DATACTU JURIDIQUE #9 Septembre 2023
Article rédigé le 21 septembre 2023 par Me Laurence Huin, Me Adriane Louyer et Raphaël Cavan
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
LES RECO CNIL DU MOIS
Projet de recommandation CNIL sur la sécurité des systèmes d’information majeur en cas de violation
Dans ce projet de recommandation, la CNIL souhaite regrouper l’ensemble des pratiques avancées de sécurité qu’elle recommande de mettre en place pour un organisme qui réalise des traitements « critiques ». Elle identifie ces organismes par deux critères cumulatifs :
- Des traitements à grande échelle au sens du RGPD ;
- En cas de violation de données personnelles, celle-ci pourrait avoir des conséquences très importantes soit pour les personnes concernées, soit pour la sûreté de l’Etat ou pour la société dans son ensemble.
D’après ces critères exposés par la CNIL, les établissements de santé qui traitent un nombre important de données dont des données de santé doivent avoir conscience qu’ils sont concernés par cette notion de traitement critique. En effet, le dossier patient informatisé sera susceptible de constituer un traitement à grande échelle de données au regard des précisions du Comité européen à la protection des données sur la notion de traitement à grande échelle (voir les lignes directrices du G 29 (ex-CEPD) sur les AIPD) et que la violation de données personnelles pourra avoir des conséquences importantes pour les personnes concernées.
Au regard des recommandations dans le projet de la CNIL sur les traitements critiques, les établissements de santé devront mettre en place une gouvernance à la protection des données sur le périmètre des traitements critiques. La sécurité des traitements critiques devra bénéficier de moyens suffisants et devra faire l’objet d’une démarche d’amélioration continue. Il est également recommandé aux établissements de santé concernés de réaliser annuellement un bilan de sécurité des traitements critiques.
Afin d’assurer la sécurité des traitements, la CNIL recommande que les traitements critiques fassent l’objet d’une homologation de sécurité tel que le recommande l’ANSSI avant leur mise en œuvre. Par ailleurs, la CNIL recommande de mettre en place des mesures de traçabilité particulièrement poussée du système d’information sur lequel le traitement critique est réalisé et qui couvrirait tous les équipements utilisés pour ce traitement. La CNIL préconise que ses recommandations sur les mesures de journalisation soient appliquées.
Concernant les analyses d’impact relatives à la protection des données (AIPD) des traitements critiques, la CNIL recommande qu’une mise à jour de cette AIPD soit réalisée au moins une fois tous les deux ans afin de prendre en compte les risques pesant sur ces traitements. A ce titre, le CEPD dans ses lignes directrices indiquait qu’« une AIPD devrait faire l’objet d’un examen continu et être régulièrement réévaluée » sans toutefois mentionner une fréquence pour cette révision.
En outre, il sera recommandé aux organismes qui réalisent des traitements critiques devront mettre en place de nouvelles mesures organisationnelles dans leur service qui n’existaient pas forcément, et notamment :
- La désignation d’une personne référente en matière de protection des données et de sécurité pour chaque traitement critique. Cette personne sera l’interlocuteur principal du DPO et du RSSI en cas de besoin. Les absences et départs de cette personne référente devront être anticipés par l’organisme afin d’assurer la continuité de cette fonction ;
- réaliser régulièrement des exercices relatifs à la sécurité informatique, et ce au moins une fois tous les deux ans, ce qui est une bonne pratique mais n’était pas jusqu’à présent une recommandation ;
- la mise en place d’un centre opération de sécurité (COS ou SOC pour « security operations center ») soit en interne ou en externe qui disposerait d’outils dédiés à l’analyse des journaux pour les traitements critiques.
En pratique, la mise en place de ces mesures organisationnelles peut présenter un coût à la fois financier pour le recrutement de nouvelle personne mais également organisationnel avec la mise en place régulière d’exercice de sécurité informatique et de la révisions tous les deux ans des AIPD des traitements critiques.
La CNIL rappelle le risque en matière de cybersécurité que présente les interactions avec des tiers (sous-traitant, responsable de traitement conjoint, partenaire). En particulier dans le cas d’une sous-traitance de données personnelles, la CNIL recommande que le responsable du traitement déploie des efforts proportionnés pour s’assurer du respect des obligations du contrat et notamment de réaliser des audits régulièrement des sous-traitants les plus critiques. Enfin, les responsables de traitements identifiés comme des traitements critiques devraient se tourner vers des prestataires qualifiés selon les référentiels de l’ANSSI et s’inspirer du contenu de ces référentiels pour sélectionner et encadrer les prestations. Les organismes publics devront être particulièrement vigilant dans l’application de cette recommandation avec le principe de liberté d’accès à la commande publique prévu par le droit de la commande publique.
