DATACTU JURIDIQUE
DÉCEMBRE 2022
Article rédigé le 29 novembre 2022 par Me Laurence Huin, Me Adriane Louyer, Céline Cadoret
LES RECOMMANDATIONS DE LA CNIL
Adoption de deux référentiels CNIL concernant l’accès précoce et les accès compassionnels
A la suite de consultations publiques lancées le 15 février 2022, la CNIL vient d’adopter deux référentiels relatifs aux traitements de données personnelles mis en œuvre par un laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès précoce (1) et d’un médicament bénéficiant d’une autorisation d’accès compassionnel (2).
Pour les laboratoires pharmaceutiques autorisés sous certaines conditions à mettre à disposition de certains patients des médicaments en dehors du cadre prévu par une autorisation de mise sur le marché (AMM), le code de la santé publique impose à ces derniers d’assurer le suivi des patients et en conséquent, de constituer des fichiers de données à caractère personnel.
Ces deux référentiels ont pour objectif pour les laboratoires de pouvoir mettre en œuvre ces traitements de données à caractère personnel, sans avoir à demander une autorisation de la CNIL. En effet, lorsque des responsables de traitement se conforment strictement à des référentiels en santé élaborés par la CNIL, ces derniers n’ont dès lors pas besoin de passer par la procédure plus contraignante qui est celle de l’autorisation préalable ou du recueillir le consentement des personnes concernées. Pour mettre en œuvre les traitements de données à caractère personnel visés dans ces référentiels, les responsables de traitement concernés doivent seulement réaliser une déclaration de conformité à ces référentiels auprès de la CNIL.
Ces référentiels prennent notamment en compte la nouvelle recommandation de la CNIL sur les mots de passe (voir notre précédente Datactu juridique sur ce sujet), et prévoient également que les services numériques utilisés par les laboratoires doivent être conformes à la politique générale de sécurité des systèmes d’information en santé, ainsi que les conditions dans lesquelles une réutilisation des données collectées peut être envisagée.
Assurance maladie complémentaire : la CNIL appelle à clarifier le cadre juridique sur l’utilisation de données de santé
La CNIL a récemment produit une analyse juridique sur l’utilisation des données de santé par les complémentaires santé ou mutuelles qu’elle a adressée à ces organismes et a publié en partie cette analyse dans une communication du 14 novembre dernier. Cette communication est l’occasion pour la CNIL de faire connaître au législateur ses recommandations afin de préciser le cadre juridique des traitements de données de santé.
La CNIL rappelle que les données de santé ne peuvent être traitées que si l’une des exceptions prévues par le RGPD au traitement de ces données, ou que la loi, le permet. Ces organismes peuvent traiter des données de santé pour les traitements liés au remboursement de leurs assurés, mais selon la CNIL les textes devraient davantage affirmer cette possibilité et fournir un encadrement et des garanties appropriées.
Par ailleurs, la CNIL estime que le législateur doit préciser les dérogations au secret médical permettant aux professionnels de santé de transmettre les données de santé à ces organismes. Dans l’attente de ces précisions, la CNIL considère que pour la majorité des contrats (dits « responsables »), la transmission des données peut se poursuivre, mais que dans les autres types de contrat, le patient devra soit transmettre les données à son organisme soit autoriser le professionnel à le faire.
Ainsi, dans l’attente de précisions apportées les organismes de complémentaire santé devront respecter ce formalisme rappelé par la CNIL.
L’Agence du numérique en santé (ANS) vient tout récemment de publier un guide sur la cybersécurité pour le secteur social et médicosocial.
Ce guide se présente sous forme de treize questions-réponses pratiques parmi lesquelles :
- « Connaissez-vous suffisamment votre parc informatique ? »
- « Savez-vous comment réagir en cas de cyberattaque ? » ou encore
- « Avez-vous fait évaluer la couverture de votre politique d’assurance au risque cyber ? ».
Dans ce guide, la CNIL fournit ainsi un ensemble de mesures accessibles pour assurer une protection globale des établissements et services sociaux et médico-sociaux (ESSMS).
Le guide s’articule avec l’Observatoire MaturiN-SMS (Maturité Numérique pour le secteur du social et du médico-social) qui via un système d’indicateurs relatifs à la cyber sécurité et à paliers, va aider les acteurs de ce domaine à mesurer leur maturité numérique et le cas échéant, à l’améliorer.
Mesurer la maturité numérique du système d’information est donc la première étape pour prendre en compte les mesures recommandées par ce guide qui ne seraient pas encore mises en œuvre.
Création du dossier médical en santé au travail
Le décret du 15 novembre 2022 a créé dans le code du travail le dossier médical en santé au travail. Ce dossier médical est créé sous format numérique sécurisé pour les travailleurs qui font l’objet d’un suivi de leur état de santé. Les articles du code du travail précisent que la base légale de ce traitement est l’obligation légale ainsi que les catégories de données que ce dossier médical en santé au travail est susceptible de contenir.
L’alimentation et la consultation du dossier médical en santé doivent se faire en respectant les règles de confidentialité ainsi que celles de l’identification électronique et l’interopérabilité.
