novembre 2018

Flash Info – Formation – Protection des données personnelles en santé

2018-12-13T23:35:35+00:0029 novembre 2018|Actualités|

Pour aider les délégués à la protection des données, les personnes en charge de traitements de données personnelles, le Cabinet a conçu un cycle de formation sur la protection des données personnelles dans le secteur de la santé .
Ce cycle permet notamment d’aborder les spécificités du secteur : hébergement de données de santé, la recherche clinique, Numéro d’Identification au Répertoire (NIR).
Les sessions de formation intègrent les modules de formation, labellisés par la CNIL le 21 mai 2018.
Ces sessions sont également un espace de partages d’expériences. Le nombre volontairement limité de participants facilite les échanges. Elles se dérouleront au cours du 1er semestre 2019.
Le Cabinet est un organisme de formation « DataDocké », permettant une prise en charge par les financeurs de la formation professionnelle.
Télécharger le PDF

octobre 2018

Flash Info – CNIL – Délibérations du 20 septembre 2018 – DPO

2018-12-11T15:41:02+00:0011 octobre 2018|Actualités|

Les deux délibérations de la CNIL du 20 septembre 2018 relatives aux référentiels de certification du délégué à la protection des données (DPO) sont parues au Journal officiel de ce jour. La première concerne le référentiel d’agrément des organismes de certification des DPO (Délibération n°2018-317), la seconde porte sur le référentiel de certification des compétences du DPO (Délibération n° 2018-318).

Ces parutions font suite à la consultation publique de la CNIL en juin 2018.

Les conditions préalables pour le candidat à la certification ont été revues tenant compte du caractère récent de la fonction de DPO. Le candidat devra ainsi pouvoir justifier d’au moins 2 années d’expérience dans des projets, activités ou tâches en lien avec les missions de DPO ou justifier d’au moins 2 années d’expérience et avoir suivi une formation d’au moins 35 h en matière de protection des données personnelles.

Le référentiel a été complété avec la connaissance du cadre juridique relatif à la sous-traitance. En revanche, a disparu l’exigence de l’identification de l’existence de réglementation sectorielle qui fixe des conditions spécifiques au traitement de données.

Ce dispositif doit faire l’objet d’une évaluation dans un délai maximum de deux ans éventuellement pour adapter  les exigences du référentiel.

A ce jour, cette certification n’est pas obligatoire pour être DPO.

Télécharger le PDF

 

Télécharger le PDF

Flash Info – Charte – Décret n°2018-864 du 8 octobre 2018

2018-10-09T16:41:39+00:009 octobre 2018|Actualités|

L’article 58 de la loi de finance pour la sécurité sociale pour 2018 a instauré la mise en place d’une charte de qualité des pratiques professionnelles des personnes chargées de la présentation, de l’information ou de la promotion des dispositifs médicaux à usage individuel, des produits de santé autres que les médicaments et des prestations de service éventuellement associées (la « Charte »).

Le décret n°2018-864 du 8 octobre 2018 relatif aux pratiques de présentation, d’information ou de promotion en faveur des produits de santé et des prestations éventuellement associées vient préciser les modalités de négociation, approbation, renouvellement ou dénonciation de la Charte. Il prévoit, en cas de non-respect des dispositions de celle-ci, la procédure et les délais applicables par le CEPS pour envisager de prononcer une pénalité financière. Le décret fixe également les modalités de certification des activités d’information et de promotion des produits de santé et des prestations éventuellement associées.

Négociée et conclue entre le Comité économique des produits de santé (CEPS) et un ou plusieurs syndicats ou organisations regroupant des fabricants ou distributeurs des produits de santé et prestations, la Charte entre en vigueur après approbation par arrêté des Ministres chargées de la santé et de la sécurité sociale et ce, pour une durée de deux (2) ans. Les Ministres communiquent au CEPS le délai dans lequel la Charte doit être conclue ainsi que, le cas échéant, des clauses devant y figurer.

En cas de refus d’approbation, la décision des Ministres est motivée et communiquée sans délai aux signataires de la Charte. A la suite de ce refus, la Charte est arrêtée par les Ministres pour une durée de deux (2) ans. Elle peut être dénoncée à tout moment, à l’exception des deux (2) mois avant la fin de validité de la Charte. Cela ouvre de nouvelles négociations avec le CEPS. A titre transitoire, les stipulations de la Charte, objet de la dénonciation/négociation, demeurent applicables jusqu’à l’entrée en vigueur des nouvelles stipulations. A défaut de dénonciation, elle est reconduite dans les mêmes formes.