Dès lors, les organismes qui réalisent des traitements critiques devront avoir conscience de l’impact de ces recommandations dans la gestion de leur service et devront le cas échéant être en mesure de justifier auprès de la CNIL les écarts avec ces recommandations. Ces organismes ont jusqu’au 8 octobre 2023 pour participer à la consultation publique et faire remonter leurs suggestions à la CNIL avant l’adoption de ses recommandations définitives.
Nouveau référentiel CNIL sur les alertes professionnelles
A la suite de l’adoption de la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte, la CNIL a modifié son référentiel sur les alertes professionnelles. Après avoir fait l’objet d’une consultation publique, la version définitive de ce référentiel a été adoptée le 6 juillet 2023. La CNIL a également publiée une FAQ le 24 juillet dernier accompagnant la mise à jour de son référentiel.
Pour rappel, les personnes morales de droit public employant au moins cinquante agents (article 8, I.B,1° de la loi n°2016-1691 du 9 décembre 2016) ont l’obligation de mettre en place une procédure des signalements émis par les lanceurs d’alerte. Les obligations concernant cette procédure sont détaillées dans le décret n°2022-1284 du 3 octobre 2022. En outre, l’article L. 135-6 du code général de la fonction publique impose aux employeurs publics de mettre en place un dispositif de recueils des signalements des agents victimes d’actes de violence, de discrimination, de harcèlement et d’agissement sexistes.
Les modifications de ce référentiel concernent notamment :
- La modification du périmètre du référentiel qui vise à encadrer l’ensemble des dispositifs d’alerte professionnel, obligatoire ou mis en place à l’initiative de l’organisme, en fournissant un cadre unique pour tous ces dispositifs.
- La finalités des traitements des données collectées dans le cadre du traitement d’une alerte sont compléter et comprennent, en plus du recueil et traitement des signalements, la réalisation de vérifications, enquêtes et analyses nécessaires, de définir les suites à donner au signalement, d’assurer la protection des personnes concernées et d’exercer ou défendre des droits en justice.
- La modification récente de la réglementation sur les lanceurs d’alerte a permis de prévoir l’externalisation de la gestion des alertes internes. De ce fait la CNIL apporte des précisions et des points de vigilance dans une telle hypothèses.
- Une modification des durées de conservation qui pourront être conservées plus longtemps en raison des nouvelles finalités du traitement.
Dès lors, les établissements publics de santé concernés par la mise en place d’une procédure des signalement émis par les lanceurs d’alerte et par le dispositif de signalement des actes de violence, de discrimination, de harcèlement et d’agissements sexistes pourront mettre à jour leurs procédures et les traitements de données qui en découlent au regard de ce nouveau référentiel.
ACTU CYBERSÉCURITÉ
Publication d’un guide d’aide à la préparation au « plan blanc numérique »
Le ministère de la Santé a publié le 30 juin dernier au bulletin officiel santé-protection sociale-solidarité un guide d’aide à la préparation au « plan blanc numérique », à retrouver ici (à partir de la page 341).
Ce plan comprend plusieurs parties sur la préparation au risque numérique, sur l’élaboration d’un plan blanc numérique et sur la gestion d’un incident cyber au sein de la cellule de crise mais également dans la gestion de la continuité des soins et la prise en charge des patients en mode dégradé.
Ce guide aborde de manière succincte les questions de protection des données personnelles. Il convient de relever que le DPO n’est pas mentionné dans les personnes qui composent la cellule de crise ce qui pourrait toutefois s’avérer utile au même titre que le RSSI pour conseiller la direction sur la gestion de la violation de données personnelles.
ACTUALITÉ EN SANTÉ NUMÉRIQUE
Création du système d’information “LABOé-SI” pour la surveillance épidémiologique
Le décret n°2023-700 du 31 juillet 2023 relatif à la transmission obligatoire de données individuelles à l’autorité sanitaire et à la création du traitement de données à caractère personnel LABOé-SI ouvre la possibilité pour les médecins, et responsables des services et laboratoires de biologie médicale de transmettre des données individuelles aux autorités sanitaires pour certaines maladies qui restent à définir.
