DATACTU JURIDIQUE MAI 2023
Article rédigé le 24 mai 2023 par Me Laurence Huin, Me Adriane Louyer et Raphaël Cavan
Ménage de printemps du Comité européen de la protection des données : mise à jour et adoption de nouvelles lignes directrices
Le Comité européen de la protection des données (CEPD), a le 28 mars dernier mis à jour deux de ses lignes directrices :
- Celles concernant l’identification de l’autorité chef de file dans le cadre de la procédure du « Guichet unique », pour prendre en compte le cas spécifique de la co-responsabilité prévue à l’article 26 du RGPD ;
- Celles concernant la notification des violations de données, qui apportent des précisions supplémentaires sur la notion de violation, sur la procédure de notification de la violation et sur l’information des personnes concernées.
En outre, le CEPD a décidé d’adopter des lignes directrices sur le droit d’accès qui fourniront des orientations plus précises sur la manière dont ce droit doit être mis en œuvre selon les situations dans lesquelles il est exercé.
Pour consulter l’ensemble de ces lignes directrices sur le site internet de la CNIL, cliquer ici.
Les règles de sécurité applicables aux établissements de santé désignés « opérateurs d’importance vitale » ont été précisées dans deux arrêtés publiés au journal officiel
Les établissements de santé désignés comme étant des « opérateurs d’importance vitale » (OIV) doivent se conformer aux exigences de sécurité posées par la loi de programmation militaire, mais aussi aux dispositions de la directive NIS 2.
Deux arrêtés publiés au JO du 23 avril 2023, dont l’entrée en vigueur est prévue pour le 1er juillet prochain, viennent détailler les exigences imposées aux OIV en matière de sécurité informatique.
Parmi ces exigences, les arrêtés abordent :
- les règles de sécurités devant être respectées pour protéger un système d’information (SI) ;
- les délais dans lesquels les OIV doivent appliquer ces règles ;
- les modalités de déclaration d’un SI « d’importance vitale » auprès de l’Agence nationale de la sécurité des SI (ANSSI) ;
- les modalités de déclaration de certains types d’incidents affectant la sécurité ou le fonctionnent des SI auprès de l’ANSSI.
Les arrêtés précisent également que les OIV disposeront d’un délai de 3 mois à compter de la date d’entrée en vigueur de ces textes, ou de leur désignation en tant qu’OIV, pour se conformer aux exigences qui leur sont imposées en matière de sécurité, de formalités de déclaration de leur SI, et de communication des coordonnées de la personne chargée en interne de les représenter.
L’ANSSI va connaitre prochainement une extension de ses pouvoirs
La loi de programmation militaire (LPM) 2024-2030 présentée au Conseil des ministres le 4 avril dernier prévoit que l’Agence nationale de la sécurité des systèmes informatiques (ANSSI) pourra désormais bloquer les noms de domaines utilisés dans le cadre d’une cyberattaque sans passer par une décision de justice au préalable.
Cette mesure s’inscrit dans la volonté de faire face à l’augmentation incessante des cyberattaques dont sont, notamment très largement victimes les établissements de santé selon le panorama des cyberattaques de l’ANSSI pour l’année 2022.
L’ANSSI pourra donc prendre des mesures correctives radicales, et ce, en étroite collaboration avec les fournisseurs d’accès à Internet (FAI) et les bureaux d’enregistrement des noms de domaine.
La LPM prévoit également que les mesures prises par l’ANSSI seront assorties d’un contrôle a posteriori réalisé par l’autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) qui porteront sur « la justification de la menace et la proportionnalité de la mesure ».
Par ailleurs, les décisions prises par l’ANSSI pourront être contestées devant les juridictions administratives.
Maitre Laurence HUIN, avocate associée du cabinet Houdart & Associés et responsable du département numérique, est intervenue au cours d’un webinaire intitulé « Cybersécurité, les nouveaux textes : une opportunité pour les DPO ! », consultable sur le site du cabinet en cliquant ici.
Actualité en santé numérique
Professionnels et établissements de santé utilisant la plateforme Doctolib : avez-vous procédé à votre notification de violation de données ?
