mai 2018

Flash Info – Décret sur la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels

2018-05-30T09:57:53+00:0030 mai 2018|Actualités|

Est paru le décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, suite à la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union Européenne dans le domaine de la sécurité.

Ce décret fixe la liste des services essentiels et les modalités de désignation des opérateurs de services essentiels.

Dans le secteur de la santé, pour les établissements de soins de santé, sont visés les prestataires de soins de santé dans le cadre des services concourant aux activités de prévention, de diagnostic ou de soins mais aussi les prestataires fournissant un service d’aide médicale à l’urgence. Ainsi, la réception et la régulation d’appels ainsi que le service mobile d’urgence et réanimation sont qualifiés de services essentiels.
Est également visée, pour les produits pharmaceutiques, la distribution pharmaceutique réalisée par les grossistes-répartiteurs.

​Sont désignés, comme opérateurs de services essentiels, les opérateurs fournissant au moins un service mentionné dans la liste sus mentionnée, lorsque des réseaux et systèmes d’information sont nécessaires à la fourniture dudit service ​et qu’un incident affectant ces réseaux et systèmes aurait des conséquences graves.

​Les​ critères d’appréciation de ces conséquences graves sont :
– le nombre d’utilisateurs dépendant du service;
– la dépendance des autres secteurs d’activités figurant dans la liste des services essentiels;
– les conséquences qu’un incident pourrait avoir sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique, en terme de gravité ou de durée;
– la part de marché de l’opérateur;
– la portée géographique eu égard à la zone susceptible d’être concernée par l’incident ;
– l’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service;
– le cas échéant, des facteurs sectoriels.

​Cette désignation est faite par arrêté du Premier Ministre. ​Chaque opérateur concerné reçoit une notification du Premier Ministre de son intention de le désigner comme opérateur de services essentiels. L’opérateur dispose d’un mois pour présenter ses observations. Les arrêtés sont notifiés aux opérateurs intéressés.

​Cela implique, pour les opérateurs, d’établir et tenir à jour la liste des réseaux et systèmes d’information, y compris ceux dont l’exploitation est confiée à un tiers,  et nécessaire à la fourniture des services essentiels, et la communiquer à l’Agence nationale de la sécurité des systèmes d’information. Un arrêté détermine les règles de sécurité à respecter.

Les opérateurs devront déclarer les incidents de sécurité à l’Agence nationale de la sécurité des systèmes d’information dès lors que ces incidents ont ou sont susceptibles d’avoir un impact significatif sur la continuité de ces services, et ce, sans préjudice des autres régimes de déclarations d’incidents auxquels les opérateurs seraient soumis. Les modalités de déclaration des incidents sont définis par un arrêté du Premier Ministre. A défaut de déclaration, les dirigeants des opérateurs encourent une amende de 75 000 €.

​Les opérateurs peuvent être soumis à des contrôles pour vérifier le respect des obligations et le niveau de sécurité des réseaux et systèmes d’information nécessaires à la fourniture de services essentiels. ​Prise par le Premier Ministre, la décision de contrôle est notifiée à l’opérateur, en précisant les objectifs et le périmètre du contrôle ainsi que le délai dans lequel le contrôle est réalisé.

Une amende de 100 000 € sanctionne les dirigeants des opérateurs qui ne se conformeraient pas aux règles de sécurité à l’issue du délai fixé par la mise en demeure adressée à l’occasion d’un contrôle.

​Le fait de faire obstacle à un contrôle est puni de 125 000 € d’amende. ​

Télécharger le PDF

avril 2018

Flash Info – Recherche – Arrêtés sur les recherches impliquant la personne humaine

2018-12-11T15:46:57+00:0017 avril 2018|Actualités|

Deux arrêtés du 12 avril 2018 relatifs aux recherches impliquant la personne humaine mentionnées aux 2° et 3° de l’article L.1121-1 du Code de la santé publique sont parus au Journal Officiel de ce jour.