Le traitement LABOé-SI est mis en œuvre sous la responsabilité de la direction générale de la santé et prend la suite du système Sidep et Contact Covid qui avait été créées en mai 2020. Le périmètre des maladies concernées par ce traitement sera précisé par un arrêté du ministre de la Santé.
La place de la DNS au sein des ministères sociaux détaillée dans une instruction
A la suite de la publication d’un décret n°2023 du 15 mai 2023 portant création d’une délégation au numérique en santé, le ministère de la Santé a élaboré une instruction du 25 mai 2023 relative à la création de la délégation du numérique en santé (DNS). Cette instruction a été communiquée dans le cadre d’une demande de droit d’accès aux documents administratifs et est disponible ici.
Cette instruction préconise aux directeurs d’administration centrale et délégués ministériels de l’administration centrale des ministères chargés des affaires sociales :
- d’informer la DNS, en amont, de tout projet de création ou d’évolution importante de tout service numérique en santé ;
- de saisir la DNS lors de l’élaboration des contrats d’objectifs et de gestion (COG) des opérateurs (ex : CNAM, CNSA, ANAP, ATIH, Santé publique France, ANSM, Institut national du cancer….) sur la partie ayant trait au numérique en santé, ainsi que sur l’établissement des schémas directeurs des systèmes d’information de ces opérateurs ;
- d’associer la DNS à l’élaboration de tout projet de loi, de décret ou d’arrêté ayant un impact sur le numérique en santé ;
- de prévoir la participation de la DNS aux instances de gouvernance de l’ANAP et de la plateforme des données de santé ;
- d’associer la DNS aux instances de pilotage stratégique des différents projets et programmes ayant un impact important sur le numérique en santé
POUR ALLER + LOIN
Et si le DGA n’était que le début ?
Pour tous ceux qui souhaitent se lancer dans l’intelligence artificielle, monter des projets innovants avec des starts-up et valoriser les données collectées mais qui croient encore que le sigle « DGA » signifie Directeur général adjoint… cet article est pour vous !
Le 24 septembre prochain le DGA entrera en application et la réutilisation des données collectées à l’occasion d’une mission de service public par toute personne qui en fait la demande – y compris à des fins commerciales – devra faire l’objet d’une redevance. La redevance n’est pas une valorisation mais c’est déjà un début.
Reste aux hôpitaux à penser une organisation et négocier des partenariats avec les sociétés en e-santé pour assurer une valorisation de leurs actifs immatériels – données mais également savoir-faire !
Le constat est là : les interactions avec les sociétés innovantes en e-santé sont de plus en plus nombreuses à l’hôpital ; que ces partenariats soient portés directement par la DRCI ou par les praticiens et chefs de services directement sollicités par ces sociétés privées. Parmi ces projets, rares sont ceux qui ne concernent pas des données de santé de patients.
Or bien souvent l’hôpital ne valorise pas au mieux ses actifs immatériels apportés au projet, qu’il s’agisse du temps homme passé, de ses bases de données utilisées pour améliorer l’algorithme ou encore son savoir-faire – vis-à-vis de son cocontractant.
Le contexte réglementaire actuel évolue avec l’entrée en application le 24 septembre prochain du Data Governance Act, dit « DGA », règlement européen d’application directe. Et si le DGA était le début vers des relations contractuelles plus équilibrées ?
Le DGA : le début de contreparties financières
L’entrée en application du DGA est l’occasion de penser à une grille tarifaire pour la réutilisation par des tiers des données collectées à l’occasion d’une mission de service public.
Il est vrai que le DGA écarte le droit sui generis sur les bases de données, prévu par la directive 96/9/CE et repris au sein du code de la propriété intellectuelle, qui aurait pu être invoqué pour empêcher la réutilisation des données d’un organisme du secteur public collectées à l’occasion d’une mission de service public. En écartant ce droit de propriété intellectuelle sur les bases de données, le DGA réduit ainsi drastiquement les marges de négociation de l’hôpital. Nous nous en sommes faits largement l’écho (voir notre article dans DSIH).
