DATACTU JURIDIQUE AVRIL 2023
Article rédigé le 13 mars 2023 par Me Laurence Huin, Me Adriane Louyer et Raphaël Cavan
La CNIL a publié la nouvelle version de son guide de la sécurité des données personnelles
Le guide de la sécurité des données personnelles a vocation a accompagner les acteurs traitant des données à caractère personnel dans leur mise en conformité avec l’obligation de sécurité prévue à l’article 32 du RGPD.
Ce guide est composé de 17 fiches thématiques sur la sécurité des données recensant les précautions élémentaires devant être mises en œuvre de manière systématique dans un traitement de données personnelles, et constitue selon la CNIL « une référence en matière de sécurité ».
Les principales modifications par rapport à l’ancienne version concernent principalement les fiches dédiées à l’authentification des utilisateurs (Fiche n°2), la journalisation (Fiche n°4), l’encadrement des développements informatiques (Fiche n°12), la sécurisation des échanges avec d’autres organismes (Fiche n°15) et enfin le chiffrement, le hachage et la signature (Fiche n°17).
La CNIL précise que ces mises à jour ont pour objectif de prendre en compte l’évolution des pratiques, des connaissances et des menaces existantes à ce jour en matière de sécurité informatique.
Le guide est consultable sur le site de la CNIL, en cliquant ici.
L’AP-HP renforce sa politique de contrôle des accès illégitimes aux données des patients présentes sur Orbis
La délégation à la protection des données en commission médicale d’établissement de l’AP-HP a annoncé le 7 mars dernier que l’AP-HP allait mettre en œuvre un système de surveillance du mode « bris de glace » lui permettant de mieux contrôler et d’identifier les accès illégitimes aux données de santé présentes dans le logiciel Orbis permettant l’accès aux dossiers informatisés des patients.
Cette mesure fait suite à une injonction de la CNIL faite à l’AP-HP en 2021 qui s’est depuis lancée dans un vaste chantier sur la confidentialité des données. Ce système de surveillance permettra donc de retracer toutes les actions des utilisateurs sur Orbis et, le cas échéant, de prononcer des sanctions disciplinaires et/ou pénales pour tout accès illégitime qui aurait été constaté.
Des contrôles réguliers seront réalisés via un tableau de bord par des « référents habilitation Orbis » qui pourront confirmer des cas d’abus à la suite d’une demande de justification et d’une présentation du dossier devant la commission centrale de contrôle des accès aux dossiers patients (3Cadp).
Le référentiel d’interopérabilité et de sécurité des dispositifs médicaux numériques a été publié au Journal Officiel
Le référentiel d’interopérabilité et de sécurité des dispositifs médicaux numérique est issu de la nouvelle version de la Doctrine du numérique (4ème édition) publiée en février dernier par l’Agence du numérique en santé (ANS).
Ce référentiel comporte une série d’exigences minimales en matière d’interopérabilité et de sécurité nécessaires pour bénéficier d’une prise en charge ou d’un remboursement, dont la conformité est démontrée par l’obtention d’un certificat délivré par l’ANS.
Les principaux domaines concernés par ce référentiel sont l’identité nationale de santé (INS), la portabilité des données de santé, la conformité au règlement général sur la protection des données (RGPD), l’identification électronique des établissements et professionnels (Finess et RPPS) et Pro Santé Connect.
En outre, le référentiel étend son champ d’application par rapport à son ancienne version publiée en juillet 2022 qui ne visait que les DM de télésurveillance, dans la mesure où celui-ci inclut désormais :
- les DM de télésurveillance souhaitant bénéficier d’une inscription en nom de marque ou sur une ligne générique sur la liste des activités de télésurveillance créée par la loi de financement de la sécurité sociale (LFSS) pour 2022 ;
- les DM numériques ou les DM ayant une fonction numérique souhaitant être inscrits sur la liste des produits et prestations remboursables (LPPR) ;
- les DM ayant une fonction numérique candidats à une prise en charge transitoire (PECT) ;
- et les DM numériques à visée thérapeutique ou de télésurveillance candidats à une prise en charge anticipée (PECA).