La plateforme Doctolib a annoncé dans un mail adressé le 3 mai dernier aux professionnels de la santé qu’un « incident technique » aurait conduit à l’effacement de données sensibles, notamment des observations de suivi, des compte-rendu d’examen, ou encore des conclusions.
Selon la communication faite par Doctolib, l’incident aurait supprimé les informations entrées sur la plateforme entre le mercredi 26 avril 2023 à 17h40 et le jeudi 27 avril 2023 à 11h40 (soit 18 heures). La plage horaire est courte, mais la perte rapportée est importante car des milliers d’informations sensibles seraient ici concernées par l’incident technique rapporté par Doctolib.
Certains professionnels de santé ont trouvé la réponse de la plateforme insuffisante, étant donné que Doctolib n’a pas appelé les professionnels de santé à procéder à une notification de violation auprès de la CNIL en leur qualité de responsable de traitement, et a rapporté l’incident une semaine après sa survenance.
En effet, la violation de donnée est définie comme étant « une violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Dès l’instant que la disponibilité, l’authenticité, l’intégrité et la confidentialité de données personnelles sont compromises, le traitement de données est sujet à une violation de données à caractère personnel.
Dans le cas de Doctolib, la perte des données rapportée par la plateforme correspond à une perte de disponibilité de la donnée.
Sauf à ce que Doctolib puisse restaurer les données perdues à l’aide d’une sauvegarde, ou que les professionnels de santé aient au sein de leur organisation gardées une trace des données perdues dans l’incident, ou que l’incident n’ait pas engendré un risque pour les personnes, une violation de données doit être notifiée auprès de la CNIL par les praticiens inscrits sur la plateforme et concernés par l’incident.
La CNIL avait à l’occasion de l’incendie OVH en 2021 précisé dans un communiqué consultable sur son site Internet les obligations de notification en cas d’indisponibilité des données (fiche consultable ici).
Cette affaire est l’occasion de rappeler aux professionnels de santé que ces derniers peuvent être sanctionnés par la CNIL en cas de violation de données, comme cela a été le cas pour deux médecins libéraux qui avaient manqué à leur obligation de notification de la violation auprès de la CNIL (article 33 du RGPD).
Un article présent sur le blog du cabinet sur les sanctions adressées aux deux médecins libéraux est consultable en cliquant ici.
« data.ansm » : La nouvelle plateforme issue du partenariat entre l’ANSM et le HDH voit le jour
L’Agence nationale de sécurité des médicaments et des produits de santé (ANSM) a développé avec le soutien du Health Data Hub (HDH) une plateforme permettant de recenser les effets indésirables des médicaments ainsi que les ruptures de stocks de médicaments, dans le cadre du projet appelé « Ordei ».
L’objectif de cette plateforme est d’améliorer l’ouverture et la transparence des données de santé en regroupant au même endroit l’ensemble des informations existantes autour du cycle de production d’un médicament, en s’appuyant notamment sur les données mises à jour une fois par an qui sont issues de différentes bases de données gérées par l’ANSM parmi lesquelles nous retrouvons :
- la base nationale de pharmacovigilance recensant les déclarations d’effets indésirables suspectés d’être dû à des médicaments ;
- la base « Codex » contenant des informations sur les autorisations de mise sur le marché des médicaments ;
- la base des erreurs médicamenteuses ;
- et enfin la base « Trustmed » visant à rassembler les déclarations de rupture et de risque de rupture de stock de médicaments.
La base de données « Open Medic » gérée par la Caisse nationale de l’assurance maladie (CNAM), qui contient des informations sur le remboursement des médicaments (données issues du système national des données de santé) a été également utilisée pour alimenter la plateforme « data.ansm ».
Selon l’ANSM et le HDH, cette plateforme est un site d’information qui « s’adresse à tous, des particuliers aux professionnels de santé en passant par les industriels », comme en témoigne l’iconographie utilisée sur le site facilitant la lecture des informations retranscrites.
Pour consulter la plateforme, cliquer ici.
