Datactu Juridique #19
Février 2025
Me Raphaël Cavan, et Me Laurence Huin ont participé à la rédaction de cette lettre.
ÉDITO
Ça y est depuis le 8 janvier dernier nous disposons de la dernière version du projet de règlement européen sur l’Espace Européen des Données de Santé (EEDS ou EHDS en anglais) !
Ce texte a vocation à réguler le partage de données de santé à des fins primaires (le soin) mais également à des fins secondaires en Europe, voire au-delà.
Sans nul doute ce texte ne manquera pas de nous occuper les prochaines années d’ici sa pleine entrée en application : entre 2 et 10 ans de manière progressive selon les différentes obligations.
En attendant, nous nous sommes intéressés au 6ème cycle de la certification HAS des établissements de santé. Les critères posés par la nouvelle version 2025 du référentiel de la Haute autorité de santé poussent les établissements de santé à intégrer dans la sécurité et la qualité des soins délivrés aux patients une meilleure maitrise de leur système d’information, et une adaptation de celui-ci aux innovations numériques, notamment ceux ayant recours à l’intelligence artificielle.
Raphaël Cavan, avocat au cabinet, nous partage son analyse sur les différents défis numériques qui attendent les établissements de santé à l’aune de ces nouveaux critères posés par la HAS.
Cet article est issu de notre newsletter Datactu à laquelle nous vous invitons à vous abonner gratuitement pour ne rien manquer de l’actualité ! Vous y trouverez également un premier schéma pour vous expliquer le règlement EEDS car comme vous le savez – rien ne sert de courir, il faut partir à point.
•Les acteurs
de l’espace européen
des données de santé
par Me Raphaël Cavan et Me Laurence Huin
Le Règlement sur l’Espace européen des données de santé (EEDS ou EHDS en anglais) a été adopté par le Parlement européen et le Conseil de l’Union européenne le 8 janvier dernier.
En attendant sa signature officielle et sa publication au journal officiel, il est plus que temps de commencer à se familiariser à ce nouveau texte qui va bouleverser les acteurs de la santé.
C’est ce que nous vous proposons au travers d’un schéma qui récapitule les différents acteurs identifiés dans ce nouveau règlement sur la partie Réutilisation des données de santé (le chapitre IV pour les valeureux qui ont commencé à décortiquer le texte).
On continue à parler de responsable de traitement et de sous-traitant mais s’ajoutent les notions de :
• Détenteurs des données,
• Utilisateurs
• Organisme responsable de l’accès aux données (ORAD)
• Certification HAS : quels défis pour les hôpitaux en 2025 ?
par Me Raphaël Cavan et Me Laurence Huin
Les critères posés par la nouvelle version 2025 du référentiel de la Haute autorité de santé (« HAS ») poussent les établissements de santé à intégrer dans la sécurité et la qualité des soins délivrés aux patients une meilleure maitrise de leur système d’information, et une adaptation de celui-ci aux innovations numériques, notamment ceux ayant recours à l’intelligence artificielle.
Entre renforcement des acquis et recherche d’innovation, la HAS met au défi les établissements de santé pour l’ouverture de ce 6ème cycle de certification.
• 2025 : Quoi de neuf du côté de la CNIL ?
par Me Raphaël Cavan et Me Laurence Huin
La CNIL multiplie les initiatives pour encadrer et renforcer les pratiques numériques en matière de protection des données personnelles. De son plan stratégique pour les trois prochaines années à la révision des recommandations sur le vote électronique, en passant par la réutilisation des bases de données personnelles librement accessibles en ligne, ces mesures s’inscrivent dans une démarche globale d’accompagnement des organisations et de précisions de leurs obligations.
Nous vous proposons ici d’aborder ces quelques thématiques sur lesquelles la CNIL a récemment pu communiquer, et leurs incidences pour les établissements sanitaires et médico-sociaux.
• Cybersécurité hospitalière : l’Europe en renfort
par Me Raphaël Cavan et Me Laurence Huin
Face à la recrudescence des cyberattaques visant les établissements de santé, la Commission européenne a dévoilé, le 15 janvier 2025, un plan d’action pour renforcer la cybersécurité des hôpitaux et des prestataires de soins dans l’Union européenne.
Les menaces, allant des ransomwares aux intrusions dans les systèmes de données, exposent non seulement les infrastructures hospitalières à des risques financiers et opérationnels, mais peuvent également mettre directement en péril la vie des patients.
Selon la Commission européenne, le secteur de la santé est devenu l’un des plus ciblés par les cybercriminels, notamment en raison de la valeur stratégique des données de santé et de la transformation numérique accélérée, ce que constate également l’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI ») en France dans son rapport publié le 7 novembre 2024 sur l’état de la menace informatique dans le secteur de la santé.
La Commission européenne relève qu’entre 2021 et 2023, les attaques par rançongiciel représentaient 54 % des incidents de cybersécurité recensés visaient le secteur de la santé, compromettant la continuité des soins et retardant des interventions médicales critiques.
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES PUBLICATIONS
Digital Omnibus : redéfinition de la donnée personnelle, assouplissement du RGPD et liens avec l’EHDS et la réutilisation des données de santé.
Le Digital Omnibus dédié à l’IA revoit l’AI Act : gouvernance, biais, AI literacy, calendrier et allègements pour les entreprises.
Cyberattaque Weda : Que faire en tant que MSP ? Découvrez les étapes clés RGPD (notification CNIL, information patients) et comment sécuriser vos données après une violation de données.
Cette lettre est réalisée par le
DÉPARTEMENT SANTÉ NUMÉRIQUE
Le département Santé numérique du Cabinet Houdart & Associés dispose d’une expertise en matière de recherche clinique et de traitement des données à caractère personnel et particulièrement appliqué au secteur de la santé.
Il accompagne des organismes du secteur de la santé, aussi bien en conseil qu’en contentieux, notamment devant la formation restreinte de la CNIL.
Les intervenants du département Santé Numérique sont en mesure d’intervenir sur différentes matières du droit : traitement des données de santé, systèmes d’information, recherche, propriété immatérielle et innovation.
Une question, une demande ?
Contactez nous :
par téléphone : +33(0)1 40 21 45 45
par mail : [email protected]
Depuis novembre 2024, elle est partenaire du pôle Santé Numérique du cabinet Houdart et associés et contribue à ce titre à Datactu.