Datactu Juridique
Partager l'article



*


Informations sur la gestion de vos données




DATACTU JURIDIQUE

JANVIER 2022

 

Article rédigé le 29 novembre 2022 par Me Laurence Huin, Me Adriane Louyer, Céline Cadoret

Actualité juridique données de santé CNIL

La CNIL rappelle les règles en matière de vente de fichiers clients  

A la suite de l’annonce de la vente aux enchères du fichier client de la société Camaïeu, la CNIL a, dans une publication récente, précisé les conditions de vente d’un fichier client.

La CNIL précise tout d’abord que seuls les fichiers qui ont été constitués dans le respect de la réglementation peuvent faire l’objet d’une vente. Par ailleurs, le fichier client ne doit contenir que les données utilisées à des fins de prospection commerciale et dont les données ne sont pas conservées plus de 3 ans à compter de la fin de la relation commerciale. Seules les données des clients qui ne se seront pas opposés à la transmission de leurs données par voie postale ou téléphonique ou ceux qui ont consenti à la transmission de leurs données à des fins de prospection pourront être transmises à l’acquéreur. Une fois le fichier transmis à l’acquéreur, ce dernier devra informer les personnes concernées dès que possible, et au plus tard dans un délai d’un mois, sur le nom de la société à l’origine de la vente du fichier client.

Enfin, dans le cadre d’une prospection par voie électronique, l’acquéreur devra être en mesure de démontrer qu’il a obtenu le consentement éclairé des personnes concernées. Deux situations peuvent être distinguées, soit le vendeur a obtenu le consentement de ses clients pour les opérations de prospection de l’acquéreur, soit le vendeur n’a pas obtenu ce consentement. Dans ce deuxième cas, l’acquéreur devra lui-même recueillir ce consentement à la prospection électronique.

Dans le cas de Camaïeu, la société a finalement renoncé à la vente de son fichier client.

Actualité juridique données de santé Cybersécurité

ACTUALITÉ DE LA CYBERSÉCURITÉ

  • L’ANSSI lance « MonServiceSécurisé » : un outil permettant de sécuriser et d’homologuer les services publics en ligne

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a lancé un service gratuit et collaboratif dénommé « MonServiceSécurisé » qui permet de sécuriser et d’homologuer des services publics numériques tels que des sites internet ou encore des applications mobiles.

Ce service contient en particulier une liste personnalisée de mesures de sécurité à mettre en œuvre, un indice cyber final pour évaluer le niveau de sécurité et une homologation clé-en-main.

  • Un catalogue de référence des solutions pour constituer un entrepôt de données de santé

Dans le cadre de l’appel à projets (APP) « Accompagnement et soutien à la constitution d’entrepôts de données de santé hospitaliers » (en ce sens, voir notre article paru dans la revue DSIH), le ministère de la Santé et de la Prévention et le Health Data Hub ont créé un catalogue de solutions numériques permettant la constitution ou le maintien d’un entrepôt de données de santé (EDS).

Ce catalogue contient d’ores et déjà quatorze solutions référencées. Ce catalogue est consultable sur le site Gouvtech sur ce lien.

  • La directive NIS 2 publiée au Journal officiel de l’Union européenne

La directive dénommée « NIS 2 » vient d’être publiée le 27 décembre dernier au Journal officiel de l’Union européenne (JOUE) et abroge la première directive NIS adoptée en 2016. Cette nouvelle directive élargit le champ d’application de cette directive en intégrant de nouveaux secteurs concernés (administration publique, gestion des déchets, services postaux). La directive renforce les pouvoirs de contrôle des autorités nationales et prévoit la possibilité de prononcer des amendes administratives, à l’encontre des entités qui ne respecteraient pas certaines de leurs obligations, pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour les « entités essentielles » ou 7 millions d’euros et 1,4% du chiffre d’affaires annuel pour les « entités importantes ».

Cette nouvelle directive entrera en vigueur 20 jours après sa publication au JOUE et devra faire l’objet d’une transposition par le législateur national dans les 21 mois à compter de son entrée en vigueur.