Actualité en santé numérique
La CNIL rappelle à deux organismes de recherche médicale leurs obligations légales
Deux organismes procédant à des recherches médicales ont été contrôlé par la CNIL à la suite d’un signalement. Ces deux contrôles ont permis de constater des manquements aux règles de protection des données personnelles, notamment concernant la nécessité de réaliser une analyse d’impact en matière de recherches médicales, et l’exigence de délivrer une information complète aux personnes concernées par le traitement.
S’agissant de la nécessité de produire une analyse d’impact, la CNIL rappelle que les recherches en santé qui se conforment à une méthodologie de référence doivent obligatoirement faire l’objet d’une telle analyse, comme le prévoit les différentes méthodologies.
Dans le cas présent, les deux organismes contrôlés n’avaient pas réalisé d’analyse d’impact pour les recherches qu’elles menaient.
Concernant la délivrance d’une information aux personnes concernées, la CNIL a pu relever que les feuillets d’information remis par les deux organismes ne précisaient pas la nature des informations collectées, la durée de conservation des données, ou encore, pour certains feuillets, les coordonnées du DPO ou même les modalités de recours auprès de la CNIL.
En outre, la CNIL a constaté que la procédure d’anonymisation des données décrite par la notice d’information délivrée par les organismes ne permettait pas, en pratique, d’anonymiser les données des personnes concernées, mais de les pseudonymiser.
En effet, l’identité des patients était remplacée par un numéro patient composé d’un code formé à l’aide de deux lettres correspondant à la première initiale du nom et du prénom de la personne concernée.
A l’issue de ces constats, la CNIL a décidé d’adresser respectivement aux organismes contrôlés un rappel aux obligations légales conformément à l’article 20.III-1. de la loi Informatique et Libertés.
La Haute Autorité de santé publie des recommandations sur le versement d’informations du dossier médical en santé au travail vers le dossier médical partagé
La loi du 2 août 2021 pour le renforcement de la prévention en santé au travail prévoit que les éléments contenus dans le dossier médical en santé au travail (DMST) nécessaires au développement de la prévention, ainsi qu’à la coordination, à la qualité et à la continuité des soins peuvent être versés dans le dossier médical partagé (DMP), sous réserve du consentement de l’intéressé.
La HAS est venue définir dans ses recommandations publiées sur son site internet le 22 mars dernier, les catégories d’informations susceptibles d’être intégrées dans le DMP. En effet, selon la HAS, le versement d’informations du DMST au DMP ne doit pas être systématique pour certains documents et doit se faire à l’appréciation de l’équipe de santé au travail.
L’élaboration d’un « d’un standard pour l’harmonisation et l’interopérabilité sémantique des logiciels métiers du DMST » constitue selon la HAS la clef de voûte de ces transferts d’informations. A ce titre, elle recommande un travail technique de structuration dans les logiciels métiers des informations pertinentes contenues dans le DMST afin de les rendre exploitables dans le DMP.
De même, la HAS recommande un travail sur la formalisation et le recueil de l’information et du consentement préalable du titulaire du DMP.
Le partage d’information du DMST avec le DMP devrait être opérationnel à partir du 1er janvier 2024.
Les recommandations sont consultables sur le site de la HAS, en cliquant ici.
Le projet de feuille de route du numérique en santé 2023-2027 : les perspectives de la e-santé en France se dessinent
La consultation publique lancée par l’Agence du Numérique en Santé (ANS) le 14 décembre 2022 sur le projet de feuille de route du numérique en santé 2023-2027 s’est terminée le 14 mars dernier.
Ce nouveau projet s’inscrit dans la continuité de la feuille de route 2019-2022 qui avait pour ambition « d’accélérer le virage numérique en santé » en France. Le bilan de la période 2019-2022 a été présenté en août 2022 par le ministère de la santé qui se félicite des différentes avancées faites sur le territoire (cartes e-CPS dématérialisées, déploiement de « Mon Espace Santé », création du Health Data Hub (HDH), poursuite de différents programmes de financement (SUN-ES ou HOP’EN)).
L’objectif pour la période 2023-2027, est de conforter les efforts déployés par l’ancienne feuille de route et de suivre 4 nouveaux axes d’orientations qui ont pour objectif de « Mettre le numérique au service de la santé ».
Le projet de feuille de route s’appuiera également sur la nouvelle Doctrine du numérique en santé, dont la dernière version a été publiée en février dernier sur le site internet de l’ANS. Ces chantiers interviendront dans un contexte marqué par l’augmentation des cyberattaques visant les établissements sanitaires et médico-sociaux qui devront plus que jamais adopter une grande vigilance en matière de cybersécurité qui soit adaptée aux menaces actuelles.
