November 2022

Référentiels autorisations accès précoce et accès compassionnel

2022-11-10T23:58:51+00:0010 November 2022|News|

Ce jour ont été publiés, au Journal officiel, deux référentiels de la CNIL : l’un portant sur les traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès compassionnel (ACC) et l’autre concernant les médicaments bénéficiant d’une autorisation d’accès précoce (AAP).

Ces référentiels visent les traitements de données à caractère personnel relatifs au suivi des patients traités par un médicament disposant d’une AAC ou d’une AAP et s’appliquent aux traitements mis en œuvre à partir de l’entrée en vigueur des référentiels.

  • Déclaration de conformité

Les laboratoires titulaires des droits d’exploitation des médicaments concernés, en tant que responsables de traitements, sont tenus de procéder à une déclaration de conformité au référentiel. Cela concerne les responsables de traitement établis en France, qui recourent aux services d’un sous-traitant établi en France ou qui mettent en œuvre un traitement de données de personnes résident en France quelque soit leur lieu d’établissement.

Tout traitement qui ne respecterait pas l’ensemble des exigences fixées par les référentiels doit faire l’objet d’une demande d’autorisation de la CNIL. Dans ce cas, la CNIL se prononce dans un délai de deux (2) mois à compter de la réception de la demande, délai pouvant être prorogé une fois pour la même durée.

  • Responsable de traitement et sous-traitant

Si les deux référentiels reprennent la structure habituelle des référentiels, notamment les exigences de sécurité minimales attendus par les responsables de traitements et leurs sous-traitants ainsi que celles opposables aux prestataires informatiques auxquels il pourrait être fait appel et la nécessité de mener une analyse d’impact, ils apportent des précisions sur le rôle des parties prenantes.

En effet, ces référentiels confirment que les établissements de santé et les professionnels de santé agissent comme sous-traitant pour la collecte et la transmission des données mais restent responsable de traitement pour lesquels ils définissent les finalités et les moyens, notamment la tenue du dossier patient.

Les fournisseurs d’une plateforme de saisie de données à caractère personnel relatives au suivi du patient traité sont qualifiés de sous-traitant.

  • Information des personnes concernées

Le responsable de traitement est tenu de mettre sur son site web les notices d’information relatives au traitement des données à caractère personnel et conforme au RGPD.

Il est également précisé qu’en cas de réutilisation des données une nouvelle information devra être délivrée sauf si la personne concernée dispose déjà des éléments ou si la personne concernée a été informée dès la collecte de la possible réutilisation et le renvoi à un dispositif spécifique d’information tel que le portail de transparence disponible sur le site web auquel les personnes concernées pourront se reporter.

Délibération n°2022-106 du 22 septembre 2022 Adoption d’un référentiel accès compassionnel
Délibération n°2022-107 du 22 septembre 2022 portant adoption d’un référentiel autorisation d’acces précoce

October 2022

Protection des données personnelles

2022-10-18T20:19:49+00:0018 October 2022|News|

Ces derniers jours ont été riches en actualité liée à la protection des données à caractère personnel :

  • le décret n° 2022-1313 du 13 octobre 2022 relatif à l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée
  • la publication de la recommandation de la CNIL sur les mots de passe et autres secrets partagés ce week-end,
  • ou encore le décret n° 2022-1327 du 17 octobre 2022 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion ce matin

Parue au Journal officiel du 16 octobre, la délibération n°2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés annule et remplace l’ancienne recommandation de 2017. L’utilisation de mots de passe pour accéder à des services numériques est extrêmement fréquente mais constitue une menace accrue sur la sécurité des données. La CNIL a estimé nécessaire d’actualiser sa recommandation sur le sujet. Les nouveautés de ces recommandations portent sur le degré de complexité du mot de passe, la fin de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, la communication d’une liste de mots de passes complexes mais à éviter en raison de leur caractère connu. Elles apportent également des précisions sur les règles concernant la création et le renouvellement des mots de passe.

A compter du 1er mars 2023, le décret n°2022-1313 fixe les jours, horaires et fréquence au cours desquels les consommateurs peuvent être sollicités par téléphone à des fins de prospection commerciale non sollicitée. Le décret précise que le démarchage téléphonique est autorisé du lundi au vendredi de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne peut être réalisé le samedi, dimanche et jours fériés.

Tous les consommateurs sont concernés aussi bien ceux inscrits sur la liste d’opposition Bloctel que ceux ayant un contrat en cours avec le prospecteur commercial.

Le décret interdit également qu’un consommateur soit contacté à des fins de prospection commerciale plus de quatre fois par mois par le même professionnel ou une personne agissant pour son compte. S’il refuse tout démarchage téléphonique au cours d’une conversation avec un professionnel, le consommateur ne pourra pas être contacté par celui-ci pendant une période de soixante jours à compter du refus.

Toute violation de ces dispositions expose son auteur à une amende de 75 000 € pour une personne physique et 375 000 € pour une personne morale.

