November 2022

Référentiels autorisations accès précoce et accès compassionnel

2022-11-10T23:58:51+00:0010 November 2022|News|

Ce jour ont été publiés, au Journal officiel, deux référentiels de la CNIL : l’un portant sur les traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès compassionnel (ACC) et l’autre concernant les médicaments bénéficiant d’une autorisation d’accès précoce (AAP).

Ces référentiels visent les traitements de données à caractère personnel relatifs au suivi des patients traités par un médicament disposant d’une AAC ou d’une AAP et s’appliquent aux traitements mis en œuvre à partir de l’entrée en vigueur des référentiels.

  • Déclaration de conformité

Les laboratoires titulaires des droits d’exploitation des médicaments concernés, en tant que responsables de traitements, sont tenus de procéder à une déclaration de conformité au référentiel. Cela concerne les responsables de traitement établis en France, qui recourent aux services d’un sous-traitant établi en France ou qui mettent en œuvre un traitement de données de personnes résident en France quelque soit leur lieu d’établissement.

Tout traitement qui ne respecterait pas l’ensemble des exigences fixées par les référentiels doit faire l’objet d’une demande d’autorisation de la CNIL. Dans ce cas, la CNIL se prononce dans un délai de deux (2) mois à compter de la réception de la demande, délai pouvant être prorogé une fois pour la même durée.

  • Responsable de traitement et sous-traitant

Si les deux référentiels reprennent la structure habituelle des référentiels, notamment les exigences de sécurité minimales attendus par les responsables de traitements et leurs sous-traitants ainsi que celles opposables aux prestataires informatiques auxquels il pourrait être fait appel et la nécessité de mener une analyse d’impact, ils apportent des précisions sur le rôle des parties prenantes.

En effet, ces référentiels confirment que les établissements de santé et les professionnels de santé agissent comme sous-traitant pour la collecte et la transmission des données mais restent responsable de traitement pour lesquels ils définissent les finalités et les moyens, notamment la tenue du dossier patient.

Les fournisseurs d’une plateforme de saisie de données à caractère personnel relatives au suivi du patient traité sont qualifiés de sous-traitant.

  • Information des personnes concernées

Le responsable de traitement est tenu de mettre sur son site web les notices d’information relatives au traitement des données à caractère personnel et conforme au RGPD.

Il est également précisé qu’en cas de réutilisation des données une nouvelle information devra être délivrée sauf si la personne concernée dispose déjà des éléments ou si la personne concernée a été informée dès la collecte de la possible réutilisation et le renvoi à un dispositif spécifique d’information tel que le portail de transparence disponible sur le site web auquel les personnes concernées pourront se reporter.

Délibération n°2022-106 du 22 septembre 2022 Adoption d’un référentiel accès compassionnel

October 2022

Protection des données personnelles

2022-10-18T20:19:49+00:0018 October 2022|News|

Ces derniers jours ont été riches en actualité liée à la protection des données à caractère personnel :

  • le décret n° 2022-1313 du 13 octobre 2022 relatif à l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée
  • la publication de la recommandation de la CNIL sur les mots de passe et autres secrets partagés ce week-end,
  • ou encore le décret n° 2022-1327 du 17 octobre 2022 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion ce matin

Parue au Journal officiel du 16 octobre, la délibération n°2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés annule et remplace l’ancienne recommandation de 2017. L’utilisation de mots de passe pour accéder à des services numériques est extrêmement fréquente mais constitue une menace accrue sur la sécurité des données. La CNIL a estimé nécessaire d’actualiser sa recommandation sur le sujet. Les nouveautés de ces recommandations portent sur le degré de complexité du mot de passe, la fin de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, la communication d’une liste de mots de passes complexes mais à éviter en raison de leur caractère connu. Elles apportent également des précisions sur les règles concernant la création et le renouvellement des mots de passe.

A compter du 1er mars 2023, le décret n°2022-1313 fixe les jours, horaires et fréquence au cours desquels les consommateurs peuvent être sollicités par téléphone à des fins de prospection commerciale non sollicitée. Le décret précise que le démarchage téléphonique est autorisé du lundi au vendredi de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne peut être réalisé le samedi, dimanche et jours fériés.

Tous les consommateurs sont concernés aussi bien ceux inscrits sur la liste d’opposition Bloctel que ceux ayant un contrat en cours avec le prospecteur commercial.

Le décret interdit également qu’un consommateur soit contacté à des fins de prospection commerciale plus de quatre fois par mois par le même professionnel ou une personne agissant pour son compte. S’il refuse tout démarchage téléphonique au cours d’une conversation avec un professionnel, le consommateur ne pourra pas être contacté par celui-ci pendant une période de soixante jours à compter du refus.

