décembre 2019

CNIL – Publication du référentiel sur le dispositif d’alertes professionnelles

2019-12-11T00:33:19+00:0011 décembre 2019|Actualités|

La CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles, par délibération n°2019-139 du 18 juillet 2019, publiée ce 10 décembre 2019.

Ce référentiel couvre deux types de dispositifs : les dispositifs d’alerte encadrés par la loi (signalement d’un crime ou délit, violation grave et manifeste de la loi ou du règlement, menace ou préjudices graves pour l’intérêt général…) et les dispositifs d’alertes éthiques mis en œuvre volontairement par un organisme en vue d’interdire des comportements considérés comme incompatibles avec sa charte éthique ou son règlement intérieur.

Pour mémoire, depuis le 1er janvier 2018, les personnes morales publiques et privées d’au moins 50 agents ou salariés ont obligation de mettre en place des procédures de recueil des signalements émis par les lanceurs d’alerte. (Flash Info Juin 2017)

Ce type de traitement de données a été identifié par la CNIL sur la liste des traitements pour lesquels une analyse d’impact est requise. Ce référentiel constitue une aide pour la réalisation de cette analyse d’impact.

Button Text

novembre 2019

DM – Dispositifs médicaux avec intelligence artificielle

2019-11-29T23:16:44+00:0029 novembre 2019|Actualités|

« Fluidifier les relations avec les industriels » tel est l’objectif du projet de grille d’analyse des algorithmes contenus dans les dispositifs médicaux (DM) soumis à consultation publique jusqu’au 15 janvier 2020 par la Commission nationale d’évaluation des dispositifs médicaux et des technologies de santé (CNEDIMTS) de la Haute Autorité de santé (HAS), commission chargée d’évaluer les DM en vue de leur remboursement par l’Assurance maladie.

Face à la multiplication des dossiers de dispositifs médicaux connectés, la HAS a décidé de compléter ses outils d’évaluation pour pouvoir faire face aux demandes d’évaluation des DM qui embarquent des algorithmes auto-apprenants.

Le projet de grille comporte 36 items couvrant huit catégories de critères clés : la finalité d’usage, l’apprentissage, les données d’entrée d’apprentissage initial ou de réapprentissage, les données d’entrée impliquées dans la décision, la performance, la validation, la résilience du système et l’explicabilité. Cette grille évitera aux industriels les allers-retours avec la HAS et une évaluation plus rapide du DM.

Les industriels du secteur peuvent se rassurer, les critères de cette grille ne porte que sur la partie algorithme du produit qu’il soit construit par apprentissage ou auto-apprenant, la HAS ayant précisé qu’il ne lui appartenait pas de comprendre le modèle mathématique de l’algorithme. L’évaluation reste, comme pour les autres DM, une évaluation clinique : le but est de s’assurer que le résultat clinique ne se dégrade pas dans le temps. Tout avis restera donc réversible puisque la période quinquennale de validité de l’évaluation pourra être réduite à partir des données de vie réelle. D’où l’importance pour les entreprises du secteur de prendre part à cette consultation afin éventuellement de donner un avis, voire proposer une modification, au sujet des caractéristiques essentielles des systèmes décisionnels s’appuyant sur des procédés d’apprentissage automatique embarqués dans les DM.

Button Text

octobre 2019

CNIL – Liste des traitements ne requérant pas d’analyse d’impact

2019-11-29T23:18:06+00:0022 octobre 2019|Actualités|

Le Règlement Général de la Protection des Données (« RGPD ») permet aux autorités de contrôle d’établir et de publier une liste de traitements de données pour lesquels une analyse d’impact n’est pas requise.

La CNIL vient d’adopter cette liste de traitements par délibération n°2019-118 du 12 septembre 2019, parue au Journal officiel de ce jour.

Sont dispensés d’analyse d’impact mais restent soumis à l’ensemble des autres obligations en application du RGPD et de la Loi Informatique et Liberté, notamment

  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du profilage,
  • les traitements de gestion de la relation fournisseurs,
  • les traitements destinés à la gestion des activités des Comités d’entreprises et d’établissement,
  • les traitements mis en oeuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles,
  • les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.
Button Text

septembre 2019

Flash Info – Recherche – Formation – Croissance de votre pépite

2019-09-09T07:28:14+00:009 septembre 2019|Actualités|

La croissance de votre pépite est une formation atypique, un guide indispensable à l’amorçage, à la mise en place et au pilotage efficace d’un développement de produit dans le domaine des biotechnologies ou de la santé.

