May 2022

CNIL – Rapport d’activité et délégation de pouvoirs

2022-05-19T18:48:12+00:0019 May 2022|News|

La CNIL vient de publier son rapport d’activités de l’année 2021.

Au cours de cette année, 384 contrôles ont été effectués dont 173 en ligne et 118 sur place. La poursuite de la crise sanitaire peut expliquer le nombre important de contrôle en ligne, supérieur à ceux sur place.

Si les signalements et les plaintes sont à l’origine de près d’un tiers des contrôle (31%), la CNIL a réussi à réaliser une partie du programme de contrôle annoncé :  37% des contrôles portaient sur les thématiques prioritaires de la Commission.

49 vérifications ont été réalisées à la suite de signalements pour violation de données personnelles.

Au total, ce sont 135 mises en demeures, 47 rappels à l’ordre dont 2 avec injonctions et 15 amendes qui ont été prononcées en 2021.

Le nombre de ces dossiers explique l’implication de la CNIL dans la réforme de sanctions prévue par la loi informatique et libertés. Les plaintes et signalements de plus en plus nombreux, la CNIL s’est trouvée face à l’inadaptation de la procédure de sanctions : trop lourde et complexe pour les dossiers a priori sans difficulté d’interprétation et à faibles enjeux. L’adoption d’une procédure simplifiée (cf actualité du 11 avril 2022) devrait permettre de fluidifier le traitement de ces dossiers. Pour mémoire, les sanctions ainsi prononcées ne sont pas rendues publiques.

La mise en place de la procédure se poursuit avec la délégation de pouvoirs de la Commission à sa présidente et sa vice-présidente déléguée notamment la possibilité de procéder ou de faire procéder par les agents de la CNIL à des vérifications.  (Délibération n°2022-054 publiée le 8 mai 2022)

Cette simplification constitue un changement profond pour la CNIL qui supposera, comme le précise le rapport, probablement plusieurs années avant d’être complètement opérationnel.

A côté de la politique répressive, la CNIL poursuit ses mesures d’accompagnement en simplifiant la rédaction des avis qu’elle rend, en enrichissant les contenus de son site internet ou encore avec la création d’un nouveau « service de l’accompagnement et des délégués à la protection des données » et en poursuivant le dispositif de « bac à sable » pour favoriser l’innovation.

Rapport 2021 de la CNIL
Délibération n°2022-054 du 5 mai 2022 délégation de pouvoirs

April 2022

CNIL – Procédure simplifiée

2022-04-11T19:41:30+00:0011 April 2022|News|

Le décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est paru le 9 avril 2022 au Journal officiel.

Ce décret concerne notamment la mise en place de la procédure simplifiée de sanction de la Commission nationale de l’informatique et des libertés (CNIL) à côté de la procédure ordinaire. Cette procédure simplifiée se caractérise par le fait que la mesure est prononcée par un seul commissaire de la formation restreinte et, en principe, sans audience. Elle s’est imposée au vu de l’augmentation sans cesse grandissante des plaintes adressées à la CNIL, dont le nombre a doublé depuis l’adoption du RGPD. La procédure ordinaire de sanction n’était donc plus adaptée et ne permettait plus à la CNIL de mener à bien ses missions.

Procédure écrite, la procédure simplifiée concernera les dossiers les moins complexes, ceux-ci étant confié au seul président de la formation restreinte ou à un membre de cette formation désigné par lui. La complexité des dossiers sera analysée au regard du faible niveau de gravité de l’infraction et de la simplicité des questions de fait ou droit soulevées. Les mesures pouvant être prononcées se limitent à un rappel à l’ordre, une injonction sous astreinte dans la limite de 100 euros par jour de retard et à une amende d’un montant maximal de 20 000 euros. En outre, les mesures prononcées ne seront pas rendues publiques.

Si le président de la formation restreinte ou le membre désigné par lui estime qu’il ne peut être recouru à la procédure simplifiée ou que celle-ci doit être interrompue, le président de la CNIL et le mis en cause en sont informés. Ce sera alors la procédure ordinaire qui s’appliquera.

Selon la CNIL, cette nouvelle procédure de sanction simplifiée sera à même de faciliter l’instruction des dossiers transfrontaliers lorsque la CNIL est autorité chef de file pour les affaires d’un faible niveau de gravité et ne présentant pas de difficultés particulières.