Toute violation de ces dispositions expose son auteur à une amende de 75 000 € pour une personne physique et 375 000 € pour une personne morale.

Enfin, le décret n°2022-1237 s’adresse aux opérateurs de communications électroniques ainsi qu’aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ou la mise à disposition de stockage de signaux, écrits, images, sons ou messages. Il les enjoint de conserver, pendant une période d’un an, les données de trafic et de localisation aux fins de sauvegarde de la sécurité nationale.

Nous reviendrons sur ces évolutions règlementaires lors du cycle de formation sur la protection des données du mois de novembre destiné tant aux DPO qu’à toutes les personnes intéressées par le sujet.

Recommandation de la CNIL sur les mots de passe

September 2022

Classement Décideurs Magazine

2022-09-27T22:52:03+00:0027 September 2022|News|

Reconnu parmi les meilleurs cabinets d’avocats par Décideurs Magazine, le cabinet est classé dans les catégories :

“Santé, Pharma & Biotechnologies”

  • Droit règlementaire
  • Santé électronique

“Concurrence & distribution” Secteur Santé& industrie pharmaceutique

“Innovations, Technologie & Télécoms”

  • Droit des données personnelles
Le cabinet remercie ses clients et ses partenaires pour leur confiance renouvelé.
Droit règlementaire
Santé électronique
Concurrence distribution santé
Droit des données personnelles

Formations 2022

2022-09-13T23:25:46+00:0013 September 2022|News|

Les prochaines sessions de formations conçues et animées par le cabinet

  • Encadrement des avantages (ex-Loi Anti-cadeaux) le 4 octobre
    • avec mise en pratique, possibilité d’assister qu’à la partie pratique sous réserve des prérequis
  • Recherche clinique  les 6 & 7 octobre
  • Charte de la qualité des bonnes pratiques DM le 13 octobre
  • Règlement européen 2017/745 relatif aux dispositifs médicaux le 18 octobre
  • Règles de communication sur les dispositifs médicaux le 17 novembre
  • Données personnelles de santé – recherche/entrepôt de santé le 20 octobre
  • Données personnelles – en santé le 27 octobre
  • Anticiper et gérer un contrôle de la CNIL le 24 novembre
  • Cycle de formation sur les données personnelles les 7&8, 18, 28&29 novembre
    • revue de la règlementation, cas pratiques, mise en situation
    • rédaction de 2 fiches de traitements et réalisation de 2 analyses d’impact

Ces formations apportent des réponses tant juridiques que pratiques, des solutions compliantes et efficaces.

Le nombre de places est limité pour favoriser les échanges, aborder ensemble les situations particulières.

Vos questions et attentes sont recueillies en amont de la formation pour repartir avec des solutions adaptées.

L’organisme de formation du cabinet est certifié Qualiopi, permettant une prise en charge par les organismes financeurs. Une convention de stage et des attestations de présence sont établies.

Formations

July 2022

Soutien à la constitution d’entrepôts de données de santé hospitaliers

2022-07-29T21:56:20+00:0029 July 2022|News|

La stratégie d’accélération « Santé numérique » du Gouvernement vise à favoriser le développement en France de solutions innovantes de santé numérique. L’objectif est de faire de la France un leader sur l’innovation en e-santé. L’appel à projet « accompagnement et soutien à la constitution d’entrepôts de données de santé hospitaliers » publié au Journal officiel le 28 juillet 2022 est une des actions portées par cette stratégie gouvernementale. Cet appel à projet vise à mettre en place et renforcer un réseau d’entrepôts de données de santé (EDS) hospitaliers, coordonné par le Health Data Hub. Les EDS devraient permettre de multiplier l’analyse des données massives en santé et le développement de la médecine préventive, prédictive, participative, personnalisée et pertinente, dite « médecine 5P » grâce à la réutilisation des données pour les recherches tant internes qu’externes aux établissements.

S’inscrivant dans une perspective pluriannuelle, cet appel à projet mobilise deux enveloppes de financement pour un montant total de 50 millions d’euros. Il est ouvert uniquement aux établissements de santé public ou privé et aux groupements de coopération sanitaire (GCS), seuls ou au sein d’un consortium de maximum six membres.

Les conditions de sélection des projets reposent sur un volet de constitution et/ou de consolidation d’un ou plusieurs EDS. Les candidats devront démontrer des cas d’usage de l’EDS avec au moins trois projets de recherche et d’innovation. La mise en œuvre de la constitution ou consolidation d’EDS devra intervenir sous 40 mois ainsi que les projets de recherche et d’innovation.