Cette formation s’appuie sur les expertises complémentaires : propriété industrielle, stratégie et opérations de R&D, règlementaire et juridique des 3 intervenantes.

Elle s’adresse aux porteurs de projets, chefs de projets, CEO de Biotechs qui souhaitent consolider leurs connaissances, structurer leurs projets et les bâtir sur des bases solides afin de maximiser leurs chances de réussite.

La prochaine session se déroulera sur une journée à Paris le 28 novembre.

 

 

Télécharger le PDF

juillet 2019

Flash Info – Anti-cadeaux – Publication de la Loi n°2019-774 du 24 juillet 2019 ou « Ma Santé 2022″

2019-07-29T10:06:28+00:0029 juillet 2019|Actualités|

La Loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, parue au Journal officiel, a fait évoluer les dispositifs anti-cadeaux et transparence.
Elle ratifie l’ordonnance n°2017-49 du 19 janvier 2017 réformant le dispositif  « Anti-Cadeaux » mais y apporte les modifications suivantes :
– réintroduction de la notion de « produits faisant l’objet d’une prise en charge par les régimes obligatoires de sécurité sociale »
Ainsi, le dispositif anti-cadeaux s’applique aux personnes assurant des prestations de santé, produisant ou commercialisant des « produits faisant l’objet d’une prise en charge par les régimes obligatoires de sécurité sociale » ou des produits de santé à finalité sanitaire, à l’exception des lentilles oculaires non correctrices, les produits cosmétiques et les produits de tatouage.
– précision  « sur une période déterminée  » des montants des avantages
Il a été précisé que les montants des avantages de valeur négligeable en espère ou en nature ayant trait à l’exercice de la profession du bénéficiaire sont déterminés par nature d’avantage et « sur une période déterminée ». Ces montants sont fixés par arrêté des ministres chargés de l’économie et de la santé.
– exclusion de l’hospitalité pour « étudiants en formation initiale » et leurs associations
Il est interdit d’offrir de l’hospitalité pour les étudiants en formation initiale et les associations les représentant.
– exclusion des dons et libéralités pour les conseils nationaux professionnels
Il est interdit d’offrir des dons et libéralités aux conseils nationaux professionnels.
Le dispositif ne sera complètement opérationnel qu’avec la publication du décret d’application et des 2 arrêtés.
​L’article L.1453-1 du code de la santé publique sur la transparence des liens d’intérêt a été modifié par l’article 78, en étendant le champ des bénéficiaires aux « personnes qui, dans les médias ou sur les réseaux sociaux, présentent un ou plusieurs produits de santé, de manière à influencer le public​ » et les personnes morales « participant à la formation initiale » ou « au développement professionnel continu » des professionnels de santé.
Button Text

Flash Info – CNIL – Publication des lignes directrices sur les cookies et du référentiel sur les vigilances

2019-07-29T00:41:00+00:0019 juillet 2019|Actualités|

Deux délibérations attendues de la CNIL sont parues au Journal officiel du 18 juillet 2019.

La délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives aux opérations de lecture et d’écriture dans le terminal d’un utilisateur (notamment cookies et autres traceurs) abroge la recommandation relative aux cookies et autres traceurs du 5 décembre 2013.
Ces lignes directrices tiennent compte de la directive 2002/58/CE modifiée « vie privé et communications électroniques » (ou « ePrivacy ») ainsi que des lignes directrices du comité européen de la protection des données sur le consentement. Elles s’appliquent à toutes opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement et ce quels que soient les système d’exploitation, les logiciels applicatifs (navigateurs) ou les terminaux utilisés.
Les traceurs nécessitant le recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas manifesté sa volonté de manière libre, spécifique, éclairé et univoque par une déclaration ou un acte positif clair. Les responsables de traitement devront démontrer que le consentement de l’utilisateur a été valablement recueilli. Il est précisé si les responsable de traitement ne collectent pas eux-mêmes le consentement des personnes que la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie ne satisfait pas à l’obligation.

La délibération n°2019-057 du 9 mai 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires apporte des précisions notamment sur les durées de conservation des données qui pourraient aller jusqu’à 70 ans à compter de la date de retrait du marché du médicament, du dispositif ou du produit et ce, en l’absence de durée légale ou règlementaire et sur le recours à un hébergeur de données de santé agréé ou certifié en cas de recours à un prestataire extérieur.

