Scroll Top
Datactu Juridique
Partager l'article



*




DATACTU JURIDIQUE FÉVRIER 2023

 

Article rédigé le 24 janvier 2023 par Me Laurence Huin, Raphaël Cavan, Me Adriane Louyer, Céline Cadoret

Actualité juridique données de santé CNIL

La CJUE confirme que le droit d’accès d’une personne suppose la communication de la liste exacte des destinataires de données personnelles lorsqu’elles ont été partagées avec des tiers

Dans cette affaire, un particulier avait, au titre de son droit d’accès (art.15 RGPD), demandé auprès de la poste autrichienne la liste des destinataires de ses données personnelles, demande qui lui a été refusée.

La CJUE, à la suite d’un renvoi préjudiciel de la cour suprême autrichienne, a confirmé le 12 janvier 2023 (affaire C 154/21) que le responsable de traitement est tenu de communiquer à toute personne qui en fait la demande la liste exacte des destinataires des données lorsqu’elles ont été partagées avec des tiers, et non uniquement des « catégories » de destinataires.

La Cour précise toutefois les exceptions permettant de déroger à cette obligation (pt 51)

  • L’impossibilité pour le responsable de traitement d’identifier ces destinataires ;
  • Ou lorsque le responsable de traitement arrive à démontrer que les demandes d’accès de la personne concernées sont manifestement infondées ou excessives.

À ce titre, il semble raisonnable de penser que la communication de l’identité des destinataires des données ne doit pas pour autant atteindre un niveau de précision allant jusqu’au nom et prénom de la personne en charge du service réceptionnant les données personnelles, mais doit permettre à la personne concernée d’identifier clairement la structure, en tant que personne morale, recevant ses données.

Ainsi, il est primordial pour les responsables de traitement dans le cadre de leurs activités de tenir une liste détaillée et mise à jour régulièrement de leurs destinataires de données personnelles pour satisfaire d’éventuelles demandes d’exercice du droit d’accès concernant l’identité des destinataires de leurs données personnelles.

Actualité juridique données de santé Cybersécurité

L’entrée en vigueur de la directive cybersécurité NIS 2

La directive « Network and Information Security 2 » (NIS 2) remplaçant la directive NIS de 2016 visant à établir dans l’UE un seuil d’exigence harmonisé en matière de cybersécurité est désormais en vigueur depuis le 17 janvier 2023.

Le recul sur la première directive NIS permet de constater une absence d’harmonisation et d’homogénéité entre les Etats sur ses dispositions, alors que la guerre en Ukraine, la pandémie du Covid et la multiplication des cyberattaques dans le monde hospitalier mettent en lumière les enjeux vitaux derrière l’instauration d’une cybersécurité performante.

D’autres secteurs stratégiques seront soumis aux mesures de NIS 2. S’agissant des acteurs de la santé, ces derniers déjà visés par la première directive, seront toujours concernés par NIS 2 et devront notamment instaurer des mesures de gestion des risques de cybersécurité en interne, et se soumettre à des obligations en matière de signalement.

Les principales nouveautés de la directive NIS 2 sont :

  • L’inclusion d’un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles et les entités importantes ;
  • Un système de sanction similaire à celui du RGPD, se fondant sur le pourcentage du chiffre d’affaires mondial des entités concernées selon les infractions constatées ;
  • La mise en place du réseau CyCLONe, un groupe de coopération stratégique et d’échange d’informations entre les Etats membres.

NIS 2 laisse aux Etats membres jusqu’au 17 octobre 2024, au plus tard, pour transposer dans leur droit national les dispositions nécessaires pour se conformer à la directive.

Ainsi, de nouvelles exigences de conformité en matière de cybersécurité sont à prévoir pour les acteurs de la santé.

Actualité juridique données de santé

Actualité en santé numérique

  • La fin du seuil maximal d’activité de télémédecine pour les médecins libéraux

À l’occasion de ses vœux adressés aux acteurs de la santé le 6 janvier dernier, le président de la République a fait part de sa volonté « à libérer du temps médical » aux professionnels de la santé.
Une des mesures annoncées est la suppression de l’actuel seuil des 20% d’actes de télémédecine par an qui est imposé aux médecins libéraux, dont le non-respect est susceptible de donner lieu à des actions de l’assurance maladie.
Le ministre de la Santé et de la prévention, François Braun, avait déjà annoncé la suspension de ce seuil jusqu’à fin janvier 2023, tandis qu’en parallèle les rendez-vous en téléconsultations non honorés sont un problème auquel sont confrontés de plus en plus de médecins. Le ministre a annoncé à ce sujet réfléchir avec l’assurance maladie pour « responsabiliser nos concitoyens ».