Ce décret précise également les autres pouvoirs du président de la formation restreinte tels que la procédure d’injonction de produire lorsqu’un responsable de traitement ou un sous-traitant n’a pas répondu à une mise en demeure préalable. L’injonction de produire pourra être accompagnée d’une astreinte journalière.

En outre, le président de la formation restreinte pourra désormais prononcer un non-lieu sans que soit organisée une séance de la formation restreinte.

Enfin, le décret aborde aussi des changements concernant la procédure ordinaire de sanction. Parmi ceux-ci, il est dorénavant prévu que le rapporteur et le mis en cause disposent d’un délai identique d’un mois pour produire leurs écritures respectives, délai pouvant être prolongé sur demande du rapporteur ou du mis en cause, contre quinze jours auparavant.

La procédure de sanction pourra être classée sans suite à tout moment par le rapporteur si les manquements ne sont pas constitués ou si le mis en cause n’a plus d’existence juridique.

Pour instruire l’affaire, le rapporteur pourra s’adjoindre le concours d’experts externes à la CNIL parmi les magistrats et membres de la juridiction administratives.

Lors de la session de formation du 3 juin prochain « Anticiper et gérer un contrôle de la CNIL », nous reviendrons en détail sur ces évolutions.

Décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019
Formation Anticiper et gérer un contrôle de la CNIL

October 2021

Référentiel Entrepôt de données de santé

2021-10-25T10:44:44+00:0025 October 2021|News|

Un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé est paru le 24 octobre 2021 au Journal officiel.

Ce référentiel vise les responsables de traitements qui, dans le cadre de leurs missions d’intérêt public, réunissent des données en vue de leur réutilisation.

Ne sont donc pas concernés par ce référentiel :

  • les entrepôts mis en œuvre par les sociétés privées sur la base légale de l’intérêt légitime ;
  • les traitements de données à caractère personnel mis en œuvre uniquement aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par les professionnels de santé et les systèmes ou service de soins de santé ;
  • les traitements de données à caractère personnel mis en œuvre sur la base du consentement explicite de la personne concernée ;
  • les entrepôts appariés avec la base du système national des données de santé (SNDS).

Le référentiel ne s’adresse qu’aux entrepôts de données de santé constitués dans le cadre de l’exercice d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Le caractère d’intérêt public est différent de l’exigence d’intérêt public imposée pour les finalités des traitements mis en œuvre dans le domaine de la santé au sens de la Loi informatique et libertés (LIL). Ainsi, au sens de la LIL « la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public ».

Le référentiel rappelle que les données contenues dans l’entrepôt ne peuvent pas être traitées à des fins de promotions des produits de santé auprès des professionnels de santé ou d’établissements de santé, à des fins d’exclusion de garanties des contrats d’assurance, ou encore de modification de cotisations ou de prime d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Les données ne peuvent pas être collectées dans le seul but d’alimenter l’entrepôt. Chaque donnée versée doit être justifiée scientifiquement par la prise en charge sanitaire ou médico-sociale ou par la réalisation d’un projet de recherche, d’étude ou d’évaluation spécifique et prévue par un protocole.

Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation font l’objet de formalités spécifiques auprès de la CNIL : un engagement de conformité pour les traitements conformes à une méthodologie de référence ou, dans le cas contraire, une demande d’autorisation auprès de la CNIL.

En outre, les personnes concernées devront être informées de chacune des réutilisations de données les concernant à ces fins précises, hormis les cas où les responsables de traitement sont dans l’impossibilité de réaliser l’information ou que celle-ci exigerait des efforts disproportionnés.

Flash Info – Classement Décideurs Magazine

2021-10-11T21:36:42+00:0011 October 2021|News|

Reconnu parmi les meilleurs cabinets d’avocats par Décideurs Magazine, le cabinet est classé dans les catégories :

“Santé, Pharma & Biotechnologies”

  • Droit règlementaire
  • Santé électronique

“Concurrence & distribution” Secteur Santé& industrie pharmaceutique

“Innovations, Technologie & Télécoms”

  • Droit des données personnelles
Le cabinet remercie ses clients et ses partenaires pour leur confiance.
Suivre le lien

April 2021

November 2020

October 2020

September 2020

August 2020

June 2020

Go to Top