Scroll Top
header-datactu-2
Partager l'article



*




DATACTU JURIDIQUE MARS 2023

 

Article rédigé le 8 mars 2023 par Me Laurence Huin, Raphaël Cavan

La CNIL a publié un guide RGPD pour les organisations syndicales de salariés

Dans l’optique d’accompagner les organisations syndicales de salariés dans leur mise en conformité avec le RGPD, la CNIL a publié un guide de sensibilisation au RGPD qui leur est dédié.

Ce Guide est né des difficultés d’application des règles « Informatiques et Libertés » constatées au cours de contrôles réalisés par la CNIL en 2018 portant sur le traitement des données personnelles des adhérents de plusieurs organisations syndicales de salariés.

Une consultation publique a ensuite été réalisée en 2022 à ce sujet afin de compléter les contributions au guide.

La CNIL dans son communiqué du 23 février 2023 précise que le guide est composé :

  • d’un avant-propos et d’une introduction expliquant les missions de la CNIL ainsi que les termes essentiels à la compréhension du guide ;
  • de douze fiches thématiques reprenant les principes « Informatique et Libertés » ;
  • d’un glossaire, définissant les termes techniques ;
  • de deux annexes : une fiche de sensibilisation récapitulant cinq bons réflexes à adopter lors d’un traitement de données ainsi qu’une fiche de registre des activités de traitement vierge.

Il est intéressant de noter que ce guide comporte de nombreux exemples et recommandations concrètes pour les organisations syndicales, bien plus que le guide à destination des associations publié en novembre 2021. Les associations pourront donc facilement s’y reporter pour identifier de bonnes pratiques pouvant s’appliquer également à leur situation.

Pour consulter le guide, cliquer ici .

Le rapport de l’ANSSI sur le panorama de la Cybermenace 2022

Le rapport établi par l’ANSSI précise qu’en 2022, 10% des victimes dont l’agence a connaissance concerne des établissements de santé, tandis que les PME et les collectivités territoriales restant les plus visées par les cyberattaques (63%).

Il nous apprend également que le groupe le plus actif en matière de cyberattaque est le groupe LockBit qui avait notamment réussi en août 2022 à compromettre le système informatique du Centre hospitalier Sud Francilien avant de publier une partie de ses données fin septembre.

L’ANSSI met en évidence que les attaquants se servent de plus en plus du thème de la santé pour piéger leurs victimes, notamment en se faisant passer pour la CNAM et en profitant de l’actualité autour de la création de « Mon espace santé ».

Parmi les failles les plus exploitées par les opérateurs de rançongiciels, le rapport identifie que les patchings tardifs des pares-feux et routeurs exposés sur internet sont les points les plus vulnérables d’un système informatique. Le rapport relève également l’usage de botnets pour réaliser des dénis de service ou de serveurs de commande.

Pour lire le rapport, cliquer ici.

Le CERT Santé publie une fiche concernant la sécurisation des accès à distance des prestataires

Les accès à distance utilisés par les prestataires pour assurer la maintenance ou la téléassistance sont souvent visés par des tentatives de cyberattaque, dans le but de détourner les identifiants de connexion et ainsi compromettre l’intégrité du Système informatique.

Cette fiche est l’occasion pour le CERT santé de recommander l’usage par le prestataire de l’accès VPN déjà mis en place par les établissements, et de limiter l’accès aux machines uniquement à celles nécessaires avec les droits appropriés et une mise en œuvre d’une authentification forte.

Cette fiche propose un ensemble d’exigences de sécurité pouvant être intégrées dans un contrat liant un établissement avec son prestataire chargé de la maintenance informatique et permettra d’être une référence lors des négociations avec les prestataires informatiques.

Pour les établissements soumis aux règles de la commande publique, les services achats devront également se référer à cette fiche pour établir le cahier des charges du marché et reporter ses exigences au titulaire du marché.

La fiche est consultable ici.

Actualité juridique données de santé

Actualité en santé numérique

  • Ethik-IA et l’AP-HP présentent leur label de “garantie humaine” pour l’intelligence artificielle en santé

Le 2 février dernier au campus de PariSanté a été présenté par les sociétés Digital Medical Hub, issue de l’AP-HP, et Ethik-IA « le premier label européen de conformité en garantie humaine ».

Le label proposé par l’AP-HP et Ethik-IA vise à garantir la conformité d’un dispositif médical (DM) utilisant l’IA aux exigences posées par le prochain règlement européen sur l’IA (IA Act), et au principe de garantie humaine posée par la loi bioéthique du 2 août 2021.