Les perspectives envisagées dans ce projet sont nombreuses et concernent notamment la prise en charge du patient à l’aide des outils numériques ; l’accompagnement, la coordination et la coopération des professionnels de la santé et du médico-social dans la prise en charge du patient ; ou encore la promotion de l’innovation et de la recherche en santé.
Pour approfondir les apports et enjeux du projet de feuille de route du numérique en santé 2023-2027, n’hésitez pas à consulter notre article disponible sur le blog du site internet du Cabinet Houdart & Associés en cliquant ici.
Le Conseil d’Etat donne trois mois à l’Etat pour adapter la réglementation encadrant les départements d’information médicale (DIM) des établissements de santé
Le Conseil d’Etat a rendu le 9 mars dernier une décision concernant l’exécution d’une précédente décision qu’il avait rendue le 25 novembre 2020 dans le cadre d’un recours contentieux contre le décret n° 2018-1254 du 26 décembre 2018 relatif aux départements d’information médicale (ci-après « DIM ») formé par le Conseil national de l’ordre des médecins (Cnom).
Ce recours visait à obtenir l’annulation du décret visant les DIM, au motif que celui-ci n’offrait pas de garanties suffisantes quant à l’accès aux dossiers médicaux des patients par les prestataires extérieurs et les commissaires aux comptes.
Le Conseil d’Etat avait alors annulé le décret en ce qu’il ne prévoit pas,
« lors de l’accès des commissaires aux comptes aux données personnelles de santé recueillies lors de l’analyse de l’activité, de mesures de protection techniques et organisationnelles propres à garantir l’absence de traitement de données identifiantes et, lors de l’accès des prestataires extérieurs à ces données, de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiantes nécessaires au regard des finalités du traitement et de dispositions destinées à garantir qu’ils accomplissent effectivement leurs activités sous l’autorité du praticien responsable de l’information médicale et a précisé que cette annulation impliquait nécessairement l’édiction d’une réglementation complémentaire ».
Afin d’éviter une atteinte injustifiée au droit au respect du secret médical des personnes dont le décret organise le traitement de données, le Conseil d’Etat avait prévu des mesures provisoires dans l’attente de l’édiction d’une réglementation complémentaire par le gouvernement.
Début octobre 2022, la section du rapport et des études du Conseil d’Etat a lancé une procédure d’astreinte d’office, dans le but de vérifier auprès du gouvernement que celui-ci avait bien exécuté la décision du 25 novembre 2020. Le Conseil d’Etat a donc réalisé un contrôle de l’exécution de sa propre décision auprès du gouvernement.
Dans cette nouvelle décision rendue le 9 mars dernier, le Conseil d’Etat constate que l’Etat n’a toujours pas exécuté la décision du 25 novembre 2020, et condamne donc ce dernier s’il ne justifie pas l’exécution de sa précédente décision dans les trois mois suivant la notification de la décision, à une astreinte de 300 euros par jour de retard, et ce jusqu’à ce que la décision du 25 novembre 2020 soit correctement exécutée.
La décision du Conseil d’Etat est consultable en cliquant ici.
CNIL : la société CITYSCOOT écope d’une amende de 125 000€ pour collecte massive des données de géolocalisation de ses utilisateurs
La société de mise en location de scooter collectait de manière injustifiée les données de géolocalisation de ses utilisateurs. La CNIL a considéré que cette pratique était intrusive dans la vie privée des utilisateurs, et était constitutive d’un manquement à l’obligation de veiller à la minimisation des données.
Cette décision de la CNIL a été largement relayée du fait qu’elle met en lumière la nécessité à ce que les données personnelles collectées pour un traitement soient adéquates pertinentes et non excessives au regard de l’objectif pour lequel elles sont collectées et utilisées.
De même, il est important de relever qu’un manquement visant l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat a été retenu, au motif que plusieurs contrats de sous-traitance conclus par CITYSCOOT ne contenaient pas toutes les mentions obligatoires de l’article 28.3 du RGPD (notamment l’objet du traitement, les catégories de personnes concernées, la durée de conservation et le sort des données ou encore les mesures de sécurité mises en œuvre par le sous-traitant).
