Datactu Juridique
Partager l'article



*


Informations sur la gestion de vos données




DATACTU JURIDIQUE FÉVRIER 2023

 

Article rédigé le 24 janvier 2023 par Me Laurence Huin, Me Adriane Louyer, Céline Cadoret

Actualité juridique données de santé CNIL

La CJUE confirme que le droit d’accès d’une personne suppose la communication de la liste exacte des destinataires de données personnelles lorsqu’elles ont été partagées avec des tiers

Dans cette affaire, un particulier avait, au titre de son droit d’accès (art.15 RGPD), demandé auprès de la poste autrichienne la liste des destinataires de ses données personnelles, demande qui lui a été refusée.

La CJUE, à la suite d’un renvoi préjudiciel de la cour suprême autrichienne, a confirmé le 12 janvier 2023 (affaire C 154/21) que le responsable de traitement est tenu de communiquer à toute personne qui en fait la demande la liste exacte des destinataires des données lorsqu’elles ont été partagées avec des tiers, et non uniquement des « catégories » de destinataires.

La Cour précise toutefois les exceptions permettant de déroger à cette obligation (pt 51)

  • L’impossibilité pour le responsable de traitement d’identifier ces destinataires ;
  • Ou lorsque le responsable de traitement arrive à démontrer que les demandes d’accès de la personne concernées sont manifestement infondées ou excessives.

À ce titre, il semble raisonnable de penser que la communication de l’identité des destinataires des données ne doit pas pour autant atteindre un niveau de précision allant jusqu’au nom et prénom de la personne en charge du service réceptionnant les données personnelles, mais doit permettre à la personne concernée d’identifier clairement la structure, en tant que personne morale, recevant ses données.

Ainsi, il est primordial pour les responsables de traitement dans le cadre de leurs activités de tenir une liste détaillée et mise à jour régulièrement de leurs destinataires de données personnelles pour satisfaire d’éventuelles demandes d’exercice du droit d’accès concernant l’identité des destinataires de leurs données personnelles.

Actualité juridique données de santé Cybersécurité

L’entrée en vigueur de la directive cybersécurité NIS 2

La directive « Network and Information Security 2 » (NIS 2) remplaçant la directive NIS de 2016 visant à établir dans l’UE un seuil d’exigence harmonisé en matière de cybersécurité est désormais en vigueur depuis le 17 janvier 2023.

Le recul sur la première directive NIS permet de constater une absence d’harmonisation et d’homogénéité entre les Etats sur ses dispositions, alors que la guerre en Ukraine, la pandémie du Covid et la multiplication des cyberattaques dans le monde hospitalier mettent en lumière les enjeux vitaux derrière l’instauration d’une cybersécurité performante.

D’autres secteurs stratégiques seront soumis aux mesures de NIS 2. S’agissant des acteurs de la santé, ces derniers déjà visés par la première directive, seront toujours concernés par NIS 2 et devront notamment instaurer des mesures de gestion des risques de cybersécurité en interne, et se soumettre à des obligations en matière de signalement.

Les principales nouveautés de la directive NIS 2 sont :

  • L’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes ;
  • Un système de sanction similaire à celui du RGPD, se fondant sur le pourcentage du chiffre d’affaires mondial des entités concernées selon les infractions constatées ;
  • La mise en place du réseau CyCLONe, un groupe de coopération stratégique et d’échange d’informations entre les Etats membres.

NIS 2 laisse aux Etats membres jusqu’au 17 octobre 2024, au plus tard, pour transposer dans leur droit national les dispositions nécessaires pour se conformer à la directive.

Ainsi, de nouvelles exigences de conformité en matière de cybersécurité sont à prévoir pour les acteurs de la santé.

Actualité juridique données de santé

Actualité en santé numérique

  • La fin du seuil maximal d’activité de télémédecine pour les médecins libéraux

À l’occasion de ses vœux adressés aux acteurs de la santé le 6 janvier dernier, le président de la République a fait part de sa volonté « à libérer du temps médical » aux professionnels de la santé.
Une des mesures annoncées est la suppression de l’actuel seuil des 20% d’actes de télémédecine par an qui est imposé aux médecins libéraux, dont le non-respect est susceptible de donner lieu à des actions de l’assurance maladie.
Le ministre de la Santé et de la prévention, François Braun, avait déjà annoncé la suspension de ce seuil jusqu’à fin janvier 2023, tandis qu’en parallèle les rendez-vous en téléconsultations non honorés sont un problème auquel sont confrontés de plus en plus de médecins. Le ministre a annoncé à ce sujet réfléchir avec l’assurance maladie pour « responsabiliser nos concitoyens ».

