santé.
Dans ce litige porté devant la CJUE, un pharmacien a poursuivi en justice un confrère en Allemagne pour contester sa pratique de vendre sur le site internet Amazon des médicaments réservés aux pharmacies.
Le requérant affirme que cette pratique constitue une pratique de concurrence déloyale et ne garantit pas le consentement préalable des clients pour le traitement de leurs données de santé. Les juridictions de première instance et d’appel ont fait droit à sa demande.
Le pharmacien contestant la pratique de son confrère sur le site Amazon a par la suite introduit un recours devant la Cour fédérale de justice allemande, qui a soumis deux questions préjudicielles à al CJUE (procédure par laquelle une juridiction nationale d’un Etat membre de l’Union Européenne saisit la CJUE pour lui demander des précisions sur l’interprétation ou la validité de règles du droit de l’UE applicables au litige) :
- Le règlement général sur la protection des données (« RGPD») s’oppose-t-il aux dispositions nationales autorisant un concurrent à agir en justice pour violation de ce règlement, au titre des pratiques commerciales déloyales ?
- Les informations que les clients saisissent lors d’un achat de médicament réservé au pharmacien non soumis à une prescription médicale sur une plateforme en ligne constituent-elles des données de santé au sens de l’article 9 du RGPD ?
La CJUE a répondu par la négative à la première question et à l’affirmative à la seconde,
Sur la question relative à la concurrence déloyale, la Cour avance que le chapitre VIII du RGPD n’exclut pas la possibilité d’une telle action et rappelle que l’accès aux données personnelles et leur traitement sont désormais des éléments clés de la concurrence. En effet, le non-respect du RGPD peut donner un certain avantage concurrentiel sur le marché.
Ainsi, la Cour répond que le RGPD ne s’oppose pas à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’intenter une action en justice sur le fondement de la violation du règlement et sur le fondement de l’interdiction des pratiques commerciales déloyales. Bien au contraire, ces deux voies de recours permettent de renforcer les droits des personnes concernées.
Sur la question relative à la définition des données de santé, la Cour apporte des précisions sur la notion de « données de santé ».
Pour rappel, les données de santé sont des données sensibles au sens de l’article 9 du RGPD en ce qu’elles révèlent des informations relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.
La notion de donnée de santé s’apprécie au cas par cas. La CNIL distingue trois catégories :
- Les données de santé par nature (un traitement médical, ou un antécédent) ;
- Les données qui deviennent des données de santé par leur croisement dans la mesure où elles permettent de tirer des informations sur l’état de santé de la personne (La CNIL donne pour exemple l’information sur l’aptitude d’une personne à exercer une activité sportive. Cette information n’est pas une donnée de santé sauf lorsqu’elle est associée et/ou croisée avec d‘autres données, comme dans le cadre de délivrance d’un certificat médical) ;
- Les données qui deviennent des données de santé en raison de leur destination (leur utilisation sur le plan médical).
Dans sa décision, afin de qualifier les données récupérées lors de la commande, la CJUE reprend le critère de déduction introduit dans son arrêt rendu le 1er aout 2022, en avançant qu’une donnée à caractère personnel est qualifiée de donnée de santé, lorsqu’elle est de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé de la personne concernée.
Ainsi, les données qu’un client saisit sur une plateforme en ligne lors de sa commande de médicaments dont la vente est réservée aux pharmacies sont de nature à révéler des informations sur son état de santé et peuvent, par conséquent, être qualifiées de données de santé au sens de l’article 9 du RGPD.
Notons tout de même deux précisions que la Cour apporte :
- Cette qualification de donnée de santé s’applique indépendamment de l’obligation de prescription pour ces médicaments ;
- Lorsque des médicaments sont commandés pour une autre personne que le client (par exemple, un parent pour son enfant), la Cour considère que ces informations constituent des données de santé, même si l’on suppose, avec une probabilité élevée mais sans certitude absolue, que les médicaments sont destinés à cette personne.
À travers cet arrêt, la CJUE apporte des précisions importantes sur l’articulation entre l’action en concurrence déloyale et le RGPD, ainsi que de précieuses clarifications sur la méthode d’identification d’une donnée de santé au sens de l’article 9 du RGPD, renforçant par la même occasion l’intérêt pour les acteurs de la recherche scientifique, intervenant dans un secteur particulièrement concurrentiel, d’assurer leur conformité au RGPD et de prêter une attention toute particulière sur la nature des données personnelles traitées.