L’exercice du droit d’accès aux données présentes dans un dossier médical peut être légitimement limitée selon la cour administrative d’appel de Paris
Une patiente admise en soins psychiatriques a formé un recours devant la cour administrative d’appel de Paris à la suite d’un refus implicite opposé par l’AP-HP à ne pas faire droit à sa demande de modification de ses données présentes dans son dossier médical.
Cette dernière considérait qu’elle n’avait pas été informée par l’AP-HP de ses droits au moment de la collecte de ses données par les professionnels de santé l’ayant prise en charge, et que les informations recueillies et inscrites au sein de son dossier médical relevant de sa sphère intime n’étaient pas nécessaires dans le cadre de la mission poursuivie par les services des urgences qui aurait dû solliciter son consentement pour traiter ses données à caractère personnel.
Certes, l’AP-HP a commis une faute en ne tenant pas informé la patiente de ses droits au moment de la collecte, et voit sa responsabilité engagée pour ce motif, mais les limites opposées à la demande de modification des données sont légitimes, dans la mesure où ces informations contribuaient à une meilleure prise en charge et une aide à la prise de décision thérapeutique vis-à-vis de la patiente.
De même, le traitement des données réalisés sur les données de la patiente ne repose pas sur son consentement, mais sur la poursuite d’une mission d’intérêt public, ce qui justifie que les médecins n’ont pas à recueillir le consentement de leurs patients systématiquement, d’autant que ces derniers sont soumis au secret professionnel apportant des garanties supplémentaires dans le traitement réalisé.
Afin de préserver l’intérêt de la patiente et permettre une meilleure prise en charge de celle-ci, la cour administrative d’appel de Paris a donc rejeté les prétentions formulées, et laisse entrevoir les contours des motifs légitimes et impérieux pouvant être opposés pour faire échec aux demandes d’exercice des droits des patients sur leurs données présentes dans leur dossier médical.
Pour comprendre l’intérêt et les enjeux posés par cette affaire dans l’exercice d’une demande d’accès aux données présentes dans un dossier médical, n’hésitez pas à consulter notre article détaillé sur le sujet en cliquant ici (LIEN VERS ARTICLE : « Le droit du patient à modifier son dossier patient”)
La CNIL clôture l’injonction faite à la société FREE MOBILE dans une délibération du 20 mars 2023
Pour rappel, la société FREE MOBILE a été condamnée en novembre 2022 à une amende de 300 000€ en raison de manquements :
- aux droits des personnes concernées (art 12,15 et 21 du RGPD) (droit d’accès et droit d’opposition) pour ne pas avoir donné suite à des demandes formulées par des plaignants dans le respect des délais imposés, et en ne prenant pas en compte l’opposition à la prospection commerciale réalisée ;
- à l’obligation de protéger les données dès la conception (art 25 du RGPD) pour avoir continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait été résilié ;
- à la sécurité des données (art 32 du RGPD) pour avoir transmis par courriel en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société sans que ces derniers soient temporaires ou que leur changement soit imposé.
La formation restreinte de la CNIL avait par ailleurs enjoint la société FREE MOBILE d’apporter une réponse exhaustive aux demandes de droit d’accès formulées par quatre plaignants sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500€ par jour de retard.
Cette réponse devait notamment préciser l’identité du courtier en données auprès duquel leurs données à caractère personnel avaient été obtenues.
La société FREE MOBILE a adressé un courrier à la CNIL le 15 décembre 2022 dans lequel elle précise avoir répondu et communiqué l’identité du courtier pour deux demandes. Concernant les deux autres demandes, la société a précisé ne plus disposer de l’identité du courtier, et a seulement communiqué une information générale à ce sujet auprès des personnes concernées.
La CNIL considère cette information générale n’est pas une réponse satisfaisante, mais prend acte que la destruction des fichiers de livraison relatifs aux données à caractère personnel des plaignants rend matériellement impossible la fourniture de l’identité des courtiers.