Enfin, le décret n°2022-1237 s’adresse aux opérateurs de communications électroniques ainsi qu’aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ou la mise à disposition de stockage de signaux, écrits, images, sons ou messages. Il les enjoint de conserver, pendant une période d’un an, les données de trafic et de localisation aux fins de sauvegarde de la sécurité nationale.

Nous reviendrons sur ces évolutions règlementaires lors du cycle de formation sur la protection des données du mois de novembre destiné tant aux DPO qu’à toutes les personnes intéressées par le sujet.

Recommandation de la CNIL sur les mots de passe
Décret n°2022-1313 du 13 octobre 2022 relatif à l’encadrement de la prospection commerciale non sollicitée
Décret n°2022-1327 du 17 octobre 2022 conservation pour une durée d’un an de certaines catégories de données de connexion

September 2022

Classement Décideurs Magazine

2022-09-27T22:52:03+00:0027 September 2022|News|

Reconnu parmi les meilleurs cabinets d’avocats par Décideurs Magazine, le cabinet est classé dans les catégories :

“Santé, Pharma & Biotechnologies”

  • Droit règlementaire
  • Santé électronique

“Concurrence & distribution” Secteur Santé& industrie pharmaceutique

“Innovations, Technologie & Télécoms”

  • Droit des données personnelles
Le cabinet remercie ses clients et ses partenaires pour leur confiance renouvelé.
Droit règlementaire
Santé électronique
Concurrence distribution santé
Droit des données personnelles

May 2022

CNIL – Rapport d’activité et délégation de pouvoirs

2022-05-19T18:48:12+00:0019 May 2022|News|

La CNIL vient de publier son rapport d’activités de l’année 2021.

Au cours de cette année, 384 contrôles ont été effectués dont 173 en ligne et 118 sur place. La poursuite de la crise sanitaire peut expliquer le nombre important de contrôle en ligne, supérieur à ceux sur place.

Si les signalements et les plaintes sont à l’origine de près d’un tiers des contrôle (31%), la CNIL a réussi à réaliser une partie du programme de contrôle annoncé :  37% des contrôles portaient sur les thématiques prioritaires de la Commission.

49 vérifications ont été réalisées à la suite de signalements pour violation de données personnelles.

Au total, ce sont 135 mises en demeures, 47 rappels à l’ordre dont 2 avec injonctions et 15 amendes qui ont été prononcées en 2021.

Le nombre de ces dossiers explique l’implication de la CNIL dans la réforme de sanctions prévue par la loi informatique et libertés. Les plaintes et signalements de plus en plus nombreux, la CNIL s’est trouvée face à l’inadaptation de la procédure de sanctions : trop lourde et complexe pour les dossiers a priori sans difficulté d’interprétation et à faibles enjeux. L’adoption d’une procédure simplifiée (cf actualité du 11 avril 2022) devrait permettre de fluidifier le traitement de ces dossiers. Pour mémoire, les sanctions ainsi prononcées ne sont pas rendues publiques.

La mise en place de la procédure se poursuit avec la délégation de pouvoirs de la Commission à sa présidente et sa vice-présidente déléguée notamment la possibilité de procéder ou de faire procéder par les agents de la CNIL à des vérifications.  (Délibération n°2022-054 publiée le 8 mai 2022)

Cette simplification constitue un changement profond pour la CNIL qui supposera, comme le précise le rapport, probablement plusieurs années avant d’être complètement opérationnel.

A côté de la politique répressive, la CNIL poursuit ses mesures d’accompagnement en simplifiant la rédaction des avis qu’elle rend, en enrichissant les contenus de son site internet ou encore avec la création d’un nouveau « service de l’accompagnement et des délégués à la protection des données » et en poursuivant le dispositif de « bac à sable » pour favoriser l’innovation.

Rapport 2021 de la CNIL
Délibération n°2022-054 du 5 mai 2022 délégation de pouvoirs

April 2022

CNIL – Procédure simplifiée

2022-04-11T19:41:30+00:0011 April 2022|News|

Le décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est paru le 9 avril 2022 au Journal officiel.

Ce décret concerne notamment la mise en place de la procédure simplifiée de sanction de la Commission nationale de l’informatique et des libertés (CNIL) à côté de la procédure ordinaire. Cette procédure simplifiée se caractérise par le fait que la mesure est prononcée par un seul commissaire de la formation restreinte et, en principe, sans audience. Elle s’est imposée au vu de l’augmentation sans cesse grandissante des plaintes adressées à la CNIL, dont le nombre a doublé depuis l’adoption du RGPD. La procédure ordinaire de sanction n’était donc plus adaptée et ne permettait plus à la CNIL de mener à bien ses missions.

Procédure écrite, la procédure simplifiée concernera les dossiers les moins complexes, ceux-ci étant confié au seul président de la formation restreinte ou à un membre de cette formation désigné par lui. La complexité des dossiers sera analysée au regard du faible niveau de gravité de l’infraction et de la simplicité des questions de fait ou droit soulevées. Les mesures pouvant être prononcées se limitent à un rappel à l’ordre, une injonction sous astreinte dans la limite de 100 euros par jour de retard et à une amende d’un montant maximal de 20 000 euros. En outre, les mesures prononcées ne seront pas rendues publiques.