Cette garantie humaine consisterait en une supervision de l’IA dès sa conception, son déploiement et ses éventuelles modifications apportées au cours de son utilisation.

Ce label serait valable deux ans, et pourra être délivré à la suite d’un audit initial complet portant sur les éléments liés à la sécurité des systèmes d’information et la conformité juridique pour éviter que l’IA « ne prenne le pas sur les médecins ou bafoue les droits et libertés fondamentaux » explique le responsable juridique et délégué à la protection des données du Digital Medical Hub.

La mise en place de ce label n’exclut pas pour autant la réalisation d’un contrôle externe par les autorités de régulation compétentes. En matière d’IA, le règlement européen IA Act prévoit la désignation d’une autorité nationale, qui dans le cas de la France semble se tourner vers La Commission nationale de l’informatique et des libertés qui s’est récemment dotée d’un service dédié à l’intelligence artificielle.

Un premier DM labellisé est annoncé pour le premier semestre 2023, et des travaux entre Ethik-IA et l’Association française de normalisation (Afnor) ont été entamés pour mettre en place une norme Afnor nécessaire dans l’obtention du label.

  • Publication de la 4ème édition de la doctrine du numérique en santé

Elément marquant en ce début d’année : la publication de la 4ème édition de la doctrine du numérique en santé le 21 février 2023, imposant des règles en matière d’interopérabilité, de sécurité et d’éthique aux services numériques d’échange et de partage de données de santé.

À ce sujet, différents articles de fond seront publiés prochainement sur le site du cabinet Houdart&Associés.

La CNIL publie les critères à respecter en matière de demandes d’autorisation en santé

La CNIL a publié deux fiches pour accompagner les responsables de traitement souhaitant déposer une demande d’autorisation de traitement dans le cadre de la santé à des fins de recherche ou hors-recherche.

L’objectif de ces fiches est de pouvoir dresser l’ensemble des questions à se poser en tant que responsable de traitement avant le dépôt d’une demande d’autorisation qui constitueront les points d’attention de la CNIL au cours de son instruction du dossier, mais aussi de lister l’ensemble des pièces nécessaires à joindre au dossier de demande.

La demande d’autorisation en santé (en recherche ou hors-recherche) doit être en mesure de détailler les caractéristiques du traitement envisagé tant sur les aspects techniques que sur les aspects juridiques mis en œuvre.

A ce titre, les fiches produites par la CNIL rappellent aux responsables de traitement les points de vigilance à observer en amont du dépôt d’une demande d’autorisation, et les critères d’octroi évalués par la CNIL lors de son instruction.

  • En amont du dépôt d’une demande d’autorisation :

On distinguera deux situations :

    • En matière d’autorisation hors recherche, la CNIL rappelle aux responsables de traitement de s’assurer en amont à ce que le type de traitement envisagé ne fasse pas l’objet d’un référentiel, auquel cas une simple déclaration de conformité devra être faite à la place d’une demande d’autorisation.
    • En matière d’autorisation dans le cadre d’une recherche, la CNIL appelle à la vigilance des responsables de traitement de veiller à ce que la recherche envisagée (impliquant la personne humaine ou non) ne rentre pas dans les critères établis dans ses méthodologies de référence (MR), auquel cas une simple déclaration de conformité devra là aussi être réalisée à la place d’une demande d’autorisation.
  • S’agissant des critères d’octroi évalués lors de l’instruction

La CNIL souligne l’importance pour les dossiers, quelque que soit le type d’autorisation demandée, de documenter la conformité aux grands principes du RGPD, notamment la détermination du responsable de traitement, l’identification et l’encadrement des sous-traitants, la justification d’une finalité « d’intérêt public », une base légale adaptée, le respect du principe de minimisation, l’information des personnes concernées, etc…

Les fiches font également référence au respect du référentiel de sécurité SNDS (Arrêté du 22 mars 2017) pour les traitements contenant des données issues du SNDS, et précisent que le dossier de demande devra mentionner les modalités de mise à disposition des données et, s’il y a lieu, les documents d’homologation ainsi que l’AIPD réalisée pour le traitement dans sa globalité.

Pour plus d’informations :

Sanction OVH : Le tribunal de commerce de Lille sanctionne le manque de diligence de OVH

Au cours de la nuit du 9 au 10 mars 2021, l’un des data centres d’OVHcloud a été victime d’un incendie provoquant la perte totale des données de certains de ses clients.