Limité aux EDS présentant un volume significatif de données, cet appel à projet est ouvert à compter du 22 juillet 2022 jusqu’au 12 avril 2023. Les candidatures seront examinées au cours de deux sessions une prévue le 11 octobre 2022 et la seconde le 12 avril 2023.

Les projets déposés devront être conformes à la réglementation européenne applicable (RGPD, EHDS, Data Act, IA Act…) ainsi qu’au référentiel de la CNIL relatif à la création d’entrepôts de données de santé dans le domaine de la santé.

Pour vous aider à comprendre et maîtriser la réglementation sur la protection des données à caractère personnel applicable à la recherche et aux EDS, le cabinet organise des sessions de formations recherche-EDS le 20 octobre 2022 et le 24 janvier 2023.

Arrêté du 2 juillet 2022 relatif à l’appel à projet

June 2022

Garantie légale de conformité des produits

2022-06-30T12:21:58+00:0030 June 2022|News|

Est paru aujourd’hui au Journal officiel le décret n°2022-946 du 29 juin 2022 relatif à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques.

Ce décret fait suite aux modifications du code de la consommation issue de l’ordonnance n°2021-1247 du 29 septembre 2021 qui était venue renforcée la protection des consommateurs dans le domaine des biens, contenus numériques et services numériques, et plus particulière la garantie légale de conformité. La garantie légale de conformité prévoit, dès l’achat d’un produit ou d’un service, qu’il doit être conforme à l’usage attendu et à la description du vendeur. Désormais, la garantie légale couvre aussi les produits numériques. Ainsi, pour tous les produits et services, quels qu’ils soient numériques ou non, le consommateur a droit, dans les deux années suivant son achat, à la réparation ou au remplacement du produit.

Le décret du 29 juin 2022 détermine notamment les informations relatives aux garanties légales qui doivent être mentionnées dans un encadré dans les conditions générales du vendeur. L’annexe 1 du décret reproduit cet encadré.

Il y est rappelé, entre autres, le délai de deux ans pour obtenir la mise en œuvre de la garantie légale de conformité. Le consommateur a droit à la réparation ou au remplacement du bien dans un délai de trente jours suivant sa demande et ce, sans frais et sans inconvénient majeur pour lui. Si le bien fait l’objet d’une réparation, alors le consommateur bénéficiera d’une extension de la garantie initiale de six mois. Si le vendeur impose le remplacement, la période de garantie légale de deux ans est renouvelée à compter du remplacement du bien. Pour les contenus et services numériques, le vendeur est tenu, pendant ce délai, de fournir les mises à jour nécessaires au maintien de la conformité du bien. Si le vendeur refuse de réparer ou remplacer le bien, si la réparation ou le remplacement intervient après un délai de trente jours ou encore quand il occasionne un inconvénient majeur pour le consommateur, le consommateur conserve toujours la possibilité d’obtenir une réduction du prix d’achat en conservant le bien ou de mettre fin au contrat en se faisant rembourser intégralement le bien contre restitution.

La résolution de la vente ne pourra pas être prononcée si le défaut de conformité est mineur. Le vendeur devra, en outre, rappeler les sanctions qu’il encourt : une amende d’un montant maximal de 300 000 euros, pouvant être porté à 10% du chiffre d’affaires moyen annuel s’il venait à faire obstacle, de mauvaise foi, à la mise en œuvre de la garantie légale.

Tout professionnel proposant des biens, des contenus numériques et services numériques au consommateur se reportera au décret pour insérer dans les conditions générales les mentions requises par la réglementation.

Le décret entre en vigueur au 1er octobre 2022. A compter de cette date, tous les vendeurs devront informés les consommateurs des conditions de mise en œuvre de l’obligation légale de conformité au risque de sanction.

May 2022

CNIL – Rapport d’activité et délégation de pouvoirs

2022-05-19T18:48:12+00:0019 May 2022|News|

La CNIL vient de publier son rapport d’activités de l’année 2021.

Au cours de cette année, 384 contrôles ont été effectués dont 173 en ligne et 118 sur place. La poursuite de la crise sanitaire peut expliquer le nombre important de contrôle en ligne, supérieur à ceux sur place.

Si les signalements et les plaintes sont à l’origine de près d’un tiers des contrôle (31%), la CNIL a réussi à réaliser une partie du programme de contrôle annoncé :  37% des contrôles portaient sur les thématiques prioritaires de la Commission.

49 vérifications ont été réalisées à la suite de signalements pour violation de données personnelles.