Toutefois, restons positif, ce texte européen prévoit une contrepartie financière pour avoir autorisé cette réutilisation des données, que ce soit à des fins commerciales ou non. L’hôpital pourra donc percevoir des redevances :
« calculées sur la base des coûts liés à la conduite de la procédure de demande de réutilisation des catégories de données […] et limitées aux coûts nécessaires relatifs :
- à la reproduction, à la fourniture et à la diffusion des données;
- à l’acquisition des droits;
- à l’anonymisation ou à d’autres formes de préparation des données à caractère personnel et des données commerciales confidentielles conformément à l’article 5, paragraphe 3;
- à la maintenance de l’environnement de traitement sécurisé;
- à l’acquisition du droit d’autoriser la réutilisation conformément au présent chapitre par des tiers extérieurs au secteur public; et
- à l’assistance fournie aux réutilisateurs pour obtenir le consentement des personnes concernées et l’autorisation des détenteurs de données dont les droits et intérêts peuvent être affectés par cette réutilisation »
Les critères et méthodes de calcul des redevances sur la base de ces 6 coûts sont arrêtés par les États membres. Il est malheureux de noter que le projet de loi visant à sécuriser et réguler l’espace numérique (loi SREN), encore en cours de discussion devant l’assemblée nationale, – et dont l’objet avancé était d’adapter les règles françaises aux différents règlements européens (DSA, DMA et aussi DGA) – ne prévoit aucune précision sur le sujet de la réutilisation des données prévue au chapitre II du DGA.
En attendant de telles précisions, l’hôpital va devoir arrêter de manière transparente, non discriminatoire, proportionnée et objectivement justifiée et sans restreindre la concurrence ces redevances. Le texte invite les organismes du secteur public à prévoir des incitations pour ceux qui réutilisent les données à des fins non commerciales, par exemple à des fins de recherche scientifique, ainsi que pour les PME et les jeunes pousses. Les organismes du secteur public peuvent établir une liste des catégories de réutilisateurs bénéficiant de ces incitations et la rendre publique. Il est même prévu que l’hôpital devra prévoir que les redevances puissent être acquittées en ligne au moyen de services de paiement transfrontaliers largement disponibles !
On le comprend le DGA présente une formidable opportunité pour les entreprises du secteur de la e-santé mais également pour les hôpitaux qui n’avaient pas toujours le réflexe – voire l’opportunité lorsque les contrats étaient conclus directement avec les praticiens – de négocier des redevances en contreparties de l’accès à leurs données. Désormais, les redevances sont le minimum !
La suite : une négociation soutenue des contrats de partenariats
Toujours dans l’intérêt du service public, l’auteure de ces lignes ne peut se satisfaire des seules redevances prévues par le DGA.
En effet parmi les 6 coûts fixés par le DGA et sur lesquels les redevances devront être établies, il ne ressort à aucun moment les coûts nécessaires au développement et à la collecte des données. Seul le traitement d’extraction devrait être pris en compte au titre des redevances et non la valeur réelle d’accès et d’utilisation aux données collectées à l’occasion d’une mission de service public.
Dans l’attente des précisions nécessaires sur les critères et méthodes de calcul des redevances du DGA, l’hôpital doit donc appréhender plus largement les négociations des partenariats qu’ils concluent avec les acteurs de la e-santé qui frappent à ses portes.
Tout d’abord, si le DGA s’applique aussi bien aux données personnelles que non personnelles, le RGPD reste un rempart face à des réutilisations non compatibles avec les finalités pour lesquelles les données à caractère personnel ont été initialement collectées (le soin par exemple). Le responsable de traitement initial – c’est-à-dire celui qui a collecté les données personnelles (l’hôpital très souvent) – devra s’assurer de la compatibilité du traitement envisagé par son partenaire qui souhaite réutiliser les données. La constitution d’un entrepôt de données de santé par le prestataire de télésurveillance par exemple doit être donc réfléchi et autorisé ou non par l’hôpital.
Par ailleurs, les droits de propriété intellectuelle, bien connus de la DRCI, doivent également être revendiqués sur les résultats d’un partenariat. Si le personnel de l’hôpital participe à l’évolution d’une solution logicielle, d’un algorithme, voire d’un dispositif médical, une copropriété sur les résultats du partenariat devra être négociée. Qui dit copropriété ne veut pas nécessairement dire égalité des quotes-parts de propriété mais un simple droit d’usage pour une durée limitée (parfois quelques mois) ne doit plus être accepté. Si la participation dans des sociétés commerciales pourra être envisagée pour certains CHU, le rachat des quotes-parts de propriété sera peut être plus prudent pour d’autres établissements de santé.