Actualité juridique données de santé

La nouvelle feuille de route du numérique en santé 2023-2027

Lors du Conseil du numérique qui a eu lieu le 14 décembre 2022, la délégation ministérielle au numérique en santé (DNS) a dévoilé la nouvelle feuille de route du numérique en santé pour les années 2023 à 2027.

Cette feuille de route contient quatre axes :

  • Développer la prévention et rendre chacun acteur de sa santé ;
  • Dégager du temps pour tous les professionnels de santé et améliorer la prise en charge des personnes grâce au numérique ;
  •  Améliorer l’accès à la santé pour les personnes et les professionnels qui les orientent ;
  •  Déployer un cadre propice pour le développement des usages et de l’innovation numérique en santé.

La feuille de route est en concertation jusqu’au 14 mars 2023. Pour y participer, c’est par ici !

Transfert de données hors UE : les anciennes clauses contractuelles types (CCT) ne sont plus valables

En 2021, la Commission européenne a mis à jour ses clauses contractuelles types permettant aux exportateurs de données personnelles de transmettre ces données en dehors de l’Union européenne. Une période de transition a alors permis aux exportateurs de mettre à jour les anciennes clauses contractuelles types de la Commission de réaliser des transferts de données vers un pays tiers. La CNIL rappelle dans une publication récente qu’à partir du 27 décembre 2022, les exportateurs de données ne pourront plus utiliser les anciennes clauses contractuelles types, même celles signées avant juin 2021, afin d’encadrer les transferts de données vers un pays tiers.

Les responsables de traitement qui sont amenés à réaliser des transferts de données en dehors de l’Espace Economique Européen doivent donc s’assurer, si ce n’est déjà fait, que les clauses contractuelles types qui encadrent les transferts de données personnelles ont bien été mises à jour.

Actualité juridique données personnelles en santé décryptage

Sanction de 300 000 euros à l’encontre de la société Free

Par une délibération du 30 novembre 2022, la CNIL a prononcé à l’encontre de la société Free une sanction administrative de 300 000 euros.

En effet, cette dernière a été saisie de 41 plaintes à l’encontre de la société Free, qui faisaient notamment état de difficultés rencontrées dans l’exercice de leurs droits d’accès ou d’effacement, ou de manquements relevés à la sécurité des données à caractère personnel. En 2019, environ 4 100 Freebox avaient été remises en circulation sans que leur reconditionnement ne soit effectif, c’est-à-dire sans que les données du précédent abonné ne soient effacées du disque dur de la Freebox.

Ainsi, la CNIL a relevé plusieurs manquements au RGPD à savoir :

  • Un manquement en lien avec l’exercice des droits :
  •  Au regard du droit à l’information et du droit d’accès aux données à caractère personnel, la formation restreinte de la CNIL considère que la société n’a pas traité les demandes d’accès qui lui ont été adressées dans le délai d’un mois qui lui était imparti, mais également, a fourni une réponse incomplète s’agissant de la source des données ;
  •  Au regard du droit à l’effacement, la formation restreinte relève un manquement également au RGPD dès lors que les demandes d’effacement de leurs données formulées par les plaignants auraient dû être traitées dans les délais impartis.
  •  Un manquement à l’obligation d’assurer la sécurité des données à caractère personnel :
  •  En raison de l’insuffisante robustesse des mots de passe pour les comptes des abonnés (uniquement huit caractères pouvant être les mêmes) ainsi que leur stockage en clair et transmission (via un simple courrier électronique ou postal) aux abonnés de la société ;
  •  En raison de l’insuffisance des mesures techniques et organisationnelles mises en œuvre dans le cadre du processus de reconditionnement des boîtiers « Freebox », ce qui a permis que les données des précédents abonnés y figurent toujours ;
  • Un manquement à l’obligation de documenter toute violation de données à caractère personnel dès lors que la documentation établie à l’issue des journées de contrôle réalisées par les agents de la CNIL concernant notamment le reconditionnement des boîtiers « Freebox » ne permettait pas de prendre connaissance des mesures prises pour remédier à la violation de données à caractère personnel et de ses effets.