La CNIL ajoute que ces obligations visées à l’article 28.3 doivent non seulement figurer dans le contrat, « mais elles doivent également être suffisamment précises et détaillées pour permettre d’assurer un traitement conforme des données à caractère personnel ».
Ainsi, cette décision de la CNIL est l’occasion de rappeler l’importance d’encadrer juridiquement et techniquement le recours à un sous-traitant dans le cadre d’un traitement de données à caractère personnel, mais plus encore d’adapter les clauses contractuelles en fonction des spécificités de la sous-traitance envisagée et des caractéristiques du traitement mené.
La délibération de la CNIL est consultable en cliquant ici.
Perspectives & Changements
La CNIL a annoncé ses thématiques prioritaires de contrôle pour l’année 2023
Chaque année la CNIL définit sa politique de contrôle sur des sujets ayant de fort enjeux pour le public. Cette politique est réfléchie en interne à la suite des plaintes, des signalements de violations de données ou des événements dans l’actualité.
Pour l’année 2023, l’autorité de contrôle a défini comme thématiques prioritaires :
- L’utilisation des caméras « augmentées » ou « intelligentes » par les acteurs publics ;
- L’utilisation du fichier des incidents de remboursement de crédit aux particuliers ;
- Le traçage des utilisateurs par les applications mobiles ;
- Et l’accès au dossier patient informatisé au sein des établissements de santé.
La sécurité des données de santé sera donc au cœur des activités de contrôle de la Commission pour l’année 2023, bien que cette thématique annuelle des contrôles ait été déjà été retenu en 2020 et en 2021, signe de l’importance accordée par la CNIL aux traitements impliquant des données de santé.
La CNIL souligne son communiqué les nombreux échanges de ces dernières années avec le ministère de la santé sur différents sujets, notamment la politique générale de sécurité des systèmes d’information en santé (PGSSI-S), le dossier médical partagé (DMP), la carte de professionnel de santé (CPS-eCPS), ou encore le service « pro Santé connect ».
La CNIL précise également dans son communiqué que ce choix fait suite à de nombreuses plaintes qu’elle a reçu dénonçant des accès par des tiers non-autorisés à des dossiers patients informatisés au sein d’établissements de santé.
Le communiqué de la CNIL est consultable sur son site internet, en cliquant ici.
La Haute Autorité de santé soumet un guide d’aide au choix des DM numériques à consultation
Une consultation publique a été lancée le 21 mars dernier par la Haute Autorité de santé (HAS) concernant l’élaboration d’un guide d’aide au choix des DM numériques pour les professionnels de la santé.
Les DM concernés par ce guide sont des DM non éligibles à un processus d’évaluation national, marqué CE, et utilisé par des professionnels de santé.
Ce guide s’intéresse aux DM d’aide au dépistage ; d’aide au diagnostic ; d’aide à la décision médicale ; et d’aide à la décision thérapeutique.
Les logiciels d’aide à la prescription (LAP) ou à la dispensation (LAD) sont volontairement écartés par la HAS qui réalise des travaux séparés pour ces types de logiciels.
Le constat de la HAS concernant l’utilisation des DM est qu’il existe aujourd’hui de nombreuses solutions numériques utilisées dans le cadre de soins courants, mais que pour autant « leur utilité ou leur pertinence par rapport à l’arsenal existant ne sont pas toujours réellement établies », amenant ainsi les professionnels de la santé à les utiliser « sans être pleinement éclairés de leurs performances ou de leurs limites ou, a contrario, être réticents à leur utilisation pour ces mêmes raisons ».
La consultation est ouverte jusqu’au 30 avril, et est consultable sur le site de la HAS, en cliquant ici.
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
Dernières actualités juridiques des données et du numérique en santé
Dernières actualités juridiques des données et du numérique en santé
Dernières actualités juridiques des données et du numérique en santé
Dernières actualités juridiques des données et du numérique en santé
Février arrive, retrouverez toutes les dernières actualités du numérique en santé.
A trop vouloir simplifier l’ANS supprime de ce document des points importants de sa doctrine.
A trop vouloir simplifier l’ANS supprime de ce document des points importants de sa doctrine.
A trop vouloir simplifier l’ANS supprime de ce document des points importants de sa doctrine.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.