  • Télésurveillance et DM numériques la HAS ouvre son guichet unique d’évaluation

La Haute autorité de santé (HAS) a annoncé le 12 janvier dernier la création d’un guichet unique afin d’évaluer les dispositifs médicaux (DM) numériques utilisés dans le cadre de la télésurveillance médicale.

Ce guichet unique fait suite à deux décrets publiés le 31 décembre 2022 au Journal Officiel visant à instaurer un remboursement de droit commun de la télésurveillance, à travers le remboursement des solutions numériques de télésurveillance, via une liste spécifique prévue à l’article L162-52 du code de la sécurité sociale [consultable ici], et la prise en charge anticipée des DM numériques à visée thérapeutique et des DM de télésurveillance médicale présumés innovants [consultable ici].

Ce guichet unique accessible via la plateforme Evatech (prochainement disponible), permettra aux exploitants de DM de faire le dépôt d’une demande d’inscription du DM numérique sur la liste des activités de télésurveillance médicale remboursables.

À ce titre, la HAS a annoncé prochainement publier un guide de dépôt ainsi que la trame type du dossier pour les exploitants souhaitant évaluer leur dispositif.

Nullité d’un contrat liant une infirmière libérale et un éditeur de logiciel pour défaut de certification HDS de l’hébergeur

La cour d’Appel de Nîmes a rendu un arrêt le 15 décembre 2022 opposant une infirmière libérale et une société de services en ingénierie informatique adaptée aux professionnels de santé.

L’infirmière avait souscrit auprès de la société un abonnement au logiciel de télétransmission de feuilles de soins aux caisses et aux mutuelles « My Agathe Connect » moyennant la somme de 39 euros par mois pour une durée de quatre ans.

À la suite de difficultés rencontrées avec le logiciel de télétransmission, l’infirmière demanderesse a souhaité résilier son abonnement par lettre recommandée avec AR le 1er octobre 2017.

Le 20 juillet 2018, la demanderesse adresse une nouvelle lettre recommandée avec AR à la société éditrice de logiciel pour la mettre en demeure de lui restituer l’intégralité des mensualités versées au titre de son abonnement au logiciel « My Agathe Connect » et des préjudices subis, en invoquant la violation des dispositions d’ordre public du code de la santé publique relatives à l’hébergement des données de santé à caractère personnel (HDS), ainsi que des dysfonctionnements graves du logiciel, comme des insuffisances des services de maintenance et d’assistance.

En effet, la société sous-traitait ici l’hébergement des données de ses clients auprès d’un prestataire qui n’était pas certifié HDS au moment où le contrat litigieux a été conclu. En l’espèce, l’hébergeur OVH n’a obtenu son agrément HDS que le 14 octobre 2016, alors que l’infirmière téléversait des documents contenant des données de santé sur le logiciel « My agathe Connect » depuis la date de conclusion du contrat, soit le 27 décembre 2013.

L’affaire a été portée devant le tribunal judiciaire d’Avignon qui a fait droit aux demandes de l’infirmière le 16 février 2021. La société défenderesse a interjeté appel de cette décision.

La cour d’Appel de Nîmes est allée dans le même sens que le tribunal judiciaire, et retient la nullité du contrat conclu pour objet illicite du fait de la violation de l’article 1111-8 du code de la santé publique encadrant l’hébergement de données personnelles de santé.

Les juges ont résumé très simplement la situation dans laquelle se trouvaient les parties au litige concernant la nécessité d’avoir un agrément HDS lorsque des données de santé sont hébergées :

« S’il assure lui-même l’hébergement des données télétransmises, l’éditeur du logiciel doit lui-même être agréé. Si l’éditeur sous-traite l’hébergement des données de santé télétransmises à un tiers, un contrat doit les lier et l’hébergeur doit être agréé. »

Ainsi, cette décision a pour vertu de rappeler l’importance de veiller, non seulement à sa conformité en matière de protection de données personnelles, mais aussi celle des prestataires avec lesquels il est envisagé de conclure des relations d’affaires.