Pour consulter la décision de la CJUE, cliquer ici.
PERSPECTIVES & CHANGEMENTS
Le Parlement européen demande une révision du règlement DM et du règlement DM-DIV
Le Parlement européen a adopté, le 21 octobre 2024, une résolution pour demander à la Commission européenne une révision urgente des deux règlements européens, à savoir :
- Le règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 concernant les dispositifs médicaux (« MDR » pour « Medical Device Regulation »),
- Le règlement (UE) 2017/746 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux de diagnostic in vitro (« IVDR » pour « In Vitro Diagnostic Medical Devices Regulation »).
La demande de révision de ces deux textes intervient en raison de difficultés de mise en œuvre et de risques de pénurie de dispositifs médicaux (« DM ») :
- La transition vers ces nouvelles réglementations a été marquée par de nombreuses difficultés et par plusieurs reports pour permettre aux acteurs de l’industrie de s’adapter aux nouvelles règles, éviter le retrait de dispositifs du marché et garantir un approvisionnement continu en DM, en particulier durant la crise de la COVID-19 ;
- En outre, le Parlement constate que l’absence de procédures harmonisées entre les organismes notifiés dans l’UE entraîne, pour certains fabricants de DM, des délais imprévisibles pour la certification et l’accès au marché, créant de l’incertitude, de l’incohérence dans les décisions, ainsi qu’un manque de transparence concernant le travail des organismes notifiés ;
- Par ailleurs, malgré les initiatives de la Commission européenne pour soutenir cette transition, comme l’amélioration de la disponibilité des dispositifs médicaux sur le marché, la préparation des organismes notifiés, le développement de dispositifs orphelins et pédiatriques, le soutien aux PME et la dispense de redevances pour les conseils scientifiques dans des domaines critiques, des obstacles financiers et administratifs persistent, notamment dans les secteurs des dispositifs orphelins et pédiatriques.
Ces constats poussent le Parlement européen à demander à la Commission européenne l’adoption d’actes d’exécution et d’actes délégués avant la fin du premier trimestre 2025 pour compléter ou préciser les dispositions de ces règlements.
Pour information, un acte délégué est un acte non législatif de portée générale visant à compléter ou modifier certains éléments non essentiels de l’acte législatif concerné, tandis qu’un acte d’exécution est également un acte non législatif qui établit des règles détaillées pour permettre la mise en œuvre uniforme des actes juridiquement contraignants de l’Union européenne.
À travers l’adoption de tels actes, le Parlement incite également la Commission européenne à éliminer les re-certifications inutiles de produits, en soulignant que certaines mises à jour ou adaptations de produits ne devraient pas nécessairement entraîner une re-certification complète, ce qui génère une charge administrative excessive.
De plus, le Parlement demande également à la Commission d’envisager des procédures accélérées et prioritaires pour l’approbation de technologies innovantes dans les domaines où les besoins médicaux ne sont pas satisfaits et pour les dispositifs liés aux situations d’urgence sanitaire.
En outre, le Parlement souligne l’importance d’établir une définition des « dispositifs orphelins » afin de faciliter des mesures harmonisées dans l’UE et demande des règles spécifiques pour ces dispositifs, accompagnées de procédures d’évaluation plus efficaces, adaptées aux produits destinés à des marchés restreints, comme ceux destinés aux enfants ou aux maladies rares, tout en garantissant la sécurité des patients.
Ainsi, cette révision des règlements européens sur les DM laisse entrevoir des changements à venir impactant les acteurs de la santé qui devront être particulièrement vigilants à la publication de ces prochains textes.
Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité : NIS 2 se rapproche
Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, présenté au Conseil des ministres le 15 octobre 2024, vise à transposer trois directives européennes renforçant la sécurité informatique des systèmes d’information jugés « critiques » ou « essentiels » pour notre société.