Les Agences régionales de santé (ARS) reçoivent les signalements relatifs aux manquements significatifs constatés à la Charte. Les manquements constatés, en précisant les entreprises impliquées sont signalés au CEPS par les ARS et les organismes départementaux et régionaux de l’assurance maladie. Le CEPS instruit ces signalements (nature et gravité). Au besoin, l’entreprise impliquée est invitée à présenter des observations écrites et sur demande, elle peut présenter des observations orales. Les observations sont présentées dans le délai maximal d’un mois.

Si une pénalité financière est envisagée par le CEPS, l’entreprise concernée en est informée par tout moyen donnant date certaine à la réception de l’information. Elle dispose d’un délai d’un mois pour adresser ses observations écrites ou demander à être entendue et pour déclarer les éléments de chiffre d’affaires. A l’issue de la procédure, le CEPS notifie l’entreprise des motifs justifiant le principe et le montant de la pénalité. Le montant de la pénalité ne peut être supérieur à 10 % du chiffre d’affaires hors taxes réalisé en France au titre du dernier exercice clos pour le ou les produits ou prestations concernés par le manquement. Il est déterminé en fonction de la gravité du manquement constaté.

La procédure de certification des activités au titre de la Charte est fixée par décision de la Haute autorité de santé (HAS) et sera publiée au Journal officiel. Cette décision devrait intervenir dans un délai fixé par arrêté des Ministres chargés de la santé et de la sécurité sociale qui ne saurait dépasser une année après l’entrée en vigueur de la Charte. Elle comportera le référentiel de certification, les conditions de suspension ou retrait de la certification. Les dispositions relatives à la certification entrent en vigueur le 1er janvier 2019.

Télécharger le PDF

août 2018

Flash Info – CNIL – Décret n°2018-687 du 1er août 2018

2018-08-05T18:51:46+00:005 août 2018|Actualités|

Le décret n°2018-687 du 1er août 2018 pris en application de la loi n°78-17 du 6 janvier 1978, modifiée par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, paru au Journal officiel du 3 août, est entré en vigueur le 4 août 2018.

Ce décret précise les mesures d’application de la loi n°2018-493 du 20 juin 2018 et la mise en conformité du décret n°2005-1309 du 20 octobre 2005 avec le RGPD.

Les points à retenir

–          Définition des conditions dans lesquelles soit la CNIL soit l’organisme national d’accréditation pour les organismes certificateurs se conforment au RGPD et la loi Informatique et Liberté modifiée

–          Fixation des conditions de délégation de signature du président de la CNIL et du vice-président délégué

–          Précision sur la composition du comité d’audit du système national des données de santé (SNDS), sur les règles de fonctionnement et modalités d’audit

–          Conditions dans lesquelles les membres et agents réalisant des opérations en ligne sous une identité d’emprunt procèdent à leurs constatations

–          Définition de la procédure d’urgence contradictoire appliquée par la formation restreinte saisi par le président de la CNIL

–          Conditions dans lesquelles il peut être dérogé aux droits des personnes concernées notamment dans le cadre des traitements à des fins de recherche scientifique quand l’exercice de ces droits risquerait de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités

–          Liste de traitements et catégories de traitements autorisés à déroger au droit à la communication d’une violation de données, dont les traitements de données de santé quand la notification d’une divulgation ou un accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique au regard du volume de données concernées par la violation et les informations relatives à la vie privée qu’elles comportent (adresse, composition de la famille)

Ce décret achève également la transposition de la directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI.

Télécharger le PDF

juillet 2018

Flash Info – CNIL – Publication des méthodologies de référence

2018-12-11T15:45:32+00:0013 juillet 2018|Actualités|

Sont parues au Journal officiel de ce jour les méthodologies de référence relative aux traitements de données à caractère personnel mis en œuvre dans le domaine de la santé.

Les MR001 et MR003 relatives aux recherches impliquant la personne humaine ont été mises à jour notamment pour tenir compte du Règlement Général sur la Protection des Données (RGPD).

Très attendues, les MR004, MR005 et MR006 sont publiées pour la première fois.

La MR004 concerne les recherches n’impliquant pas la personne humaine et présentant un caractère d’intérêt public.

La MR005 encadre l’accès par les établissements de santé et les fédérations aux données du PMSI et des résumés de passage aux urgences et mises à disposition sur la plateforme sécurisée de l’ATIH.

La MR006 vient encadrer l’accès pour le compte des personnes produisant ou commercialisant des produits de santé aux données du PMSI centralisées et mises à disposition par l’ATIH par l’intermédiaire d’une solution sécurisée.

