DATACTU JURIDIQUE #8 JUIn 2023
Article rédigé le 6 juillet 2023 par Me Laurence Huin, Me Adriane Louyer et Raphaël Cavan
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
Focus de la CNIL sur l’exercice du droit d’opposition
La CNIL a publié sur son site Internet un article abordant les conditions de dérogation au droit d’opposition en vertu de l’article 23 du RGPD.
Cette fiche outil a pour objectif de donner une grille de lecture plus fournie aux responsables de traitement concernant les conditions à remplir pour limiter une demande d’exercice du droit d’opposition formulée par une personne concernée.
En effet, l’article 23 du RGPD précise que le responsable du traitement ou le sous-traitant peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 du RGPD (visant l’ensemble des droits dont disposent une personne concernée sur ses données à caractère personnel), sous réserve que cette « limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique ».
Ce sont donc ici des éclairages qui sont apportées par la CNIL sur les trois conditions nécessaires que doivent remplir la limitation invoquée, à savoir :
- Le respect de l’essence des libertés et droits fondamentaux ;
- La nécessité et la proportionnalité de la limitation au regard de l’objectif poursuivi ;
- Être prévue par un texte juridique, lequel doit être à une niveau normatif approprié (1), clair, précis et comprenant des dispositions spécifiques (2) mais aussi faire l’objet d’une publicité suffisante pour garantir la prévisibilité de ses effets (3).
En parallèle, la CNIL s’est également lancée dans une campagne de communication autour de l’exercice des droits des personnes sur les réseaux sociaux, dont la première vidéo traite du droit d’opposition.
Pour consulter la fiche sur le site de la CNIL, cliquer ici.
Les établissements médico-sociaux sont à leur tour soumis à l’obligation de signalement des incidents
Une instruction du ministère de la Santé et de la Prévention publiée au Bulletin officiel le 31 mai 2023 est venue étendre l’obligation de déclaration des incidents significatifs ou graves de sécurité des systèmes d’information aux établissements médico-sociaux.
Cette obligation consacrée par le décret n°2016-1214 du 12 septembre 2016 concernait initialement les systèmes d’information de certains acteurs de la santé, notamment les établissements de santé, les hôpitaux des armées, ou encore les organismes et services exerçant des activités de prévention, de diagnostic ou de soins.
Ces derniers doivent lorsqu’un incident significatif ou grave de sécurité survient auprès leur SI déclarer cet incident via le portail de signalement géré par l’Agence du numérique en santé (ANS).
Les établissements médico-sociaux sont désormais soumis à cette obligation de signalement qui, selon l’instruction, concerne également les « incidents susceptibles de toucher d’autres établissements, organismes ou services, notamment en cas d’attaque pouvant se propager vers d’autres entités soit par rebond depuis l’établissement touché soit à la suite d’un incident provoqué par un sous-traitant victime d’une attaque et fournissant des services à plusieurs établissements ».
Pour autant, l’instruction précise que cette obligation ne remplace pas celle de procéder à la notification d’une violation de données à caractère personnel auprès de la CNIL prévue par l’article 33 du RGPD.
Pour plus de précisions, consulter notre article sur notre blog en cliquant ici
Un renforcement du cadre de la sécurité et de l’interopérabilité prévue pour le EHDS
Le projet de règlement européen pour un espace européen des données de santé (EHDS) présenté il y a maintenant plus d’un an par la Commission européenne, et toujours en débat devant les instances européennes, a fait l’objet d’un avis formulé par les eurodéputées de la commission de l’industrie, de la recherche et de l’énergie le 23 mai dernier.
Trois choses sont à retenir de cet avis. La recherche d’un certain équilibre sécuritaire dans la mise en œuvre du RGPD, une exigence d’interopérabilité à renforcer entre les systèmes de santé en Europe, et enfin le cadre de la gouvernance des données à clarifier.
S’agissant de l’équilibre sécuritaire à trouver, l’avis se positionne sur une application « prudente » du RGPD afin de ne pas imposer des restrictions inutiles à la recherche en santé et au partage de données, notamment en matière de développement d’intelligence artificielle (IA), d’outils d’apprentissage automatique à la recherche, permettre la transformation du numérique des soins de santé, mais aussi pour éviter trop de disparité entre les États membres en matière de prévention, diagnostic et traitement.
Pour autant, cette « prudence » rapportée par les membres de la commission ne se fera pas au détriment de la sécurité. En effet, les eurodéputés appellent à la mise en place d’un cadre sécurisé renforcé, y compris vis-à-vis des régulateurs européens. Dans la continuité de cette idée, l’un des amendements au projet de réglementation souhaite imposer une mise en conformité de l’EHDS avec la loi européenne sur la cyber-résilience, encore en débat devant le Parlement européen.