Le travailleur est informé de son droit de s’opposer soit :
- à l’accès au dossier médical du médecin praticien correspondant ou des professionnels chargés d’assurer, sous l’autorité du médecin du travail, le suivi de son état de santé
- à l’accès des professionnels chargés du suivi de son état de santé à son dossier médical en santé au travail qui serait détenu par d’autres services de prévention et de santé au travail.
Le décret rappelle que les données de santé des travailleurs doivent être soit conservées au sein des services de prévention et de santé au travail, ou si tel n’est pas le cas auprès d’un hébergeur de données de santé certifié (voir notre dernier article sur la certification HDS).
Enfin, le décret précise que le dossier médical en santé au travail doit être conservé pendant une durée de quarante ans à compter de la dernière visite ou examen de son titulaire, dans la limite de 10 ans à compter du décès du titulaire du dossier. Cette durée de quarante ans est plus longue que les exceptions à la durée de conservation de 20 ans des dossiers médicaux prévus dans le code de la santé publique (R. 1112-7 du CSP).
Il reviendra aux professionnels de santé en charge du suivi des travailleurs d’assurer le respect opérationnel de ces règles, notamment par l’élaboration de politique d’habilitation, d’une charte informatique ; de même que la gestion des durées de conservation et de l’hébergement des données de santé.
La CNIL refuse l’autorisation d’accès aux données du PMSI pour Le Point
Chaque année, le magazine le Point réalise un palmarès des Hôpitaux de France en produisant des indicateurs à partir de réponses à un questionnaire adressé aux établissements, de données publiques mais également des données contenues dans la base PMSI (Programme de médicalisation des systèmes d’information).
L’utilisation de cette base est soumise à l’avis du CESRESS qui évalue la qualité scientifique et méthodologique du projet d’étude ainsi que son intérêt public, puis à l’autorisation de la CNIL lorsque ces études ne s’inscrivent pas dans une méthodologie de référence de la CNIL. Le CESRESS s’est prononcé sur le projet du magazine Le Point en considérant que « La construction des indicateurs retenus dans le palmarès peut conduire à diffuser une information erronée sur les performances relatives réelles des établissements de santé pouvant induire en erreur les patients et être par conséquent contraire à l’intérêt public ».
A la suite de cet avis du CESRESS, la CNIL s’est prononcée sur la demande d’autorisation du Point pour accéder aux données de la base PMSI. La CNIL a refusé d’accorder une autorisation d’accéder à cette base et a précisé les raisons dans une communication du 10 novembre dernier.
La CNIL n’a pas autorisé Le Point à utiliser les données du PMSI, et ce, pour plusieurs raisons :
- Plusieurs biais méthodologiques qui peuvent avoir une influence sur les résultats du classement qui est diffusé au public ont été relevés par le CESRESS ;
- Les indicateurs calculés à partir des données du PMSI pourront avoir une influence sur les choix des personnes dans leurs parcours de soin ;
- La méthodologie n’est pas librement accessible et pour la CNIL cette méthodologie n’est pas suffisamment précise pour permettre aux personnes d’en apprécier la qualité ou les éventuels défauts.
Ainsi, il est logique que la CNIL impose des formalités importantes dans le cadre d’une autorisation au PMSI dans la mesure où elle impose également des formalités importantes dans le cadre des MR 005 et MR006. En particulier, la CNIL impose dans le cadre de la MR005 des obligations de déclaration au HDH comprenant la transmission d’un protocole de recherche, d’un résumé et de la déclaration d’intérêts du responsable de traitement, mais également des obligations de transparence à l’issue de la réalisation de l’étude.
Multiples manquements au RGPD : la CNIL sanctionne Discord Inc à une amende de 800 000 euros
Par une délibération SAN-2022-020 du 10 novembre 2022, la CNIL a sanctionné la société Discord Inc à une amende administrative de 800 000 euros au titre de plusieurs manquements au RGPD.
En l’espèce, la société Discord Inc. édite un logiciel de voix sur IP qui permet à des utilisateurs de discuter via leur microphone et/ou leur webcam via Internet et notamment via des jeux vidéos.
A la suite de contrôles en ligne et sur pièces de la société, la CNIL a retenu différents manquements au RGPD qui sont notamment :
- Un manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnées à la finalité du traitement, avec notamment :
L’absence d’une politique de durées de conservation écrite et de mention de durées de conservation dans le registre des traitements ;
La conservation illimitée de données à caractère personnel sans que des durées n’aient été mises en place ; - Un manquement à l’obligation d’information des personnes en ce que les durées nécessaires pour réaliser les finalités n’étaient pas précisées dans les mentions d’information ;
- Un manquement à l’obligation de protéger les données par défaut, en ce qu’en fermant l’application, cette dernière était toujours active en arrière-plan et permettait de continuer d’écouter les paroles de l’utilisateur dans le salon vocal ;
- Un manquement à l’obligation d’assurer la sécurité des données à caractère personnel, car lors de la création d’un compte sur Discord, la robustesse des mots de passe était trop faible puisque seulement un mot de passe de six caractères incluant des lettres et des chiffres était exigé ;
- Un manquement à l’obligation d’effectuer une analyse d’impact sur la protection des données (AIPD) eu égard au volume à grande échelle de données traitées par la société et de l’utilisation de ses services par des enfants, considérés comme des personnes vulnérables. Ainsi, selon les lignes directrices du Comité européen de la protection des données (CEPD) en la matière et la liste des critères à prendre en compte pour savoir si un traitement nécessite de réaliser une AIPD, deux de ces neufs critères, à savoir le traitement à grande échelle de données et concernant des personnes vulnérables avaient été relevés, ce qui impliquait la réalisation d’une AIPD.