Si nous savions déjà que relevaient des recherches impliquant la personne humaine mentionnées au 2° de l’article L.1121-1 du Code de la santé publique, appelées « RIPH2 » les recherches comportant des risques et des contraintes minimes, cet arrêté vient préciser que ces recherches portent sur des personnes saines ou malades. De plus, les interventions réalisées dans le cadre de ces recherches doivent être détaillées et justifiées dans le protocole de la recherche.

Sont aussi des recherches « RIPH 2 » les recherches sur des personnes saines ou malades menées par des professionnels de santé, qui ne sont pas des médecins, chirurgiens-dentistes ou sages-femmes (ne relevant pas des professions médicales), si les actes pratiqués au cours de la recherche ne nécessitent pas la présence d’un médecin. Néanmoins, si ces recherches ne comportent que des entretiens, observations, des enregistrements hors imagerie médicale (audio, vidéo, photographiques), des tests ou des questionnaires, et qui ne peuvent mettre en jeu la sécurité de la personne ou conduire à la modification de sa prise en charge habituelle, alors elles relèvent des recherches mentionnées au 3° de l’article L.1121-1 du Code de la santé publique (« RIPH3 »).

Pour la première fois, les recherches portant sur un programme, une action ou une politique publique ayant pour objet des modifications de pratiques ou de comportements de personnes saines ou malades et susceptibles d’avoir une influence sur leur santé sont mentionnées et réputées être des « RIPH 2 »

Relèvent des recherches « RIPH3 » les recherches portant sur des personnes saines ou malades et comportant un ou plusieurs actes ou procédures dénués de risques. Comme les interventions prévues pour les RIPH 2, les actes ou procédures sont définies sur une liste en annexe de l’arrêté correspondant. Ces actes ou procédures doivent être détaillés et justifiés dans le protocole de la recherche. Si la recherche est réalisée au cours des soins, ces actes ou procédures ne doivent pas retarder, prolonger ou perturber le soin.

Télécharger le PDF

 

Télécharger le PDF

mars 2018

Flash Info – RGPD – Désignation du délégué à la protection des données

2018-03-28T23:43:54+00:0028 mars 2018|Actualités|

La CNIL vient de mettre en ligne le télé-service permettant de désigner le délégué à la protection des données auprès de ses services.

C’est une étape importante dans la démarche de conformité au règlement européen sur la protection des données.

A cette occasion, la CNIL rappelle les 3 conditions requises pour devenir délégué à la protection des données. Il convient de s’assurer que le délégué à la protection des données ait les compétences requises. Il devra disposer des moyens suffisants pour remplir ses missions. Et il devra avoir la capacité d’agir en toute indépendance.

La désignation devra intervenir au plus tard le 24 mai 2018 et sera effective à compter du 25 mai 2018.

février 2018

Flash Info – Données de santé – Décret 2018-137 relatif à l’hébergement de données de santé

2018-02-28T14:25:26+00:0028 février 2018|Actualités|

Est paru au Journal Officiel du 28 février 2018 le décret 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel.

Si le décret entre en vigueur au 1er mars 2018, toutes les dispositions n’entreront pas en vigueur à cette date.

– au 1 er avril 2018 : l’entrée en vigueur de l’ordonnance du 12 janvier 2017 ainsi que l’article 2 du décret relatif aux dispositions générales liées à l’hébergement de données de santé & celles relatives à l’hébergement sur support numérique soumis à certification, à l’exception du 4° du R.1111-11 du Code de la santé publique.

– au 25 mai 2018 : le 4° du R.1111-11 du Code de la santé publique concernant les droits des personnes concernées liés au droit à la portabilité des données, signalement de la violation de données, à la conduite des audits par le Délégué à la Protection des Données (DPO).

Les agréments pour les hébergements de données sur support numérique délivrés avant le 31 mars 2018 ou à la suite de demandes déposées avant cette date restent régis jusqu’à leur terme par les dispositions antérieures.