Outre la sanction administrative, la CNIL a également prononcé une injonction à l’encontre de la société Free d’apporter une réponse exhaustive aux demandes de quatre plaignants qui souhaitaient connaître la source des données et notamment le courtier de données, qui ont été collectées par Free, les concernant. Cette injonction est assortie d’une astreinte de 500 euros par jour de retard à l’issue d’un mois suivant la notification de la présente délibération.

Perspectives et changements

  • Adoption du CEPD de trois décisions importantes concernant Facebook, Instagram et WhatsApp

Le Comité européen à la protection des données adopte de nouvelles décisions contraignantes dans le cadre d’une procédure de règlement des litiges à l’encontre du groupe Meta (Facebook, Instagram, WhatsApp). Ce n’est pas la première fois que le CEPD adopte une telle décision contraignante, il l’a déjà fait le 28 juillet dernier à l’encontre d’Instagram.

Un désaccord entre l’autorité de protection des données irlandaises et d’autres autorités de protection européennes dont la CNIL, est survenu sur les projets de décision préparés par l’autorité irlandaise. Le CEPD dans sa décision contraignante a répondu à la question de savoir si le choix de la base légale de l’exécution du contrat était approprié au traitement des données personnelles dans le cadre de la publicité comportementale pour Facebook et Instagram et pour l’amélioration des services pour WhatsApp. La CNIL précise dans son communiqué sur cette décision contraignante que le CEPD publiera ses décisions après la notification de la décision de l’autorité irlandaise au responsable du traitement.

  • La nouvelle formation au numérique en santé pour les étudiants en santé

Un arrêté du 10 novembre 2022 introduit une formation au numérique en santé dans la formation socle des étudiants en santé. Cet arrêté concerne les étudiants des formations en santé non médicales ainsi que les étudiants en formation de médecine, odologie, pharmacie, maïeutique ou encore masso-kinésithérapie.

L’arrêté précise les domaines de connaissances et compétences que doit recouvrir cette formation au numérique en santé, à savoir :

  • Les données de santé ;
  •  La cybersécurité en santé ;
  •  La communication en santé ;
  • Les outils numériques en santé ;
  • La télésanté.

Ainsi, les futurs professionnels de santé sensibilisés à protection des données personnelles et à la sécurité des systèmes d’information seront en mesure d’appliquer les bonnes pratiques en la matière dans leur exercice professionnel.

  • Le CEPD met à jour le référentiel « BCR » responsable de traitement

Les règles d’entreprise contraignantes (ou BCR) sont un outil permettant à un groupe d’entreprise ou une société de transférer des données personnelles en dehors de l’Espace économique européen. L’approbation des BCR d’un groupe d’entreprise ou d’une société se fait à l’issue d’une procédure d’instruction de la CNIL ainsi que d’une saisine du CEPD au cours de l’instruction pour avis. A ce titre, le CEPD a mis à disposition en 2018 un référentiel pour les groupes d’entreprise qui sont responsables de traitement, mais également pour les groupes d’entreprise sous-traitant de données personnelles.

Le CEPD vient d’adopter de nouvelles recommandations sur la demande d’approbation et sur les éléments et principes devant figurer dans les BCR du responsable de traitement. Une mise à jour du référentiel applicable au BCR « sous-traitant » est en cours d’élaboration. La CNIL précise dans une communication que ces nouvelles recommandations prennent en compte les interprétations des autorités de protection des données dans le cadre de la procédure d’adoption des BCR. Par ailleurs, ces nouvelles recommandations intègrent les conséquences de l’arrêt Schrems II rendu par la CJUE en juillet 2020 et imposent aux responsables de traitement de procéder à une analyse de la législation du pays tiers de destination des données préalablement à tout transfert.

Ces nouvelles recommandations du CEPD sont soumises à consultation publique jusqu’au 10 janvier 2023, c’est par ici !

ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU

24 Jan: Datactu Juridique Décembre 2022

A trop vouloir simplifier l’ANS supprime de ce document des points importants de sa doctrine.

24 Jan: Datactu Juridique Février 2023

Février arrive, retrouverez toutes les dernières actualités du numérique en santé.

29 Nov: Datactu Juridique Novembre 2022

A trop vouloir simplifier l’ANS supprime de ce document des points importants de sa doctrine.

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.

Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.

Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :

La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).

Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).

Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.