November 2022

Référentiels autorisations accès précoce et accès compassionnel

2022-11-10T23:58:51+00:0010 November 2022|News|

Ce jour ont été publiés, au Journal officiel, deux référentiels de la CNIL : l’un portant sur les traitements de données à caractère personnel mis en œuvre par le laboratoire titulaire des droits d’exploitation d’un médicament bénéficiant d’une autorisation d’accès compassionnel (ACC) et l’autre concernant les médicaments bénéficiant d’une autorisation d’accès précoce (AAP).

Ces référentiels visent les traitements de données à caractère personnel relatifs au suivi des patients traités par un médicament disposant d’une AAC ou d’une AAP et s’appliquent aux traitements mis en œuvre à partir de l’entrée en vigueur des référentiels.

  • Déclaration de conformité

Les laboratoires titulaires des droits d’exploitation des médicaments concernés, en tant que responsables de traitements, sont tenus de procéder à une déclaration de conformité au référentiel. Cela concerne les responsables de traitement établis en France, qui recourent aux services d’un sous-traitant établi en France ou qui mettent en œuvre un traitement de données de personnes résident en France quelque soit leur lieu d’établissement.

Tout traitement qui ne respecterait pas l’ensemble des exigences fixées par les référentiels doit faire l’objet d’une demande d’autorisation de la CNIL. Dans ce cas, la CNIL se prononce dans un délai de deux (2) mois à compter de la réception de la demande, délai pouvant être prorogé une fois pour la même durée.

  • Responsable de traitement et sous-traitant

Si les deux référentiels reprennent la structure habituelle des référentiels, notamment les exigences de sécurité minimales attendus par les responsables de traitements et leurs sous-traitants ainsi que celles opposables aux prestataires informatiques auxquels il pourrait être fait appel et la nécessité de mener une analyse d’impact, ils apportent des précisions sur le rôle des parties prenantes.

En effet, ces référentiels confirment que les établissements de santé et les professionnels de santé agissent comme sous-traitant pour la collecte et la transmission des données mais restent responsable de traitement pour lesquels ils définissent les finalités et les moyens, notamment la tenue du dossier patient.

Les fournisseurs d’une plateforme de saisie de données à caractère personnel relatives au suivi du patient traité sont qualifiés de sous-traitant.

  • Information des personnes concernées

Le responsable de traitement est tenu de mettre sur son site web les notices d’information relatives au traitement des données à caractère personnel et conforme au RGPD.

Il est également précisé qu’en cas de réutilisation des données une nouvelle information devra être délivrée sauf si la personne concernée dispose déjà des éléments ou si la personne concernée a été informée dès la collecte de la possible réutilisation et le renvoi à un dispositif spécifique d’information tel que le portail de transparence disponible sur le site web auquel les personnes concernées pourront se reporter.

Délibération n°2022-106 du 22 septembre 2022 Adoption d’un référentiel accès compassionnel

October 2022

Protection des données personnelles

2022-10-18T20:19:49+00:0018 October 2022|News|

Ces derniers jours ont été riches en actualité liée à la protection des données à caractère personnel :

  • le décret n° 2022-1313 du 13 octobre 2022 relatif à l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée
  • la publication de la recommandation de la CNIL sur les mots de passe et autres secrets partagés ce week-end,
  • ou encore le décret n° 2022-1327 du 17 octobre 2022 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion ce matin

Parue au Journal officiel du 16 octobre, la délibération n°2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés annule et remplace l’ancienne recommandation de 2017. L’utilisation de mots de passe pour accéder à des services numériques est extrêmement fréquente mais constitue une menace accrue sur la sécurité des données. La CNIL a estimé nécessaire d’actualiser sa recommandation sur le sujet. Les nouveautés de ces recommandations portent sur le degré de complexité du mot de passe, la fin de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, la communication d’une liste de mots de passes complexes mais à éviter en raison de leur caractère connu. Elles apportent également des précisions sur les règles concernant la création et le renouvellement des mots de passe.