Cette approche « offensive » des partenariats devra se distinguer non seulement des libéralités (donation, parrainage…) que l’hôpital peut recueillir notamment au travers d’une fondation hospitalière mais également des avantages en espèce ou en nature consentis par des entreprises aux personnes exerçant une profession de santé et autres personnes visées à l’article L.1453-4 du code de la santé publique.
Le DGA doit donc être l’opportunité pour les établissements de santé d’apprendre à valoriser tout actif immatériel lui appartenant – des données collectées à son savoir-faire. Pour ce faire, une réorganisation des services compétents devra être envisagée afin que chacun puisse être sollicité lors des négociations : les achats pour s’assurer du respect des règles de la commande publique, mais également la DRCI et le service juridique, sans oublier le délégué à la protection des données !
DÉCRYPTAGE DE LA SANCTION DU MOIS
Sanction d’une société de voyance d’une amende de 150 000 euros
La CNIL a sanctionné en juin dernier la société KG Com a une amende totale de 150 000 euros. Il ne s’agit pas de la sanction récente la plus importante concernant le montant total de l’amende (la CNIL a également sanctionné CRITEO en juin dernier à une amende de 40 millions d’euros), mais elle est particulièrement intéressante concernant les modalités d’information des personnes concernées.
Dans cette affaire, la société KG Com qui propose des services de voyance a subi en 2020 une fuite de données personnelles révélée par un article de presse. A la suite de ces révélations, les services de la CNIL ont procédé à trois missions de contrôle. A l’issue de ces contrôles, plusieurs manquements à la réglementation sur la protection des données personnelles et aux règles relatives aux cookies ont été constatés par la formation restreinte de la CNIL. La formation restreinte a sanctionné la société d’une amende totale de 150 000 euros en tenant compte du nombre élevé de manquements, de la sensibilité des données qui comprenaient des données de santé, des données révélant l’orientation sexuelle et des données bancaires, et le nombre de personnes concernées.
Tout d’abord, les voyants avaient la possibilité de rédiger des commentaires sur les fiches clients sur lesquelles pouvaient figurer des données de santé ou sur l’orientation sexuelles des clients. La CNIL estime que le traitement de ces données n’était possible que sur la base du consentement explicite des clients concernés. La formation restreinte précise à ce titre que « la simple volonté de recevoir une prestation de voyance et le fait de livrer spontanément des informations sensibles ne constituent pas un consentement explicite des personnes concernées ».Le consentement à la collecte des données sensibles des clients aurait dû se faire de manière explicite par un acte positif clair.
Par ailleurs, la formation restreinte apporte des précisions dans cette délibération notamment sur les modalités d’information des personnes concernées quant à la collecte de leurs données.
En effet, d’une part dans le cadre du recueil du consentement au traitement des données sensibles, la formation restreinte de la CNIL estime que pour consentir valablement au traitement de telles données, la personne concernée devait au préalable être « pleinement éclairée sur le caractère particulier des données qu’elle communique, notamment en ce que celles-ci peuvent révéler son état de santé et son orientation sexuelle, ainsi que sur l’usage qui sera fait de ces données ». Ainsi, la société aurait dû délivrer une information spécifique aux personnes concernées concernant la collecte et le traitement de données sensibles.
D’autre part, sur les modalités de délivrance de l’information lors de la création d’un compte utilisateur, la CNIL a relevé que « pour accéder à ces informations, l’utilisateur doit quitter le processus d’inscription afin de retourner sur la page d’accueil, la faire défiler jusqu’en bas, cliquer sur les conditions générales de vente de la société et rechercher activement dans ce document les informations relatives à la protection des données à caractère personnel ».
La formation restreinte de la CNIL ajoute qu’elle considère que l’information n’est pas aisément accessible « dès lors qu’un parcours de plusieurs actions est nécessaire à l’utilisateur pour obtenir une information exhaustive relative à la protection des données ».
De même, la formation restreinte considère que l’information sur le traitement des données personnelles ne sera pas aisément accessible si elle « se situe dans un document qui n’est pas facilement identifiable comme relatif à la protection des données à caractère personnel », tels que par exemple dans des CGV, des conditions d’utilisation d’un site web, des conditions de vente.