S’agissant de l’interopérabilité, le succès de l’EHDS en tant qu’outil de gestion et de partage des données de santé dans l’ensemble de l’Union européenne repose sur les échanges et l’exploitation des données de santé auprès des différents systèmes de santé, quel que soit la plateforme ou le logiciel utilisé.
Cependant, l’avis rendu pointe du doigt « le manque de normalisation des données de santé », qui pourrait constituer un obstacle majeur à l’interopérabilité souhaitée pour ce projet de réglementation. Dès lors, l’un des amendements en débat prévoit justement l’instauration d’un « format européen d’échange de dossiers de santé informatisés » pour faciliter cette interopérabilité et les échanges de données transfrontaliers.
Enfin, concernant la gouvernance des données de santé, l’avis préconise de s’appuyer sur la législation déjà existante, notamment la loi sur la gouvernance des données (ou « DGA act ») et la loi sur les données.
L’avis se repose donc essentiellement sur les différents textes européens de ces dernières années, et ceux encore en débat, pour assurer le succès de ce projet EHDS ambitieux.
Actualité en santé numérique
Publication du rapport d’activité de la CNIL 2022 : Que retenir pour la santé ?
Le rapport d’activité de la CNIL pour l’année 2022 a été publié sur son site internet le 23 mai dernier.
Le rapport contient un chapitre intitulé « la protection des données dans le secteur de la santé » dans lequel nous apprenons que la CNIL à traiter 453 demandes d’autorisation « recherche » et « santé » dans un délai moyen d’instruction allant de 58 à 66 jours selon la demande traitée.
Au-delà de l’étalage des chiffres clés de son activité, le rapport liste les différents actions marquantes de la CNIL en 2022 dans le secteur de la santé, notamment :
- Assurance maladie complémentaire : clarifier et sécuriser le cadre juridique à l’occasion de la réception de centaines de plaintes de personnes contestant les demandes de transmissions de données de santé effectuées par les complémentaires ;
- Deux référentiels pour l’accès précoce et compassionnel ;
- L’adoption d’un référentiel sur la gestion des officines de pharmacie ;
- L’avis des CNIL européennes sur l’Espace européen des données de santé ;
- « Palmarès des hôpitaux » : le refus d’autoriser le Point à accéder à la base de données nationale ;
- Entrepôts de données de santé : une check-list pour vérifier sa conformité ;
- Mise à jour des méthodologies de référence MR-005 et MR-006, et proposition d’élaboration d’une nouvelle MR-007 et MR-008.
Une année bien remplie pour la CNIL, qui a également créé un service dédié à l’intelligence artificielle, dans le but de renforcer sa compréhension du fonctionnement des systèmes d’IA et de consolider son expertise dans la prévention des risques pour la vie privée liées à la mise en œuvre de ces systèmes, et ce, alors que la nouvelle version du projet de règlement européen sur l’intelligence artificielle est annoncée pour l’été prochain.
Pour consulter le rapport d’activité de la CNIL, cliquer ici.
L’Affaire CNOP & Livmed’s se poursuit devant le Tribunal judiciaire
Livmed’s est une société niçoise ayant développé une application de livraison de médicaments et de produits de santé à domicile, mais revendique ne pas être pour autant une marketplace de médicaments ou produits de santé. En effet, elle se considère comme le relais des pharmaciens dans la livraison des médicaments auprès de leurs patients à l’aide de son réseau de coursiers.
Cependant, le Conseil national de l’Ordre des pharmaciens estime que Livmed’s exerce une activité de vente ou de courtage de médicaments, et l’a donc assignée en référé devant un tribunal judiciaire en mars dernier.
À cette occasion, le juge des référés du tribunal judicaire de Paris avait ordonné une mesure de réouverture des débats visant à interroger les parties sur l’application d’une procédure accélérée au fond, mais depuis le CNOP a décidé de se désister de sa plainte au référé afin de poursuivre Livmed’s au fond.
Livmed’s a depuis le début de cette affaire exprimé sa volonté à vouloir échanger avec le CNOP pour leur présenter leur activité, mais ce dernier aurait refusé le dialogue.
Aujourd’hui, les dirigeants de Livmed’s ont l’impression que « l’Ordre ne veut pas que les pharmaciens se digitalisent » alors que les officinaux n’ont pas, « sauf à de très rares occasions, le temps de réaliser les livraisons eux-mêmes ».
Dès lors, cette tension dans les rapports entre le CNOP et Livmed’s fait réfléchir aujourd’hui les dirigeants de la société de livraison à déposer une plainte contre l’Ordre pour « acharnement ». Affaire à suivre.