Cette décision présente l’intérêt de rappeler que les exigences posées pour assurer le respect du droit à l’information des personnes concernées peuvent être assouplies lorsque la fourniture des informations « se révèle impossible ou exigerait des efforts disproportionnés » (art 14.5.b du RGPD), notamment dans le cas des entités de recherche intervenant dans le cadre d’une méthodologie de recherche (MR)
mais que l’appréciation du caractère « impossible » ou « d’efforts disproportionnés » relève de la libre appréciation de la CNIL en cas de contrôle.
Pour consulter la communication de la CNIL publiée sur son site Internet, cliquer ici.
Perspectives & Changements
Arrivée du dossier pharmaceutique : une nouvelle brique s’ajoute à l’espace numérique de santé
Le décret automatisant l’ouverture du dossier pharmaceutique (DP) pris en application de la loi « Asap » (loi d’accélération et de simplification de l’action publique du 7 décembre 2020) a été publié au Journal Officiel le 4 avril 2023, et vient compléter le triptyque prévu par la loi composé du dossier médical partagé (DMP) et de Mon Espace Santé (aussi appelé « Espace numérique de santé » ou ENS).
Le décret désigne le Conseil national de l’ordre des pharmaciens (CNOP) comme étant le responsable de traitement du DP, qui permettra aux professionnels de la santé (médecin de ville ou hospitalier, pharmaciens d’officine, hospitaliers et biologistes de villes et hospitaliers) de consulter et alimenter ce dernier.
Le CNOP a précisé dans un communiqué que ce DP devrait à terme alimenter l’ENS des individus qui intégrera également l’ordonnance numérique (dont le déploiement progressif est prévu pour 2024) et permettra d’assurer le suivi des produits de santé remboursés et le détail des médicaments délivrés en pharmacie.
Le CNOP aura la charge d’informer l’ensemble des assurés de l’ouverture de leur DP. Ces derniers auront alors 6 semaines à compter de la réception de l’information pour s’opposer en ligne, ou par courrier, à son ouverture. Passé ce délai, le DP pourra faire l’objet d’une demande de clôture (ou même d’ouverture après opposition initiale).
Pour consulter le décret, cliquer ici.
Action coordonnée du CEPD 2023 : Vérification des rôles et des moyens confiés au délégué à la protection des données à caractère personnel
La CNIL a publié sur son site Internet un communiqué annonçant le prochain thème des investigations réalisées dans le cadre de l’action coordonnée (Coordinated enforcement framework) du Comité européen de la protection des données (CEPD).
Les investigations pour l’année 2023 porteront donc sur le rôle et les moyens confiés au délégué à la protection (DPO) des données dans le cadre de la réalisation de ses missions.
Afin d’évaluer le respect l’obligation d’octroyer les ressources suffisantes et adaptées à l’accomplissement des missions confiées au DPO (articles 37 à 39 RGPD), la CNIL a adressé une douzaine de questionnaires à des établissements publics, collectivités territoriales et entreprises privées (notamment dans les secteurs du luxe et des transports), dont les réponses apportées seront alors analysées par la CNIL et ses homologues européens.
A l’issue de cette première vérification, la CNIL précise que des contrôles sur place pourront être menés pour compléter les constatations et que des mesures correctrices pourront être adoptées de façon autonome pour corriger tout manquement constaté.
Un rapport sur les résultats de cette campagne sera publié par le CEPD une fois les actions d’investigations terminées.
Pour consulter le communiqué de la CNIL, cliquer ici.
ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU
Dernières actualités juridiques des données et du numérique en santé et médico-social.
L’IA Act prévoit de nombreuses obligations pour les différents acteurs de la santé : professionnels de santé, juristes, DPO, RSSI, DRCI. Petit tour d’horizon.
Dernières actualités juridiques des données et du numérique en santé et médico-social.
Dernières actualités juridiques des données et du numérique en santé et médico-social.
La CNIL vient d’adopter un nouveau référentiel sur les durées de conservation pour les traitements de données à caractère personnel les plus courants menés dans le secteu
Dernières actualités juridiques des données et du numérique en santé et médico-social.
Dernières actualités juridiques des données et du numérique en santé
Dernières actualités juridiques des données et du numérique en santé
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.