Bien que la société Discord Inc. ait réalisé des efforts pour se mettre en conformité tout au long de cette procédure de contrôle, la CNIL considère que l’activité de la société et sa situation financière doivent notamment être prises en compte pour la détermination du montant de l’amende administrative.
Enfin, la CNIL considère dans sa délibération que la publicité de la sanction se justifie au regard du nombre de personnes concernées, du nombre de manquements commis et de leur gravité.
Perspectives et changements
La HAS réalise un panorama des entrepôts de données de santé hospitalier
La HAS vient de publier un rapport sur les entrepôts de données de santé hospitaliers (EDSH) en France. La HAS recense à ce jour 22 EDSH dont 17 concernent des CHU.
La HAS relève une hétérogénéité de l’écosystème qui ne permet pas ou peu une utilisation des EDSH pour des projets de recherche à l’échelle nationale.
- La HAS propose plusieurs recommandations pour favoriser le développement des EDSH :
- La constitution et pérennisation dans chaque centre d’une équipe dédiée à l’EDSH et qui serait le point de contact privilégié avec les autres directions métiers impliquées (DSI, DIM, DRCI).
- La mise en place d’une gouvernance à trois niveaux (local, interrégional et national) pour créer des groupes de travail thématiques, de la coopération et de la mutualisation ;
- La création d’un socle commun de données précises permettant de cartographier les données intégrées, et qualifier les usages des EDSH à développer ;
- Le renforcement de la transparence sur les données transformées, stockées et analysées, et ce notamment en développant la documentation des codes sources utilisés ;
- L’engagement d’une réflexion sur la systématisation de l’appariment des données de l’EDSH avec les données de facturation.
L’adoption par la CNIL d’un référentiel entrepôt de données de santé applicable aux responsables de traitement en charge de l’exécution d’une mission d’intérêt public novembre 2021 et l’entrée en application prochaine du Data Governance Act (DGA) favoriseront très certainement le développement des EDSH. En revanche, le nombre limité d’entrepôt de données de santé dans le secteur privé ne permet pas à ce jour à la HAS de réaliser un tel panorama.
La nouvelle formation au numérique en santé pour les étudiants en santé
Un arrêté du 10 novembre 2022 introduit une formation au numérique en santé dans la formation socle des étudiants en santé. Cet arrêté concerne les étudiants des formations en santé non médicales ainsi que les étudiants en formation de médecine, odologie, pharmacie, maïeutique ou encore masso-kinésithérapie.
L’arrêté précise les domaines de connaissances et compétences que doit recouvrir cette formation au numérique en santé, à savoir :
- Les données de santé ;
- La cybersécurité en santé ;
- La communication en santé ;
- Les outils numériques en santé ;
- La télésanté.
Ainsi, les futurs professionnels de santé sensibilisés à protection des données personnelles et à la sécurité des systèmes d’information seront en mesure d’appliquer les bonnes pratiques en la matière dans leur exercice professionnel.
Un nouveau décret pour la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques
Par principe, le traitement des numéros d’inscription au répertoire national d’identification des personnes physiques (NIR) est interdit, sauf pour les organismes qui ont été autorisés par le décret n°2019-341 du 19 avril 2019.
Un nouveau décret complétant la liste des finalités et des catégories de responsables des traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ou nécessitant la consultation de ce répertoire a été publié le 27 octobre dernier.
Dans ce décret, on retrouve parmi les nouveaux organismes habilités le fonds d’indemnisation des victimes de l’amiante.
Mais surtout, de nouvelles finalités sont également visées pour réaliser des traitements portant sur le NIR et qui vont permettre de réguler certains usages existants, à savoir :
– la préparation, l’accompagnement, le suivi durable et le maintien dans l’emploi des personnes en situation de handicap, conformément aux missions qui sont dévolues aux organismes de placement spécialisés mentionnés à l’article L. 5214-3-1 du code du travail ;
– la mise à disposition, sur l’espace numérique relatif à la mise à disposition et à la conservation sur support électronique des bulletins de paye et de solde des agents publics, de l’identifiant de connexion des électeurs au système de vote électronique par internet utilisé pour les élections des représentants du personnel au sein des instances de représentation du personnel de la fonction publique : les services compétents des administrations, autorités, collectivités territoriales et établissements publics mentionnés à l’article L.2 du code général de la fonction publique, chargés de l’organisation des scrutins.
Il sera donc désormais possible d’utiliser le NIR notamment dans le cadre de la mise en œuvre des élections professionnelles.
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.
Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.
Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :
La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.