Parmi ces clients, la SAS FRANCE BATI COURTAGE, a perdu l’intégralité de ses données dans l’incendie. Cette société avait souscrit un contrat d’hébergement auprès d’OVH, mais également un autre contrat de service de sauvegarde automatique concernant le service « auto-backup » qui prévoyait « La réalisation de sauvegardes automatiques quotidiennes, répliquées 3 fois et stockées sur une infrastructure physiquement isolée du serveur principal ».

Le tribunal reconnait que OVH était soumis à une obligation de moyens dans l’exécution des contrats qui la liait avec la société Bati Courtage, « en raison de la haute technicité du service » proposé. Pour autant, le fait pour OVH d’avoir stocké les copies de sauvegarde au même endroit que le serveur principal constituait un manquement à ses obligations contractuelles.

La SAS OVH a essayé d’invoquer les stipulations relatives à la force majeure prévu dans le contrat pour écarter sa responsabilité, mais le tribunal de Lille a rejeté son argumentation en relevant que « Avec de telles dispositions, tout sinistre doit systématiquement être considéré comme un cas de force majeure qui dégage la responsabilité et libère de ses engagements la SAS OVH ».

Les juges poursuivent et estiment qu’une telle clause « contredit l’essence même de l’obligation » d’OVH qui dès lors « n’est jamais tenue de réaliser sa mission au moment où, pourtant, celle-ci est nécessaire », d’autant que le rapport des pompiers paru un an après le sinistre révèle que le bâtiment n’était pas en mesure de couper l’électricité et ainsi de limiter la propagation de l’incendie.

Ainsi, le tribunal de Lille a identifié dans l’obligation d’assurer une sauvegarde des données hébergées, une obligation essentielle dans le contrat passé entre OVH et Bati Courtage à laquelle la clause de force majeure ne saurait faire obstacle.

OVH a donc été condamné à verser 100 000 euros à la société Bati Courtage, alors que 140 entreprises ayant perdu également leurs données dans l’incendie sont en train de se réunir dans le cadre d’un recours collectif : Affaire à suivre.

Pour consulter la décision, cliquer ici.

Le Conseil d’État oppose le secret médical pour faire échec à une demande de droit de communication des documents administratifs détenus par un centre hospitalier

La Commission des citoyens pour les droits de l’Homme (la CCDH) a souhaité exercer son droit de communication des documents administratifs auprès du centre hospitalier de l’arrondissement de Montreuil-sur-Mer dans le but d’obtenir la communication de son registre de contention et d’isolement pour l’année 2017, ainsi que le bilan annuel de 2017 rendant compte de ces pratiques au sein du centre.

En outre, la CCDH souhaitait obtenir communication de ce registre « sans occultation préalable de l’identifiant ” anonymisé ” du patient ». Le centre hospitalier n’a pas souhaité répondre favorablement à l’association qui a obtenu gain de cause devant le tribunal administratif de Lille, et a donc réussi à obtenir la communication de ce registre sans occultation préalable.

Le centre hospitalier a porté l’affaire devant le Conseil d’Etat qui a considéré que la communication des documents souhaités par la CCDH portait atteinte à la vie privée des patients apparaissant sur le registre, mais également au secret médical.

Selon le Conseil d’Etat, la communication de l’identifiant, même anonymisé, du patient devait être regardée ici comme une information dont la communication serait susceptible de porter atteinte à la protection de la vie privée et au secret médical.

 Dès lors, seules les autorités expressément désignées dans le code de santé publique pouvaient prétendre à la communication de cette information (La commission départementale des soins psychiatriques, le Contrôleur général des lieux de privation de liberté ou à ses délégués et aux parlementaires) ou le principal intéressé.

La décision du Conseil d’Etat prend ici une position ferme et va plus loin que la Commission d’accès aux documents administratifs (CADA), qui dans plusieurs avis rendus le 24 janvier 2019 s’était exprimée favorablement à la communication du registre d’isolement et de contention, sous réserve d’une occultation des éléments permettant d’identifier les patients, là où le Conseil d’Etat refuse la communication du document, même après occultation, considérant que l’atteinte à la vie privée du patient et au secret médical serait ici caractérisée.

Ainsi, le Conseil d’Etat a finalement annulé la décision du tribunal de Lille et a rejeté la demande de la CCDH.

Pour plus d’informations sur ce sujet, veuillez consulter notre article disponible sur le blog du Cabinet Houdart & Associés.