  • Télésurveillance et DM numériques la HAS ouvre son guichet unique d’évaluation

La Haute autorité de santé (HAS) a annoncé le 12 janvier dernier la création d’un guichet unique afin d’évaluer les dispositifs médicaux (DM) numériques utilisés dans le cadre de la télésurveillance médicale.

Ce guichet unique fait suite à deux décrets publiés le 31 décembre 2022 au Journal Officiel visant à instaurer un remboursement de droit commun de la télésurveillance, à travers le remboursement des solutions numériques de télésurveillance, via une liste spécifique prévue à l’article L162-52 du code de la sécurité sociale [consultable ici], et la prise en charge anticipée des DM numériques à visée thérapeutique et des DM de télésurveillance médicale présumés innovants [consultable ici].

Ce guichet unique accessible via la plateforme Evatech (prochainement disponible), permettra aux exploitants de DM de faire le dépôt d’une demande d’inscription du DM numérique sur la liste des activités de télésurveillance médicale remboursables.

À ce titre, la HAS a annoncé prochainement publier un guide de dépôt ainsi que la trame type du dossier pour les exploitants souhaitant évaluer leur dispositif.

Nullité d’un contrat liant une infirmière libérale et un éditeur de logiciel pour défaut de certification HDS de l’hébergeur

La cour d’Appel de Nîmes a rendu un arrêt le 15 décembre 2022 opposant une infirmière libérale et une société de services en ingénierie informatique adaptée aux professionnels de santé.

L’infirmière avait souscrit auprès de la société un abonnement au logiciel de télétransmission de feuilles de soins aux caisses et aux mutuelles « My Agathe Connect » moyennant la somme de 39 euros par mois pour une durée de quatre ans.

À la suite de difficultés rencontrées avec le logiciel de télétransmission, l’infirmière demanderesse a souhaité résilier son abonnement par lettre recommandée avec AR le 1er octobre 2017.

Le 20 juillet 2018, la demanderesse adresse une nouvelle lettre recommandée avec AR à la société éditrice de logiciel pour la mettre en demeure de lui restituer l’intégralité des mensualités versées au titre de son abonnement au logiciel « My Agathe Connect » et des préjudices subis, en invoquant la violation des dispositions d’ordre public du code de la santé publique relatives à l’hébergement des données de santé à caractère personnel (HDS), ainsi que des dysfonctionnements graves du logiciel, comme des insuffisances des services de maintenance et d’assistance.

En effet, la société sous-traitait ici l’hébergement des données de ses clients auprès d’un prestataire qui n’était pas certifié HDS au moment où le contrat litigieux a été conclu. En l’espèce, l’hébergeur OVH n’a obtenu son agrément HDS que le 14 octobre 2016, alors que l’infirmière téléversait des documents contenant des données de santé sur le logiciel « My agathe Connect » depuis la date de conclusion du contrat, soit le 27 décembre 2013.

L’affaire a été portée devant le tribunal judiciaire d’Avignon qui a fait droit aux demandes de l’infirmière le 16 février 2021. La société défenderesse a interjeté appel de cette décision.

La cour d’Appel de Nîmes est allée dans le même sens que le tribunal judiciaire, et retient la nullité du contrat conclu pour objet illicite du fait de la violation de l’article 1111-8 du code de la santé publique encadrant l’hébergement de données personnelles de santé.

Les juges ont résumé très simplement la situation dans laquelle se trouvaient les parties au litige concernant la nécessité d’avoir un agrément HDS lorsque des données de santé sont hébergées :

« S’il assure lui-même l’hébergement des données télétransmises, l’éditeur du logiciel doit lui-même être agréé. Si l’éditeur sous-traite l’hébergement des données de santé télétransmises à un tiers, un contrat doit les lier et l’hébergeur doit être agréé. »

Ainsi, cette décision a pour vertu de rappeler l’importance de veiller, non seulement à sa conformité en matière de protection de données personnelles, mais aussi celle des prestataires avec lesquels il est envisagé de conclure des relations d’affaires.

Un article plus détaillé sur cette décision sera bientôt disponible sur le site du cabinet,, n’hésitez pas à le consulter.

Actualité juridique données personnelles en santé décryptage

Sanctions de la CNIL adressées à des médecins par le biais de la procédure simplifiée

La CNIL a adressé respectivement à deux médecins le 29 décembre 2022 une amende de 5000€ avec injonction sous astreinte pour ne pas avoir respecté le droit d’accès, et pour défaut de coopération avec les agents de la CNIL.

L’absence de détails sur les circonstances autour des manquements relevés est justifiée par le fait que la procédure répressive dont on fait l’objet ces deux médecins est la nouvelle procédure simplifiée de la CNIL, qui mérite quelques développements concernant son fonctionnement.