Au total, ce sont 135 mises en demeures, 47 rappels à l’ordre dont 2 avec injonctions et 15 amendes qui ont été prononcées en 2021.

Le nombre de ces dossiers explique l’implication de la CNIL dans la réforme de sanctions prévue par la loi informatique et libertés. Les plaintes et signalements de plus en plus nombreux, la CNIL s’est trouvée face à l’inadaptation de la procédure de sanctions : trop lourde et complexe pour les dossiers a priori sans difficulté d’interprétation et à faibles enjeux. L’adoption d’une procédure simplifiée (cf actualité du 11 avril 2022) devrait permettre de fluidifier le traitement de ces dossiers. Pour mémoire, les sanctions ainsi prononcées ne sont pas rendues publiques.

La mise en place de la procédure se poursuit avec la délégation de pouvoirs de la Commission à sa présidente et sa vice-présidente déléguée notamment la possibilité de procéder ou de faire procéder par les agents de la CNIL à des vérifications.  (Délibération n°2022-054 publiée le 8 mai 2022)

Cette simplification constitue un changement profond pour la CNIL qui supposera, comme le précise le rapport, probablement plusieurs années avant d’être complètement opérationnel.

A côté de la politique répressive, la CNIL poursuit ses mesures d’accompagnement en simplifiant la rédaction des avis qu’elle rend, en enrichissant les contenus de son site internet ou encore avec la création d’un nouveau « service de l’accompagnement et des délégués à la protection des données » et en poursuivant le dispositif de « bac à sable » pour favoriser l’innovation.

Rapport 2021 de la CNIL
Délibération n°2022-054 du 5 mai 2022 délégation de pouvoirs

April 2022

DM – Adaptation du droit français au règlement DM

2022-04-22T01:41:25+00:0022 April 2022|News|

L’Ordonnance n°2022-582 du 20 avril 2022 adapte le droit français au règlement européen 2017/745 relatif aux dispositifs médicaux. Elle était annoncée par la Loi Bioéthique de cet été. (Cf. notre Actualité du 4 Août 2021)

Les investigations cliniques sont exclues du régime général des recherches impliquant la personne humaine (RIPH). Mais un nouveau chapitre du code de la santé publique leur est consacré.

La définition du dispositif médical ainsi que celle de l’« accessoire de dispositif médical » ont été mises en cohérence avec le RDM. Il est également précisé que les dispositions relatives aux dispositifs médicaux s’appliquent aux groupes de produits n’ayant pas de destination médicale, listés en annexe XVI du règlement. Ces produits sont donc dans le champ de surveillance de l’ANSM. Quant à l’administration chargée de la concurrence et de la consommation, elle est l’autorité compétente en matière de contrôle de la surveillance après commercialisation.

Si les obligations déclaratives auprès de l’ANSM sont précisées, les conditions seront définies dans un décret à paraitre. Il en est de même des obligations de signalement, traçabilité, vigilance.

Les sanctions pénales ont été adaptées aux exigences du règlement. Les sanctions financières ont été complétées et mises à jour.

Des mesures transitoires sont prévues en fonction de la date de mise sur le marché du DM et en matière de recherches impliquant la personne humaine en cours.

Des décrets viendront préciser les conditions de mise en œuvre de ces dispositions.

CNIL – Procédure simplifiée

2022-04-11T19:41:30+00:0011 April 2022|News|

Le décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est paru le 9 avril 2022 au Journal officiel.

Ce décret concerne notamment la mise en place de la procédure simplifiée de sanction de la Commission nationale de l’informatique et des libertés (CNIL) à côté de la procédure ordinaire. Cette procédure simplifiée se caractérise par le fait que la mesure est prononcée par un seul commissaire de la formation restreinte et, en principe, sans audience. Elle s’est imposée au vu de l’augmentation sans cesse grandissante des plaintes adressées à la CNIL, dont le nombre a doublé depuis l’adoption du RGPD. La procédure ordinaire de sanction n’était donc plus adaptée et ne permettait plus à la CNIL de mener à bien ses missions.

Procédure écrite, la procédure simplifiée concernera les dossiers les moins complexes, ceux-ci étant confié au seul président de la formation restreinte ou à un membre de cette formation désigné par lui. La complexité des dossiers sera analysée au regard du faible niveau de gravité de l’infraction et de la simplicité des questions de fait ou droit soulevées. Les mesures pouvant être prononcées se limitent à un rappel à l’ordre, une injonction sous astreinte dans la limite de 100 euros par jour de retard et à une amende d’un montant maximal de 20 000 euros. En outre, les mesures prononcées ne seront pas rendues publiques.