Un article plus détaillé sur cette décision sera bientôt disponible sur le site du cabinet,, n’hésitez pas à le consulter.

Actualité juridique données personnelles en santé décryptage

Sanctions de la CNIL adressées à des médecins par le biais de la procédure simplifiée

La CNIL a adressé respectivement à deux médecins le 29 décembre 2022 une amende de 5000€ avec injonction sous astreinte pour ne pas avoir respecté le droit d’accès, et pour défaut de coopération avec les agents de la CNIL.

L’absence de détails sur les circonstances autour des manquements relevés est justifiée par le fait que la procédure répressive dont on fait l’objet ces deux médecins est la nouvelle procédure simplifiée de la CNIL, qui mérite quelques développements concernant son fonctionnement.

Cette nouvelle procédure correctrice intégrée dans la chaine répressive de la CNIL depuis 2022 a pour objectif de sanctionner rapidement les manquements au RGPD dans une affaire ne présentant pas de difficulté particulière, notamment au regard de l’existence d’une jurisprudence bien établie, des précédents connues par la formation restreinte de la CNIL, ou encore par la simplicité des questions de fait et de droit à trancher.

Dans le cadre de cette procédure, la CNIL peut prendre l’une ou plusieurs des mesures suivantes :

  • Un rappel à l’ordre ;
  • Une injonction de mise en conformité du traitement avec ou sans astreinte d’un montant maximal de 100€ par jour de retard ;
  • Une amende administrative d’un montant maximal de 20 000€.

 

En outre, les sanctions prononcées dans le cadre de cette procédure simplifiée ne font pas l’objet d’une communication publique sur légifrance.fr, à la différence de certaines sanctions prononcées dans le cadre de la formation restreinte de la CNIL.

Pour plus d’informations sur cette procédure cliquer ici.

Perspectives & Changements

  • Le déploiement de la nouvelle carte vitale numérique est prévu pour 2023

Après une phase de test réalisée en 2022 dans plusieurs départements, le décret n° 2022-1719 du 28 décembre 2022 prévoit le déploiement en France pour 2023 de la nouvelle carte vitale numérique, appelée aussi « e-carte d’assurance maladie ».

Cet outil numérique s’inscrit dans la feuille de route du gouvernement pour le numérique en santé, actuellement en consultation, et a pour principal objectif de faciliter la relation entre les professionnels de santé et les assurés.

Cette facilitation se traduit par la possibilité de posséder sa carte vitale directement sur son smartphone via une application baptisée « ApCV », et ainsi limiter le risque d’oubli qui retarde le remboursement des frais de santé avancés, mais également par la possibilité de téléverser les feuilles de soins directement dans l’application qui, à terme, intégrera aussi les données des mutuelles de l’assuré.

Aucune date officielle de lancement n’a été communiquée, mais le décret précise que les caisses nationales d’assurance maladie auront jusqu’au 31 décembre 2025 pour déployer cette solution auprès des usagers qui pourront toujours utiliser leur carte vitale physique passé ce délai.

  • La suppression de Contact Covid est annoncée pour le 1er février 2023

Par une publication sur son site internet le 24 octobre dernier, la CNIL a apporté quelques précisions sur le déroulement des élections professionnelles organisées par les employeurs publics ou privés.

Ces derniers étant en effet amenés à cette occasion à collecter et utiliser les données personnelles des électeurs, la CNIL répond aux questions les plus fréquemment posées en profitant de cette occasion pour rappeler plusieurs principes importants.

Sont notamment abordées la question des mentions que l’employeur peut faire figurer sur la liste électorale concernant ses agents ou salariés ; les formalités du vote par correspondance électronique ; les modalités d’information des électeurs concernés de l’utilisation de leurs données personnelles ; la sécurisation de l’authentification des électeurs en cas de vote électronique…

Pour trouver les réponses à ces questions, c’est par ici !

ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU

24 Jan: Datactu Juridique Janvier 2023

A trop vouloir simplifier l’ANS supprime de ce document des points importants de sa doctrine.

24 Jan: Datactu Juridique Décembre 2022

A trop vouloir simplifier l’ANS supprime de ce document des points importants de sa doctrine.

29 Nov: Datactu Juridique Novembre 2022

A trop vouloir simplifier l’ANS supprime de ce document des points importants de sa doctrine.

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.

Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.

Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :

La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).

Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).

Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.