Une décision du Tribunal de l’Union Européenne bouleverse le champ d’application du RGPD
Le Tribunal de l’Union européenne (TUE), a rendu le 26 avril dernier une décision dont la solution a été particulièrement partagée et commentée par de nombreux praticiens. Cette décision portait notamment sur la définition d’une donnée à caractère personnel pour un destinataire de données et des conséquences qui en résultent, c’est-à-dire l’application ou non de la réglementation sur la protection des données y afférent.
Pour certains, cette décision remettrait en question la définition des données à caractère personnel pseudonymisées et permettrait ainsi à certains responsables de traitement de s’abstenir de leurs obligations si ces derniers n’étaient pas en mesure de réidentifier les données à caractère personnel auxquelles ils avaient accès. Tel aurait été le cas par exemple d’un organisme mettant en place un entrepôt de données de santé ou réalisant des recherches médicales qui ne serait pas en mesure de réidentifier les personnes. Une telle analyse viendrait alors réduire les obligations à laquelle ces organismes qui réalisent des traitements de données à caractère personnel seraient soumis.
Pour reprendre les termes de la décision du TUE, le RGPD est-il donc une question de « point de vue » ?
Découvrez notre article de fond sur cette décision disponible sur notre blog, en cliquant ici.
Le site web de DOCTISSIMO épinglé par la CNIL
Le site internet doctissimo.fr géré par la société éponyme DOCTISSIMO a fait l’objet d’une plainte déposée auprès de la CNIL par l’association Privacy International, une ONG militant pour la défense des droits de l’Homme.
Les différents contrôles menés par la CNIL ont permis de relever plusieurs manquements au RGPD, notamment :
- Pour avoir défini des durées de conservation des données excessives (article 5.1.e RGPD), dans la mesure où la société conservait les données des utilisateurs relatives aux tests réalisés en ligne pendant 24 mois à compter de leur réalisation, mais aussi pour avoir conservé les données des utilisateurs ayant des comptes inactifs depuis plus de 3 ans sans procédure de pseudonymisation ;
- Pour ne pas avoir recueilli le consentement des personnes concernées (article 9 RGPD), étant donné que le site ne prévoyait aucune information ou de mécanisme de recueil du consentement sur les tests réalisé en ligne par les internautes, alors même que ces derniers permettaient de collecter des données de santé et de les rattacher à l’adresse IP de la personne ayant réalisé le test (5% des tests en ligne seraient concernés) ;
- Pour ne pas avoir formalisé par un contrat les traitements effectués avec un autre responsable de traitement (article 26 RGPD), notamment dans le cadre de la commercialisation des espaces publicitaires sur le site web ;
- Pour ne pas avoir mis en œuvre les mesures techniques et organisationnelles suffisantes pour assurer la sécurité des données personnelles collectées (article 32 RGPD), en raison d’une conservation insuffisamment sécurisée des mots de passe de ses utilisateurs, et de l’utilisation sur son site web d’un protocole de communication « http » depuis 2019 réputé non sécurisé et exposant les données à des risques d’attaques informatiques ou de fuite ;
- Pour le dépôt de cookies publicitaires sur le terminal de l’internaute dès son arrivée sur le site web avant même qu’il puisse consentir ou non à leur dépôt, mais aussi après avoir cliqué sur le bouton « Tout Refuser » de la bannière cookie du site web (article 82 Loi Informatique et Libertés).
Au regard de ces éléments, la formation restreinte de la CNIL a décidé de prononcer le 11 mai dernier deux amendes à l’encontre de la société DOCTISSIMO : une de 280 000€ au titre des manquements au RGPD, et une de 100 000€ concernant l’utilisation des cookies, soit un total de 380 000 €.
Que retenir de cette sanction ? Un traitement de données à caractère personnel considéré « sensibles » au sens de l’article 9 du RGPD est en principe interdit, sauf à ce que le responsable de traitement soit en mesure de mobiliser l’une des exceptions prévues par l’article 9.2-a) à j) du RGPD. Lorsque l’exception invoquée est le consentement de la personne concernée (article 9.2-a) RGPD), la CNIL rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données de santé.
Par ailleurs, lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données de santé, il est nécessaire que l’utilisateur ait pleinement conscience que ses données de santé seront traitées et conservées par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.
Enfin, cette sanction nous confirme l’importance qu’ont les éditeurs de site internent à veiller à ce qu’un protocole « https » soit bien utilisé lorsque des données à caractère personnel sont collectées et conservées par le biais de leur site web, mais aussi de vérifier que leur bannière cookies soit opérationnelle malgré l’existence d’un bouton « Tout Refuser », lequel n’est pas gage qu’aucun cookie publicitaire soit réellement déposé sur le terminal de l’internaute.