Cette nouvelle procédure correctrice intégrée dans la chaine répressive de la CNIL depuis 2022 a pour objectif de sanctionner rapidement les manquements au RGPD dans une affaire ne présentant pas de difficulté particulière, notamment au regard de l’existence d’une jurisprudence bien établie, des précédents connues par la formation restreinte de la CNIL, ou encore par la simplicité des questions de fait et de droit à trancher.

Dans le cadre de cette procédure, la CNIL peut prendre l’une ou plusieurs des mesures suivantes :

  • Un rappel à l’ordre ;
  • Une injonction de mise en conformité du traitement avec ou sans astreinte d’un montant maximal de 100€ par jour de retard ;
  • Une amende administrative d’un montant maximal de 20 000€.

 

En outre, les sanctions prononcées dans le cadre de cette procédure simplifiée ne font pas l’objet d’une communication publique sur légifrance.fr, à la différence de certaines sanctions prononcées dans le cadre de la formation restreinte de la CNIL.

Pour plus d’informations sur cette procédure cliquer ici.

Perspectives & Changements

  • Le déploiement de la nouvelle carte vitale numérique est prévu pour 2023

Après une phase de test réalisée en 2022 dans plusieurs départements, le décret n° 2022-1719 du 28 décembre 2022 prévoit le déploiement en France pour 2023 de la nouvelle carte vitale numérique, appelée aussi « e-carte d’assurance maladie ».

Cet outil numérique s’inscrit dans la feuille de route du gouvernement pour le numérique en santé, actuellement en consultation, et a pour principal objectif de faciliter la relation entre les professionnels de santé et les assurés.

Cette facilitation se traduit par la possibilité de posséder sa carte vitale directement sur son smartphone via une application baptisée « ApCV », et ainsi limiter le risque d’oubli qui retarde le remboursement des frais de santé avancés, mais également par la possibilité de téléverser les feuilles de soins directement dans l’application qui, à terme, intégrera aussi les données des mutuelles de l’assuré.

Aucune date officielle de lancement n’a été communiquée, mais le décret précise que les caisses nationales d’assurance maladie auront jusqu’au 31 décembre 2025 pour déployer cette solution auprès des usagers qui pourront toujours utiliser leur carte vitale physique passé ce délai.

  • La suppression de Contact Covid est annoncée pour le 1er février 2023

Un projet de décret d’application de la loi du 30 juillet 2022 mettant fin aux régimes d’exception contre l’épidémie de Covid-19 prévoit de supprimer le système d’information, Stop Covid, déployé dans le but d’assurer le traçage des cas contacts sur le territoire français.

Cette suppression sonne la fin des collectes de données relatives aux cas contacts, ainsi que la suppression des mentions de cas contact dans les systèmes d’information mis en place par les ARS et dans celui visant à assurer le suivi de la vaccination sur le territoire, Vaccin Covid.

Ces mesures de suppression des données personnelles sont, dans le cas présent, une application concrète du principe de minimisation des données prévue à l’article 5 du RGPD, imposant que les données collectées soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU

01 Juil: Les GIP tous concernés par la loi SREN ?

Dans la continuité de la Doctrine cloud du gouvernement, la loi SREN renforce la souveraineté numérique française et s’applique également à certains GIP.

28 Juin: Datactu Juridique #16 – Juin 2024

Dernières actualités juridiques des données et du numérique en santé et médico-social.

26 Juin: Annuaires de professionnels de santé et scraping font-ils bon ménage?

À l’aune de l’intelligence artificielle, le web scraping permet la collecte de données en ligne mais soulève des questions sur le plan juridique.

21 Mai: Datactu Juridique #15 – Mai 2024

Dernières actualités juridiques des données et du numérique en santé et médico-social.

22 Avr: GHT personne morale : quel futur pour l’exemption HDS ?

Quels sont les impacts sur l’exemption de certification HDS accordée par l’ANS aux GHT qui se doteront d’une personnalité morale sous forme de GCS ?

17 Avr: Datactu Juridique #14 – Avril 2024

Dernières actualités juridiques des données et du numérique en santé et médico-social.

16 Avr: La régulation de l’IA en santé : DPO, RSSI, DJ, DRCI… Tous concernés !

L’IA Act prévoit de nombreuses obligations pour les différents acteurs de la santé : professionnels de santé, juristes, DPO, RSSI, DRCI. Petit tour d’horizon.

20 Mar: Datactu Juridique #13 – Mars 2024

Dernières actualités juridiques des données et du numérique en santé et médico-social.

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.

Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.

Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :

La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).

Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).

Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.