Si le président de la formation restreinte ou le membre désigné par lui estime qu’il ne peut être recouru à la procédure simplifiée ou que celle-ci doit être interrompue, le président de la CNIL et le mis en cause en sont informés. Ce sera alors la procédure ordinaire qui s’appliquera.

Selon la CNIL, cette nouvelle procédure de sanction simplifiée sera à même de faciliter l’instruction des dossiers transfrontaliers lorsque la CNIL est autorité chef de file pour les affaires d’un faible niveau de gravité et ne présentant pas de difficultés particulières.

Ce décret précise également les autres pouvoirs du président de la formation restreinte tels que la procédure d’injonction de produire lorsqu’un responsable de traitement ou un sous-traitant n’a pas répondu à une mise en demeure préalable. L’injonction de produire pourra être accompagnée d’une astreinte journalière.

En outre, le président de la formation restreinte pourra désormais prononcer un non-lieu sans que soit organisée une séance de la formation restreinte.

Enfin, le décret aborde aussi des changements concernant la procédure ordinaire de sanction. Parmi ceux-ci, il est dorénavant prévu que le rapporteur et le mis en cause disposent d’un délai identique d’un mois pour produire leurs écritures respectives, délai pouvant être prolongé sur demande du rapporteur ou du mis en cause, contre quinze jours auparavant.

La procédure de sanction pourra être classée sans suite à tout moment par le rapporteur si les manquements ne sont pas constitués ou si le mis en cause n’a plus d’existence juridique.

Pour instruire l’affaire, le rapporteur pourra s’adjoindre le concours d’experts externes à la CNIL parmi les magistrats et membres de la juridiction administratives.

Lors de la session de formation du 3 juin prochain « Anticiper et gérer un contrôle de la CNIL », nous reviendrons en détail sur ces évolutions.

Décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019
Formation Anticiper et gérer un contrôle de la CNIL

Recherche – Convention unique – Nouveau modèle

2022-04-11T19:21:46+00:0011 April 2022|News|

L’arrêté du 28 mars 2022 fixant le modèle de convention unique prévu à l’article R. 1121-3-1 du code de la santé publique est paru le 9 avril 2022 au Journal officiel. Ce modèle s’applique pour les recherches à finalité commerciale impliquant la personne humaine, mais également les essais cliniques portant sur un médicament ou les investigations cliniques des dispositifs médicaux qui se déroulent dans les établissements de santé, maison ou centre de santé.  La convention est signée entre le promoteur et le représentant légal du lieu de recherche.

Les apports de ce nouveau modèle concernent les traitements de données à caractère personnel. Quatre nouveaux articles complètent la convention.

Le modèle de convention rappelle sans surprise que les parties s’engagent à respecter la réglementation en vigueur, à savoir le règlement général sur la protection des données (RGPD) et la loi informatique et libertés.

S’agissant des données à caractère personnel relatives à la gestion de la convention et aux relations entre les parties, les traitements y afférents sont nécessaires aux fins des intérêts légitimes poursuivis par chaque partie ou relèvent d’une obligation légale à laquelle les parties doivent répondre. Ces données doivent être conservées le temps nécessaire à la poursuite des finalités.

L’article 11 bis 1 précise que les personnes concernées disposent d’un droit d’accès, de rectification et d’effacement des données, d’un droit à la limitation du traitement ainsi que d’un droit d’opposition au traitement qu’elles peuvent exercer directement auprès de chacune des parties.

Les données à caractère personnel concernant l’investigateur coordonnateur permettent la mise en place et la réalisation de la recherche ainsi que le respect des obligations légales de l’entreprise au titre du dispositif Transparence. Là aussi, l’arrêté rappelle les droits dont disposent l’investigateur coordonnateur.

Enfin, une nouvelle annexe 3 vient encadrer les conditions de la sous-traitance conformément à l’article 28 du RGPD, après avoir rappelé les rôles et obligations de chacune des parties dans le cadre de la réalisation de la recherche. Ainsi, l’entreprise/promoteur agit en qualité de responsable de traitement. Endossent le rôle de sous-traitant l’établissement coordonnateur et, le cas échéant, la structure tierce, agissant pour le compte de l’entreprise/promoteur.

Le modèle de convention jusqu’alors applicable fixé par l’arrêté du 16 novembre 2016 est abrogé. Toutefois, les conventions en vigueur avant l’entrée en vigueur de l’arrêté publié le 9 avril restent applicables.

Venez faire le point sur le cadre juridique et réglementaire de la recherche clinique lors de la prochaine session de formation les 16 & 17 mai prochain.

Arrêté du 28 mars 2022 fixant le modèle de convention unique
Formation recherche clinique
Go to Top