Télécharger le PDF

 

Télécharger le PDF

 

Télécharger le PDF

 

Télécharger le PDF

 

Télécharger le PDF

juin 2018

Flash Info – CNIL – Publication de la Loi relative à la protection des données personnelles

2018-06-21T23:10:50+00:0021 juin 2018|Actualités|

La Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles est parue au Journal Officiel de ce jour.

Cette loi sera suivie d’une ordonnance prise, après avis de la CNIL, pour réécrire l’ensemble de la loi no 78-17 du 6 janvier 1978 afin d’apporter les corrections, adaptations nécessaires à la simplification et à la cohérence des dispositions.

Cette ordonnance devrait intervenir avant le 21 décembre 2018.

Télécharger le PDF

Flash Info – Données de santé – Publication du guide pratique sur les données personnelles pour les médecins

2018-06-20T22:29:38+00:0020 juin 2018|Actualités|

La CNIL et le Conseil National de l’Ordre des Médecins ont rédigé un guide pratique pour accompagner les médecins en exercice libéral dans la mise en œuvre de leurs obligations dans le cadre de la nouvelle règlementation sur la protection des données personnelles. Ce guide comporte des exemples de notice d’information, de registre de traitements et fiches de traitements.
La mise en œuvre de cette réglementation doit tenir compte du secret professionnel mais aussi des référentiels applicables aux données de santé.
​Ce guide vient enrichir les publications de la CNIL dédiées aux problématiques de la santé.

Télécharger le PDF

Flash Info – Arrêté relatif à l’information des personnes destinataires d’activités de prévention, diagnostic et/ou soins

2018-06-11T23:18:31+00:0011 juin 2018|Actualités|

Le 1er juillet 2018 entrera en vigueur l’arrêté du 30 mai 2018 relatif à l’information des personnes destinataires d’activités de prévention, de diagnostic et de soins.

Cet arrêté précise le contenu et les modalités de délivrance d’informations aux personnes destinataires d’activités de prévention, de diagnostics et de soins, concernant les frais auxquels ces personnes pourraient être exposées. ​

​Cette obligation d’informations s’applique

  • aux professionnels de santé, notamment les médecins, chirurgiens-dentistes, sages-femmes, pharmaciens, infirmières,
  • aux autres professionnels de la santé tel que les ostéopathes, chiropracteurs et psychothérapeutes,
  • aux centres de santé,
  • aux établissements de santé,
  • aux autres services de santé.

Les informations portent sur le conventionnement du professionnel de santé, la liste des prestations ne correspondant pas directement à une prestation de soins, l’absence de remboursement de la prestation de soins par la sécurité sociale. Dès que les dépassement d’honoraires facturés atteignent 70 €, le patient reçoit une information écrite préalablement à la réalisation de la prestation. Les établissements de santé doivent, en sus, préciser si la prestation est externe ou hospitalière.

Ces informations se trouveront sur les plaques professionnelles lors de leur installation ou de toute modification de plaque, sur les plateformes de prise de rendez-vous médical en ligne et par un affichage. Cette obligation d’informations s’applique également lors de la réalisation d’une pratique médicale à distance et lors de la prise de rendez-vous pour une visite à domicile.

Quand les informations doivent être affichées, elles le sont de façon lisible et visible sur un même support dans le lieu d’attente du patient et dans le lieu d’encaissement des frais. Pour les établissements de santé, ces informations figurent également sur la page dédiée aux tarifs du site internet de communication aux usagers.

Télécharger le PDF

mai 2018

Flash Info – Décret sur la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels

2018-05-30T09:57:53+00:0030 mai 2018|Actualités|

Est paru le décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, suite à la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union Européenne dans le domaine de la sécurité.

Ce décret fixe la liste des services essentiels et les modalités de désignation des opérateurs de services essentiels.

Dans le secteur de la santé, pour les établissements de soins de santé, sont visés les prestataires de soins de santé dans le cadre des services concourant aux activités de prévention, de diagnostic ou de soins mais aussi les prestataires fournissant un service d’aide médicale à l’urgence. Ainsi, la réception et la régulation d’appels ainsi que le service mobile d’urgence et réanimation sont qualifiés de services essentiels.
Est également visée, pour les produits pharmaceutiques, la distribution pharmaceutique réalisée par les grossistes-répartiteurs.

​Sont désignés, comme opérateurs de services essentiels, les opérateurs fournissant au moins un service mentionné dans la liste sus mentionnée, lorsque des réseaux et systèmes d’information sont nécessaires à la fourniture dudit service ​et qu’un incident affectant ces réseaux et systèmes aurait des conséquences graves.