Perspectives & Changements

  • La CNIL et le Conseil national de l’Ordre des médecins signent une convention de partenariat

Le 3 février 2023, la présidente de la CNIL, Marie-Laure Denis et le président du CNOM, le Docteur François Arnault, ont signé une convention de partenariat visant à réaffirmer leur engagement commun pour la protection des données de santé.

Cette signature intervient dans un contexte où les professionnels de la santé collectent et manipulent de plus en plus de données de santé, mais aussi par une augmentation du risque de cyberattaque envers les établissements de santé.

Ce partenariat consiste pour la CNIL à conseiller le CNOM dans ses actions d’accompagnement auprès des professionnels de santé en matière de bonnes pratiques liées à l’utilisation des données personnelles ; tandis que le CNOM partagera avec l’autorité de contrôle son expertise pour l’aider dans l’élaboration de référentiels dans le secteur de la santé.

 

La convention vise les objectifs suivants :

  • La coproduction de fiches pratiques, d’affiches et de guides ;
  • La mise à jour du guide CNOM-CNIL à destination des médecins ;
  • L’organisation de présentations et d’évènements communs, comme un rendez-vous annuel à destination des professionnels de santé et des patients.
  • Une enveloppe de 10 millions d’euros va être déléguée aux Agences régionales de santé (ARS) dans le cadre du financement d’exercice de crise en matière de cybersécurité

Le secrétaire général des ministères chargées des affaires sociales a publié une instruction le 30 janvier 2023 à destination des directeurs généraux des ARS relative à leur obligation de réaliser des exercices de crise cyber dans les établissements de santé.

Cette instruction faisait suite à une note d’information transmise aux ARS le 14 décembre 2021 leur demandant d’organiser d’ici fin 2023 « au moins un exercice de crise cyber, puis, de façon permanente, au moins une fois par an ».

Le calendrier prévisionnel a annoncé la conduite d’un exercice de continuité d’activité en mode « numérique dégradé » auprès de 100% des opérateurs de service essentiels (OSE), majoritairement établissements supports de GHT, d’ici mai 2023.

Le gouvernement avait quant à lui annoncé en décembre dernier l’importance à ce que « 100% des établissements de santé les plus prioritaires » aient réalisé de nouveaux exercices d’ici mai 2023.

L’instruction décrit les modalités de financement de cette obligation par la mise à disposition d’une enveloppe de 10 millions d’euros pour la période 2022-2023 via le fonds d’intervention régional (FIR). Le financement serait « exclusivement dédié à des prestations d’animation d’exercices de crise en priorité par les établissements support de groupement hospitalier de territoire désignés OSE, et par les établissements de santé » publics et privés.

Ce financement serait également conditionné par «la complétion d’une grille d’évaluation de la maturité cybersécurité » au sein de l’établissement. En outre, les ARS devront communiquer au fonctionnaire de sécurité des systèmes d’information (FSSI) des ministères sociaux chaque semestre la liste des établissements réalisant les exercices.

La répartition de cette enveloppe entre les ARS se fera « en fonction du nombre d’établissements sanitaires à la maille Finess PMSI ».

L’instruction est consultable en cliquant ici.

ARCHIVES : RETROUVEZ NOS PRÉCÉDENTES DATACTU

21 Mai: Datactu Juridique #15 – Mai 2024

Dernières actualités juridiques des données et du numérique en santé et médico-social.

22 Avr: GHT personne morale : quel futur pour l’exemption HDS ?

Quels sont les impacts sur l’exemption de certification HDS accordée par l’ANS aux GHT qui se doteront d’une personnalité morale sous forme de GCS ?

17 Avr: Datactu Juridique #14 – Avril 2024

Dernières actualités juridiques des données et du numérique en santé et médico-social.

16 Avr: La régulation de l’IA en santé : DPO, RSSI, DJ, DRCI… Tous concernés !

L’IA Act prévoit de nombreuses obligations pour les différents acteurs de la santé : professionnels de santé, juristes, DPO, RSSI, DRCI. Petit tour d’horizon.

20 Mar: Datactu Juridique #13 – Mars 2024

Dernières actualités juridiques des données et du numérique en santé et médico-social.

07 Fév: Datactu Juridique #12 – Février 2024

Dernières actualités juridiques des données et du numérique en santé et médico-social.

09 Déc: Médico-social : combien de temps conserver les données ?

La CNIL vient d’adopter un nouveau référentiel sur les durées de conservation pour les traitements de données à caractère personnel les plus courants menés dans le secteu

05 Déc: Datactu Juridique #11 – Décembre 2023

Dernières actualités juridiques des données et du numérique en santé et médico-social.

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.

Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.

Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :

La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).

Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).

Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.