A compter du 1er mars 2023, le décret n°2022-1313 fixe les jours, horaires et fréquence au cours desquels les consommateurs peuvent être sollicités par téléphone à des fins de prospection commerciale non sollicitée. Le décret précise que le démarchage téléphonique est autorisé du lundi au vendredi de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne peut être réalisé le samedi, dimanche et jours fériés.

Tous les consommateurs sont concernés aussi bien ceux inscrits sur la liste d’opposition Bloctel que ceux ayant un contrat en cours avec le prospecteur commercial.

Le décret interdit également qu’un consommateur soit contacté à des fins de prospection commerciale plus de quatre fois par mois par le même professionnel ou une personne agissant pour son compte. S’il refuse tout démarchage téléphonique au cours d’une conversation avec un professionnel, le consommateur ne pourra pas être contacté par celui-ci pendant une période de soixante jours à compter du refus.

Toute violation de ces dispositions expose son auteur à une amende de 75 000 € pour une personne physique et 375 000 € pour une personne morale.

Enfin, le décret n°2022-1237 s’adresse aux opérateurs de communications électroniques ainsi qu’aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ou la mise à disposition de stockage de signaux, écrits, images, sons ou messages. Il les enjoint de conserver, pendant une période d’un an, les données de trafic et de localisation aux fins de sauvegarde de la sécurité nationale.

Nous reviendrons sur ces évolutions règlementaires lors du cycle de formation sur la protection des données du mois de novembre destiné tant aux DPO qu’à toutes les personnes intéressées par le sujet.

Recommandation de la CNIL sur les mots de passe

September 2022

Classement Décideurs Magazine

2022-09-27T22:52:03+00:0027 September 2022|News|

Reconnu parmi les meilleurs cabinets d’avocats par Décideurs Magazine, le cabinet est classé dans les catégories :

“Santé, Pharma & Biotechnologies”

  • Droit règlementaire
  • Santé électronique

“Concurrence & distribution” Secteur Santé& industrie pharmaceutique

“Innovations, Technologie & Télécoms”

  • Droit des données personnelles
Le cabinet remercie ses clients et ses partenaires pour leur confiance renouvelé.
Droit règlementaire
Santé électronique
Concurrence distribution santé
Droit des données personnelles

May 2022

CNIL – Rapport d’activité et délégation de pouvoirs

2022-05-19T18:48:12+00:0019 May 2022|News|

La CNIL vient de publier son rapport d’activités de l’année 2021.

Au cours de cette année, 384 contrôles ont été effectués dont 173 en ligne et 118 sur place. La poursuite de la crise sanitaire peut expliquer le nombre important de contrôle en ligne, supérieur à ceux sur place.

Si les signalements et les plaintes sont à l’origine de près d’un tiers des contrôle (31%), la CNIL a réussi à réaliser une partie du programme de contrôle annoncé :  37% des contrôles portaient sur les thématiques prioritaires de la Commission.

49 vérifications ont été réalisées à la suite de signalements pour violation de données personnelles.

Au total, ce sont 135 mises en demeures, 47 rappels à l’ordre dont 2 avec injonctions et 15 amendes qui ont été prononcées en 2021.

Le nombre de ces dossiers explique l’implication de la CNIL dans la réforme de sanctions prévue par la loi informatique et libertés. Les plaintes et signalements de plus en plus nombreux, la CNIL s’est trouvée face à l’inadaptation de la procédure de sanctions : trop lourde et complexe pour les dossiers a priori sans difficulté d’interprétation et à faibles enjeux. L’adoption d’une procédure simplifiée (cf actualité du 11 avril 2022) devrait permettre de fluidifier le traitement de ces dossiers. Pour mémoire, les sanctions ainsi prononcées ne sont pas rendues publiques.

La mise en place de la procédure se poursuit avec la délégation de pouvoirs de la Commission à sa présidente et sa vice-présidente déléguée notamment la possibilité de procéder ou de faire procéder par les agents de la CNIL à des vérifications.  (Délibération n°2022-054 publiée le 8 mai 2022)

Cette simplification constitue un changement profond pour la CNIL qui supposera, comme le précise le rapport, probablement plusieurs années avant d’être complètement opérationnel.