Button Text
Button Text

juin 2019

Flash Info – Recherche – Modalités du tirage au sort des comités de protection des personnes (CPP)

2019-06-10T21:07:16+00:0010 juin 2019|Actualités|

Depuis la loi n°2012-300 du 5 mars 2012 dite loi « Jardé », le comité de protection des personnes est désigné de façon aléatoire par tirage au sort.

Or, les recherches en matière d’essais de phase précoce, de pédiatrie, de rayonnement en imagerie, de radiothérapie, de thérapie cellulaire et génétique, d’oncologie, d’assistance médicale à la procréation et de génétique nécessitent des connaissances et compétences spécifiques.

La loi n°2018-392 du 17 octobre 2018 relative à la désignation aléatoire des comités de protection des personnes est venue préciser que cette désignation s’opérait parmi les comités de protection des personnes disponibles et disposant de la compétence nécessaire à l’examen du projet de recherche.

L’arrêté du 3 juin 2019 en fixe les modalités de mise en œuvre. Le tirage au sort s’effectue parmi les comités qui disposent de l’expertise requise et qui se réunissent dans un délai entre le 21ème et le 30ème jour à compter de la date du tirage au sort et n’ayant pas encore le nombre minimum de huit (8) dossiers par mois de demandes initiales de recherche impliquant la personne humaine.

Télécharger le PDF

mai 2019

Flash Info – CNIL – Décret n°2019-356 du 29 mai 2019

2019-05-30T23:34:58+00:0030 mai 2019|Actualités|

Ce 30 mai 2019 est paru au Journal officiel le décret n°2019-536 du 29 mai 2019 pris pour application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce décret entre en vigueur le 1er juin 2019 qui sera également la date d’entrée en vigueur de l’ordonnance n°2018-1125 du 12 décembre 2018.

Ce décret abroge le décret n°2005-1309 du 20 octobre 2005.

La CNIL a rendu un avis sur le projet de décret qui a fait l’objet d’une délibération en date du 9 mai 2019, publiée également au Journal officiel de ce jour.

Télécharger le PDF
Button Text

Flash Info – CNIL – Stratégie de contrôle pour 2019

2019-05-20T18:42:10+00:0020 mai 2019|Actualités|

Parue au Journal officiel, la délibération du 9 mai 2019 a mis à jour la liste des agents habilités à procéder à des missions de vérification sur place. La CNIL va pouvoir mettre en œuvre sa stratégie de contrôle.
La période transitoire, pendant laquelle les organismes ayant initié une démarche de mise en conformité n’ont pas été sanctionnés, est révolue.
La CNIL a annoncé qu’elle sanctionnera les organismes non-conformes à la règlementation. Pour cela, elle tiendra compte de la gravité des manquements, de la bonne foi et de la coopération de l’organisme pour prendre les suites les plus appropriées.
Lors des contrôles, la CNIL veillera au respect des droits des personnes concernées, à la répartition des responsabilités entre le responsable de traitement et ses sous-traitants, ainsi que le traitement des données des mineurs.

Assurez-vous que

  • le registre des traitements mis en place est tenu à jour, ainsi que le registre des violations de données,
  • les analyses d’impact pour les traitements pour lesquels elles sont requises ont été réalisées,
  • les contrats avec les sous-traitants définissent bien les responsabilités de chacune des parties,
  • la procédure pour la gestion de l’exercice des droits des personnes concernées et des réclamations est à jour.
Télécharger le PDF

avril 2019

Flash Info – CNIL – Publication du rapport d’activité 2018

2019-04-15T22:50:38+00:0015 avril 2019|Actualités|

La CNIL vient de publier son rapport d’activité annuel, premier rapport depuis l’application du RGPD.
1170 notifications de violation de données, principalement des atteintes à la confidentialité des données. La CNIL annonce d’ores et déjà qu’elle va s’assurer, lors des contrôles, de la mise en place de procédures et un registre des violations.
La CNIL a réalisé 310 contrôles, dont 2/3 de contrôles sur place.
49 mises en demeure ont été adoptées, dont 11 rendues publiques
Sur les 10 sanctions pécuniaires prononcées, 7 concernent des atteintes à la sécurité des données personnelles.
En 2019, dans le cadre du programme de contrôles de la CNIL, ceux-ci porteront
  •  sur les plaintes reçues, avec l’exercice pratique des droits des personnes,
  •  sur la répartition des responsabilités entre sous-traitants et donneurs d’ordre, et ce, quelque soit le secteur d’activité,
  •  sur les données des mineurs.
Télécharger le PDF