Au regard de ces précisions de la formation restreinte, les responsables de traitement devront être particulièrement attentifs dans les conditions de délivrance de l’information sur les traitements de données personnelles. Il est recommandé aux responsables de traitement de prévoir un document distinct, comprenant une dénomination claire, et permettant aux personnes concernées de disposer d’une information aisément accessible sur les traitements de données personnelles.
Perspectives & Changements
Adoption d’une nouvelle décision d’adéquation pour les transferts de données vers les Etats-Unis
La Commission européenne a adopté le 10 juillet dernier une décision d’adéquation par lequel elle constate que les Etats-Unis assurent un niveau de protection équivalent au droit de l’Union européenne. La décision d’adéquation est un outil juridique prévu par le RGPD à son article 45 qui autorise les transferts de données personnelles vers un destinataire situé aux Etats-Unis.
Cette nouvelle décision d’adéquation a été prise à la suite de l’invalidation par la Cour de justice de l’Union européenne, dans son arrêt Schrems II, de la précédente décision d’adéquation.
Ainsi dès à présent les organismes qui souhaitent réaliser un transfert de données vers les Etats-Unis pourront le faire sans recourir au mécanisme des clauses contractuelles types ou à tout autre mécanisme.
Néanmoins, il convient de relever que le député Philippe Latombe, également membre du collège de la CNIL, a déposé un recours tel que le prévoit l’article 263 alinéa 4 du Traité sur le fonctionnement de l’Union européenne qui permet à toute personne physique ou morale de former un recours « contre les actes réglementaires qui la concernent directement et qui ne comportent pas de mesures d’exécution ». Une question subsiste quant à la recevabilité de ce recours qui n’a jamais été mis en œuvre jusqu’à présent.
Consultation publique de la CNIL sur l’ouverture et la réutilisation de données publique
Dans le prolongement de ses travaux avec la CADA et l’adoption d’un guide sur la publication en ligne et la réutilisation de données publiques, et de son évènement air2021 sur l’ouverture et le partage des données, la CNIL a créé un groupe de travail pour organisme concernés par l’ouverture et le partage des données et d’apporter des réponses sur les questions informatiques et libertés.
Le groupe de travail a réalisé un projet de guide sur l’ouverture et la réutilisation de données publiquement accessibles qui fait l’objet d’une consultation publique jusqu’au 15 octobre prochain. Ce guide s’adresse principalement aux diffuseurs de données sur internet et aux ré-utilisateurs de données publiquement accessibles, mais la CNIL précise que ce guide peut intéresser les personnes concernées par les traitements mis en œuvre par les diffuseurs et ré-utilisateurs. Ce document comprend des fiches rappelant les principes sur la qualification de diffuseurs et de ré-utilisateurs de données, sur l’identification de la base légale du traitement, sur l’information et les droits des personnes, sur la minimisation du traitement des données et sur la sécurité et la conservation limitée des données. En plus de ces précisions, le guide contient des fiches cas d’usage de diffusion et de réutilisation de données des administrations qui ne visent pas spécifiquement les établissements publics de santé. En particulier, la fiche cas d’usage sur la réutilisation de données publiquement accessibles à des fins de recherches exclue expressément le cas des recherches en santé.
A ce titre, il convient de rappeler que la réalisation de ce guide est à mettre en perspective avec l’entrée en application du Data Governance Act (DGA) qui rentrera en application au 24 septembre prochain.
Le recours du contrôleur européen à l’encontre de la décision du TUE du 26 avril 2023, T-557/20
Le Journal Officiel de l’UE du 21 août dernier indique que le contrôleur européen à la protection des données a décidé de contester la décision du Tribunal de l’Union européenne du 26 avril dernier (T 557/20) que nous avions commenté dans notre précédente datactu.
Pour rappel, cette décision portait notamment sur la définition d’une donnée à caractère personnel pour un destinataire de données et des conséquences qui en résultent, c’est-à-dire l’application ou non de la réglementation sur la protection des données y afférentes. La position de la CJUE sur cette affaire sera scrutée avec la plus grande attention.
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
Quels sont les impacts sur l’exemption de certification HDS accordée par l’ANS aux GHT qui se doteront d’une personnalité morale sous forme de GCS ?
Dernières actualités juridiques des données et du numérique en santé et médico-social.
L’IA Act prévoit de nombreuses obligations pour les différents acteurs de la santé : professionnels de santé, juristes, DPO, RSSI, DRCI. Petit tour d’horizon.
Dernières actualités juridiques des données et du numérique en santé et médico-social.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.