La durée de l’agrément pour l’hébergement de données de santé sur support informatique arrivant à échéance avant le 31 mars 2019 est prolongée de 6 mois pour permettre à l’hébergeur d’effectuer les démarches de certification dans le cadre de la poursuite de son activité.

https://www.legifrance.gouv.fr/eli/decret/2018/2/26/SSAZ1733293D/jo/texte

Flash Info – RGPD – Accompagnement de la CNIL pendant la période transitoire

2018-02-19T23:48:30+00:0019 février 2018|Actualités|

A 3 mois de l’application du Règlement Général sur la Protection des Données (RGPD), la Commission Nationale Informatique et Liberté (CNIL) rappelle l’existence d’outils disponibles depuis son site : un modèle de registre des activités de traitement, le logiciel PIA pour faciliter la réalisation d’analyse d’impact. Elle annonce la rédaction de référentiels pour aider les organismes dans la mise en conformité de leurs traitements. Comme le prévoit le RGPD, elle devrait publier prochainement deux listes concernant les analyses d’impact : la première liste des traitements pour lesquels une analyse d’impact est requise, une seconde liste de traitements ne nécessitant pas d’analyse d’impact.

Quant à sa politique de contrôle, la CNIL annonce qu’elle continuera de vérifier de façon rigoureuse les principes fondamentaux de la protection des données qui sont, pour l’essentiel, inchangés. Concernant les nouvelles obligations ou les nouveaux droits issus du RGPD, si les organismes font preuve de bonne foi, sont engagés dans une démarche de conformité et coopèrent avec la CNIL, alors ces contrôles ne devraient, normalement, pas déboucher dans les premiers mois sur des procédures de sanction sur ces points.

Pour les formalités préalable en cours d’instruction, le 25 mai prochain, la CNIL annonce qu’elle ne sera pas en mesure de les traiter. Elle recommande donc aux responsables de traitement de privilégier les actions de mise en conformité au RGDP, le cas échéant, en réalisant une analyse d’impact, qui facilite la démarche de mise en conformité au RGPD. Pour les traitements déjà en cours et ayant fait l’objet de formalités ou consignés dans le registre du Correspondant Informatique et Liberté (CIL), l’analyse d’impact n’est pas nécessaire dans l’immédiat. Néanmoins, pour les traitements susceptible de présenter un risque élevé, l’analyse d’impact devra être menée dans un délai raisonnable, que la CNIL estime à 3 ans à compter du 25 mai 2018.

janvier 2018

Flash Info – CNIL – Protection des données personnelles

2018-01-29T12:56:10+00:0029 janvier 2018|Actualités|

Le projet de loi relatif à la protection des données personnelles en cours de discussion a fait, à ce jour, l’objet de près de 250 amendements. L’avis de la Commission des Affaires Sociales, présenté par Albane Gaillot, revient sur le régime du traitement des données sensibles et des données relatives au NIR. Il conviendra d’être attentif sur le sujet dans les semaines à venir.

Dans le même temps, la CNIL a publié un nouveau guide de la sécurité des données personnelles. Elle présente ce guide comme « les précautions élémentaires à mettre en œuvre de façon systématique ». A lire attentivement !

La CNIL a créé une rubrique dédiée à la santé. La télémédecine et les Groupements Hospitaliers de Territoire (GHT) inaugurent cette nouvelle rubrique, avec la parution de fiches pratiques.

Télécharger le PDF

décembre 2017

Flash Info – CNIL – Projet de loi relatif à la protection des données personnelles

2017-12-18T14:47:22+00:0018 décembre 2017|Actualités|

L’application, le 25 mai 2018, du Règlement Général sur la Protection des Données (Règlement (UE) 2016/679), nécessite d’adapter la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Un projet de loi relatif à la protection des données personnelles a donc été déposé à la Présidence de l’Assemblée Nationale le 13 décembre 2017. Les auditions des représentants de la CNIL, de l’INSEE, de l’INRIA, de l’INDS, de l’AFCPD, de la CNCDH et du SGAE par la Commission des lois ont débuté depuis lundi. Ces auditions s’inscrivent dans le cadre de la procédure accélérée engagée par le Gouvernement.