Si le président de la formation restreinte ou le membre désigné par lui estime qu’il ne peut être recouru à la procédure simplifiée ou que celle-ci doit être interrompue, le président de la CNIL et le mis en cause en sont informés. Ce sera alors la procédure ordinaire qui s’appliquera.

Selon la CNIL, cette nouvelle procédure de sanction simplifiée sera à même de faciliter l’instruction des dossiers transfrontaliers lorsque la CNIL est autorité chef de file pour les affaires d’un faible niveau de gravité et ne présentant pas de difficultés particulières.

Ce décret précise également les autres pouvoirs du président de la formation restreinte tels que la procédure d’injonction de produire lorsqu’un responsable de traitement ou un sous-traitant n’a pas répondu à une mise en demeure préalable. L’injonction de produire pourra être accompagnée d’une astreinte journalière.

En outre, le président de la formation restreinte pourra désormais prononcer un non-lieu sans que soit organisée une séance de la formation restreinte.

Enfin, le décret aborde aussi des changements concernant la procédure ordinaire de sanction. Parmi ceux-ci, il est dorénavant prévu que le rapporteur et le mis en cause disposent d’un délai identique d’un mois pour produire leurs écritures respectives, délai pouvant être prolongé sur demande du rapporteur ou du mis en cause, contre quinze jours auparavant.

La procédure de sanction pourra être classée sans suite à tout moment par le rapporteur si les manquements ne sont pas constitués ou si le mis en cause n’a plus d’existence juridique.

Pour instruire l’affaire, le rapporteur pourra s’adjoindre le concours d’experts externes à la CNIL parmi les magistrats et membres de la juridiction administratives.

Lors de la session de formation du 3 juin prochain « Anticiper et gérer un contrôle de la CNIL », nous reviendrons en détail sur ces évolutions.

Décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019
Formation Anticiper et gérer un contrôle de la CNIL

October 2021

Référentiel Entrepôt de données de santé

2021-10-25T10:44:44+00:0025 October 2021|News|

Un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé est paru le 24 octobre 2021 au Journal officiel.

Ce référentiel vise les responsables de traitements qui, dans le cadre de leurs missions d’intérêt public, réunissent des données en vue de leur réutilisation.

Ne sont donc pas concernés par ce référentiel :

  • les entrepôts mis en œuvre par les sociétés privées sur la base légale de l’intérêt légitime ;
  • les traitements de données à caractère personnel mis en œuvre uniquement aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par les professionnels de santé et les systèmes ou service de soins de santé ;
  • les traitements de données à caractère personnel mis en œuvre sur la base du consentement explicite de la personne concernée ;
  • les entrepôts appariés avec la base du système national des données de santé (SNDS).

Le référentiel ne s’adresse qu’aux entrepôts de données de santé constitués dans le cadre de l’exercice d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Le caractère d’intérêt public est différent de l’exigence d’intérêt public imposée pour les finalités des traitements mis en œuvre dans le domaine de la santé au sens de la Loi informatique et libertés (LIL). Ainsi, au sens de la LIL « la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public ».

Le référentiel rappelle que les données contenues dans l’entrepôt ne peuvent pas être traitées à des fins de promotions des produits de santé auprès des professionnels de santé ou d’établissements de santé, à des fins d’exclusion de garanties des contrats d’assurance, ou encore de modification de cotisations ou de prime d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Les données ne peuvent pas être collectées dans le seul but d’alimenter l’entrepôt. Chaque donnée versée doit être justifiée scientifiquement par la prise en charge sanitaire ou médico-sociale ou par la réalisation d’un projet de recherche, d’étude ou d’évaluation spécifique et prévue par un protocole.

Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation font l’objet de formalités spécifiques auprès de la CNIL : un engagement de conformité pour les traitements conformes à une méthodologie de référence ou, dans le cas contraire, une demande d’autorisation auprès de la CNIL.

En outre, les personnes concernées devront être informées de chacune des réutilisations de données les concernant à ces fins précises, hormis les cas où les responsables de traitement sont dans l’impossibilité de réaliser l’information ou que celle-ci exigerait des efforts disproportionnés.

Délibération n°2021-118 du 7 octobre 2021 portant adoption d’un référentiel Entrepôt de données de santé

Flash Info – Classement Décideurs Magazine

2021-10-11T21:36:42+00:0011 October 2021|News|

Reconnu parmi les meilleurs cabinets d’avocats par Décideurs Magazine, le cabinet est classé dans les catégories :

“Santé, Pharma & Biotechnologies”

  • Droit règlementaire
  • Santé électronique

“Concurrence & distribution” Secteur Santé& industrie pharmaceutique

“Innovations, Technologie & Télécoms”

  • Droit des données personnelles
Le cabinet remercie ses clients et ses partenaires pour leur confiance.
Suivre le lien

April 2021

November 2020

October 2020

6 boulevard Beaumarchais - 75011 Paris

A découvrir

LE COIN DU DPO

NEWSLETTER

Copyright Vigier Avocats 2022
Go to Top