​Les​ critères d’appréciation de ces conséquences graves sont :
– le nombre d’utilisateurs dépendant du service;
– la dépendance des autres secteurs d’activités figurant dans la liste des services essentiels;
– les conséquences qu’un incident pourrait avoir sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique, en terme de gravité ou de durée;
– la part de marché de l’opérateur;
– la portée géographique eu égard à la zone susceptible d’être concernée par l’incident ;
– l’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service;
– le cas échéant, des facteurs sectoriels.

​Cette désignation est faite par arrêté du Premier Ministre. ​Chaque opérateur concerné reçoit une notification du Premier Ministre de son intention de le désigner comme opérateur de services essentiels. L’opérateur dispose d’un mois pour présenter ses observations. Les arrêtés sont notifiés aux opérateurs intéressés.

​Cela implique, pour les opérateurs, d’établir et tenir à jour la liste des réseaux et systèmes d’information, y compris ceux dont l’exploitation est confiée à un tiers,  et nécessaire à la fourniture des services essentiels, et la communiquer à l’Agence nationale de la sécurité des systèmes d’information. Un arrêté détermine les règles de sécurité à respecter.

Les opérateurs devront déclarer les incidents de sécurité à l’Agence nationale de la sécurité des systèmes d’information dès lors que ces incidents ont ou sont susceptibles d’avoir un impact significatif sur la continuité de ces services, et ce, sans préjudice des autres régimes de déclarations d’incidents auxquels les opérateurs seraient soumis. Les modalités de déclaration des incidents sont définis par un arrêté du Premier Ministre. A défaut de déclaration, les dirigeants des opérateurs encourent une amende de 75 000 €.

​Les opérateurs peuvent être soumis à des contrôles pour vérifier le respect des obligations et le niveau de sécurité des réseaux et systèmes d’information nécessaires à la fourniture de services essentiels. ​Prise par le Premier Ministre, la décision de contrôle est notifiée à l’opérateur, en précisant les objectifs et le périmètre du contrôle ainsi que le délai dans lequel le contrôle est réalisé.

Une amende de 100 000 € sanctionne les dirigeants des opérateurs qui ne se conformeraient pas aux règles de sécurité à l’issue du délai fixé par la mise en demeure adressée à l’occasion d’un contrôle.

​Le fait de faire obstacle à un contrôle est puni de 125 000 € d’amende. ​

Télécharger le PDF

avril 2018

Flash Info – Recherche – Arrêtés sur les recherches impliquant la personne humaine

2018-12-11T15:46:57+00:0017 avril 2018|Actualités|

Deux arrêtés du 12 avril 2018 relatifs aux recherches impliquant la personne humaine mentionnées aux 2° et 3° de l’article L.1121-1 du Code de la santé publique sont parus au Journal Officiel de ce jour.

Si nous savions déjà que relevaient des recherches impliquant la personne humaine mentionnées au 2° de l’article L.1121-1 du Code de la santé publique, appelées « RIPH2 » les recherches comportant des risques et des contraintes minimes, cet arrêté vient préciser que ces recherches portent sur des personnes saines ou malades. De plus, les interventions réalisées dans le cadre de ces recherches doivent être détaillées et justifiées dans le protocole de la recherche.

Sont aussi des recherches « RIPH 2 » les recherches sur des personnes saines ou malades menées par des professionnels de santé, qui ne sont pas des médecins, chirurgiens-dentistes ou sages-femmes (ne relevant pas des professions médicales), si les actes pratiqués au cours de la recherche ne nécessitent pas la présence d’un médecin. Néanmoins, si ces recherches ne comportent que des entretiens, observations, des enregistrements hors imagerie médicale (audio, vidéo, photographiques), des tests ou des questionnaires, et qui ne peuvent mettre en jeu la sécurité de la personne ou conduire à la modification de sa prise en charge habituelle, alors elles relèvent des recherches mentionnées au 3° de l’article L.1121-1 du Code de la santé publique (« RIPH3 »).

Pour la première fois, les recherches portant sur un programme, une action ou une politique publique ayant pour objet des modifications de pratiques ou de comportements de personnes saines ou malades et susceptibles d’avoir une influence sur leur santé sont mentionnées et réputées être des « RIPH 2 »

Relèvent des recherches « RIPH3 » les recherches portant sur des personnes saines ou malades et comportant un ou plusieurs actes ou procédures dénués de risques. Comme les interventions prévues pour les RIPH 2, les actes ou procédures sont définies sur une liste en annexe de l’arrêté correspondant. Ces actes ou procédures doivent être détaillés et justifiés dans le protocole de la recherche. Si la recherche est réalisée au cours des soins, ces actes ou procédures ne doivent pas retarder, prolonger ou perturber le soin.

Télécharger le PDF

 

Télécharger le PDF