Pour consulter la délibération de la CNIL, cliquer ici, et son communiqué consultable sur son site internet, cliquer ici.
Perspectives & Changements
La CNIL se prononce sur le projet de fusion de la carte d’identité et de la carte vitale
Le ministre des Comptes publics a annoncé un projet de fusion de la carte d’identité et de la carte vitale dans le but de lutter contre la fraude sociale existante autour de la délivrance des prestations de soins.
Cette annonce est le prolongement de la mission confiée à l’Inspection générale des affaires sociales (IGAS) et l’Inspection générale des finances (IGF) chargées d’examiner différents scénarios pour renforcer l’efficacité des dispositifs de lutte contre la fraude sociale. L’IGAS et l’IGF ont dès lors retenu deux scénarios : la mise place d’une carte vitale biométrique ou la fusion de la carte vitale avec la carte d’identité. La CNIL a été auditionnée le 13 mars dernier dans le cadre de cette mission et s’est exprimée officiellement sur deux scénarios.
Concernant la mise en place d’une carte vitale biométrique, la CNIL y est défavorable et considère ce scénario comme présentant le niveau de risques le plus élevé d’atteinte à la vie privée et aux libertés individuelles, en raison de la sensibilité des données en cause et des risques importants pour les personnes en cas d’attaque informatique visant les données biométriques des assurés. Elle souligne également les difficultés en cas de délégation de la carte vitale (utilisation par un proche) qui pourrait compromettre la prise en charge de la personne, mais également les problèmes de déploiement chez les professionnels de la santé qui devraient s’équiper de dispositifs de contrôle biométrique.
Par ailleurs, le rapport publié en ligne par l’IGAS et l’IGF le 31 mai dernier conclu à un risque juridique majeur, et que les gains apportés en termes de lutte contre la fraude apparaissent très limités rendant ainsi la proportionnalité du traitement biométrique difficile à établir.
Concernant la fusion de la carte vitale avec la carte d’identité, la CNIL estime que l’intégration du numéro de sécurité sociale (NIR) dans la carte d’identité électronique était la solution la moins intrusive et la moins risquée parmi les différents scénarios envisagés.
Elle rappelle toutefois que le NIR est une donnée particulièrement sensible du fait qu’elle constitue une donnée unique attribuée à chaque Français, et a formulé des recommandations visant à assurer des garanties techniques et juridiques pour la sécurité et le respect de la vie privée des assurés : compartiment cloisonné, mesures de sécurité particulières pour empêcher la communication du NIR a des personnes non autorisées, application du secret professionnel à toutes les personnes accédant au NIR, ou encore possibilité pour l’assuré de s’opposer à la fusion de sa carte vitale avec sa carte d’identité et mise en place d’alternatives à l’utilisation de la carte d’identité.
À ce jour, le scénario retenu par le gouvernement est donc celui de la fusion de la carte vitale avec la carte d’identité, mais le projet est encore loin de faire l’unanimité. Affaire à suivre
Pour consulter le communiqué de la CNIL, cliquer ici.
Les forfaits de rémunération de la télésurveillance médicale désormais fixés par arrêté
Un arrêté publié le 23 mai au journal officiel est venu fixer les montants forfaitaires pris en charge par l’assurance maladie lors d’une activité de télésurveillance médicale.
Concernant le montant forfaitaire « technique » visant à rémunérer les exploitants ou les distributeurs au détail mettant un dispositif médical (DM) numérique, celui-ci est fixé au regard de l’intérêt organisationnel ou de l’intérêt clinique apprécié selon l’impact sur la qualité de vie, la morbidité, ou la mortalité.
Ce montant forfaitaire est versé sous forme d’un versement mensuel non-cumulable, dont le minimum est encadré selon l’intérêt identifié, et dont le montant est dégressif selon le nombre de patient présent dans la file active mensuelle sur une période de référence moyenne de 6 mois (0 à 4 999 patients, 5 000 à 7 999, […] au-delà de 100 000 inclus …).
Concernant le montant du forfait « opérateur » amené à rémunérer le/les soignant(s), celui-ci est fixé au regard des moyens humains, de l’accompagnement thérapeutique et des actes de coordination entre professionnels de santé qui sont nécessaires pour la prise en charge du patient et varie selon le niveau de l’opérateur.
Un opérateur de niveau 1 sera rémunéré mensuellement 11€ par patient, tandis qu’un opérateur de niveau 2 percevra 28€.
En parallèle de cet arrêté, l’Uncam (Union nationale des caisses d’assurance maladie) avait fixé dans une décision publiée en avril dernier au journal officiel le taux unique de participation des assurées à 40% pour la télésurveillance et les dispositifs médicaux (DM) numériques à visée thérapeutique.
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.