Le projet de loi prévoit d’habiliter le Gouvernement à prendre par ordonnance les mesures pour améliorer l’intelligibilité de la législation applicable à la protection des données, notamment par la réécriture de l’ensemble de la loi n° 78-17 du 6 janvier 1978. Cette ordonnance devra être prise dans les 6 mois de la promulgation de la loi, et sa ratification devra intervenir dans les 6 mois suivant la publication de ladite ordonnance.

Pour les traitements de données de santé non conformes à un référentiel ou règlement type établi par la CNIL, et pour ceux qui ne font pas l’objet d’une décision unique, les demandes d’autorisations persistent. Dans ce cas, le projet de loi prévoit que le défaut de réponse de la CNIL sur la demande d’autorisation dans les délais impartis et si le traitement a fait l’objet d’un avis favorable du comité d’expert compétent, alors la demande d’autorisation sera réputée acceptée.

Télécharger le PDF

novembre 2017

Flash Info – Concurrence – Enquête sectorielle

2017-11-21T23:04:37+00:0021 novembre 2017|Actualités|

L’Autorité de la concurrence a décidé de se saisir d’office pour avis sur le fonctionnement de la concurrence dans le secteur du médicament et de la biologie médicale, par la décision 17-SOA-01 du 20 novembre 2017.

Cette enquête sectorielle vise à évaluer les conditions de concurrence de la chaîne de distribution du médicament. L’Autorité actualisera son examen sur l’activité des pharmaciens d’officine, notamment sur les conditions de développement de la vente en ligne de médicaments à prescription médicale facultative et sur l’ouverture du monopole officinal de délivrance de ces médicaments.

L’enquête concerne aussi l’activité des laboratoires de biologie médicale, rarement appréhendée par l’Autorité, notamment la possibilité de réorganiser et de moderniser le métier de biologiste médical.

Dans un second volet, l’Autorité examinera les conditions de fixation du prix des médicaments remboursables en France.

Il est possible de contribuer à cette enquête via la boîte mail dédiée mise en place par l’Autorité de la concurrence.

Télécharger le PDF

Flash Info – Recherche – Conservation et préparation à des fins scientifiques d’éléments du corps humain

2017-11-10T17:56:07+00:0010 novembre 2017|Actualités|

Le décret n°2017-1549 relatif à la conservation et à la préparation à des fins scientifiques d’éléments du corps humain est paru au Journal Officiel de ce jour.

Ce décret vient préciser les procédures de déclaration applicables à la constitution et utilisation des collections d’échantillons biologiques dans le cadre de programmes de recherche n’impliquant pas la personne humaine. Celles constituées dans le cadre des recherches impliquant la personne humaine (RIPH) sont régies par les dispositions du titre II  du livre 1er du code de la santé publique.

En revanche, une autorisation est nécessaire à tout organisme qui assure la conservation et préparation des échantillons biologiques, en vue d’une cession à titre gratuit ou onéreux pour un usage scientifique et ce, que ces collections soient issues de recherches impliquant ou pas la personne humaine.

Le décret tient compte aussi de la nouvelle qualification des recherches impliquant la personne humaine et clarifie la procédure existante de saisine de l’administration par voie électronique.

Le décret entre en vigueur le 11 novembre 2017.

Télécharger le PDF

octobre 2017

Flash Info – CNIL – Publication d’un guide du sous-traitant

2017-10-03T00:50:48+00:003 octobre 2017|Actualités|

La CNIL a mis en ligne un guide du sous-traitant, poursuivant ainsi la mise en place du Règlement Général sur la Protection des Données personnelles (« RGPD »).

A compter du 25 mai 2018, les sous-traitants devront offrir aux responsables de traitement des garanties quant au respect des exigences du RGPD et à la protection des droits des personnes concernées. Ils devront assister et conseiller les responsables de traitement dans le cadre de leur conformité à certaines obligations, notamment les analyses d’impact, la notification de violation, la sécurité, la destruction des données, la contribution aux audits. En cas de manquement à ces obligations, la responsabilité du sous-traitant pourrait être engagée.

Ces obligations devront être précisées sous une forme écrite : contrat ou autre acte juridique. Le guide fournit un exemple de clauses contractuelles de sous-traitance.

Télécharger le PDF