Les directives européennes concernées par le projet de loi sont les suivantes :
- Directive « REC » : Adoptée pour renforcer la résilience des infrastructures critiques en Europe, cette directive impose aux États membres de protéger les secteurs vitaux afin de garantir la continuité des services essentiels face aux risques cyber. Elle identifie dans onze secteurs d’activité, notamment l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers ou encore la santé, des « fournisseurs de services essentiels » en tant qu’« entités critiques » indispensables au maintien des fonctions sociétales ou des activités économiques vitales dans le marché intérieur. En France, un dispositif d’identification des opérateurs publics ou privés considérés comme des « entités d’importance vitale » existe depuis 2006. Le projet de loi tend donc à réviser ce dispositif national en transposant la directive REC, en intégrant les nouvelles obligations prévues par celle-ci et en étendant son champ d’application à de nouveaux secteurs. Il est ainsi important de noter que les termes « entités d’importance vitale » (au niveau national) et « entités critiques » (au niveau européen) désignent ici le même type d’entités.
- Directive liée au DORA : Destinée au secteur financier, cette directive harmonise les règles de gestion des risques liés aux technologies de l’information et de la communication, incluant des exigences de résilience et de contrôle des prestataires de services numériques, ce qui peut notamment avoir un impact sur les collaborations santé-finance.
- Directive « NIS 2 » : Cette directive définit des mesures visant à assurer un niveau élevé de cybersécurité commun dans toute l’Union européenne pour certaines entités qualifiées d’« essentielles » ou d’« importantes », en raison des services qu’elles fournissent et de leur taille. Le secteur de la santé est particulièrement impacté.
Les acteurs de la santé sont donc particulièrement concernés par cette proposition de loi, car ils peuvent être identifiés comme étant des « entités critiques » ou « d’importance vitale » (Directive REC), et/ou des « entités importantes » ou « entités essentielles » (Directive NIS 2).
À titre d’exemple, la directive REC vise toute entité titulaire d’une autorisation de distribution en gros de médicaments, au sens de la directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain.
De même, la directive NIS 2 inclut dans son champ d’application les prestataires de services de soins de santé (hôpitaux, centres médicaux, cliniques), les laboratoires médicaux (incluant les laboratoires d’analyses biologiques), les établissements de recherche médicale impliqués dans la R&D en santé, les fabricants de dispositifs médicaux et de médicaments essentiels, ainsi que les services numériques critiques pour la santé (comme les hébergeurs de données de santé ou les plateformes de télémédecine).
Les acteurs de la santé doivent donc prêter une attention particulière à l’adoption de cette proposition de loi, qui introduit de nouvelles obligations en matière de cybersécurité auxquelles ils devront se conformer, en particulier dans la mesure où ils devront eux-mêmes se déclarer auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’ils relèvent du champ d’application de la directive NIS 2.
Sur ce point, il apparaît d’ores et déjà, à la lecture de la directive NIS 2, que les établissements désignés comme opérateurs de services essentiels (OSE) dans le secteur de la santé seront classés comme des entités essentielles au sens de NIS 2.
Ainsi, les dispositions de la directive NIS 2 imposeront à ces entités de santé, qu’elles soient essentielles ou critiques, des mesures de cybersécurité strictes, incluant l’élaboration et la mise en œuvre de politiques de gestion des risques, des mesures de protection technique (gestion des accès, chiffrement, traçabilité) et des plans de continuité.
Elles devront également être en mesure de détecter et signaler les incidents de sécurité dans un délai de 24 heures auprès de l’autorité nationale compétente en matière de cybersécurité (en France, l’ANSSI), se soumettre à des audits réguliers et collaborer avec les autorités et les acteurs du secteur pour renforcer la résilience de leur structure.
L’ANSSI a mis en ligne une FAQ sur la directive NIS 2, offrant aux acteurs concernés une documentation pour les accompagner dans la compréhension de ce cadre juridique complexe.
Pour consulter le projet de loi, cliquer ici.
Cette lettre est réalisée par le
DÉPARTEMENT SANTÉ NUMÉRIQUE
Le département Santé numérique du Cabinet Houdart & Associés dispose d’une expertise en matière de recherche clinique et de traitement des données à caractère personnel et particulièrement appliqué au secteur de la santé.
Il accompagne des organismes du secteur de la santé, aussi bien en conseil qu’en contentieux, notamment devant la formation restreinte de la CNIL.
Les intervenants du département Santé Numérique sont en mesure d’intervenir sur différentes matières du droit : traitement des données de santé, systèmes d’information, recherche, propriété immatérielle et innovation.
Une question, une demande ?
Contactez nous :
par mail : [email protected]
par téléphone : +33(0)1 40 21 45 45
Depuis novembre 2024, elle est partenaire du pôle Santé Numérique du cabinet Houdart et associés et contribue à ce titre à Datactu.