A côté de la politique répressive, la CNIL poursuit ses mesures d’accompagnement en simplifiant la rédaction des avis qu’elle rend, en enrichissant les contenus de son site internet ou encore avec la création d’un nouveau « service de l’accompagnement et des délégués à la protection des données » et en poursuivant le dispositif de « bac à sable » pour favoriser l’innovation.

Rapport 2021 de la CNIL
Délibération n°2022-054 du 5 mai 2022 délégation de pouvoirs

April 2022

CNIL – Procédure simplifiée

2022-04-11T19:41:30+00:0011 April 2022|News|

Le décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est paru le 9 avril 2022 au Journal officiel.

Ce décret concerne notamment la mise en place de la procédure simplifiée de sanction de la Commission nationale de l’informatique et des libertés (CNIL) à côté de la procédure ordinaire. Cette procédure simplifiée se caractérise par le fait que la mesure est prononcée par un seul commissaire de la formation restreinte et, en principe, sans audience. Elle s’est imposée au vu de l’augmentation sans cesse grandissante des plaintes adressées à la CNIL, dont le nombre a doublé depuis l’adoption du RGPD. La procédure ordinaire de sanction n’était donc plus adaptée et ne permettait plus à la CNIL de mener à bien ses missions.

Procédure écrite, la procédure simplifiée concernera les dossiers les moins complexes, ceux-ci étant confié au seul président de la formation restreinte ou à un membre de cette formation désigné par lui. La complexité des dossiers sera analysée au regard du faible niveau de gravité de l’infraction et de la simplicité des questions de fait ou droit soulevées. Les mesures pouvant être prononcées se limitent à un rappel à l’ordre, une injonction sous astreinte dans la limite de 100 euros par jour de retard et à une amende d’un montant maximal de 20 000 euros. En outre, les mesures prononcées ne seront pas rendues publiques.

Si le président de la formation restreinte ou le membre désigné par lui estime qu’il ne peut être recouru à la procédure simplifiée ou que celle-ci doit être interrompue, le président de la CNIL et le mis en cause en sont informés. Ce sera alors la procédure ordinaire qui s’appliquera.

Selon la CNIL, cette nouvelle procédure de sanction simplifiée sera à même de faciliter l’instruction des dossiers transfrontaliers lorsque la CNIL est autorité chef de file pour les affaires d’un faible niveau de gravité et ne présentant pas de difficultés particulières.

Ce décret précise également les autres pouvoirs du président de la formation restreinte tels que la procédure d’injonction de produire lorsqu’un responsable de traitement ou un sous-traitant n’a pas répondu à une mise en demeure préalable. L’injonction de produire pourra être accompagnée d’une astreinte journalière.

En outre, le président de la formation restreinte pourra désormais prononcer un non-lieu sans que soit organisée une séance de la formation restreinte.

Enfin, le décret aborde aussi des changements concernant la procédure ordinaire de sanction. Parmi ceux-ci, il est dorénavant prévu que le rapporteur et le mis en cause disposent d’un délai identique d’un mois pour produire leurs écritures respectives, délai pouvant être prolongé sur demande du rapporteur ou du mis en cause, contre quinze jours auparavant.

La procédure de sanction pourra être classée sans suite à tout moment par le rapporteur si les manquements ne sont pas constitués ou si le mis en cause n’a plus d’existence juridique.

Pour instruire l’affaire, le rapporteur pourra s’adjoindre le concours d’experts externes à la CNIL parmi les magistrats et membres de la juridiction administratives.

Lors de la session de formation du 3 juin prochain « Anticiper et gérer un contrôle de la CNIL », nous reviendrons en détail sur ces évolutions.

Décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019
Formation Anticiper et gérer un contrôle de la CNIL

February 2022

Espace Numérique de Santé

2022-02-28T23:51:32+00:0028 February 2022|News|

L’arrêté du 24 février 2022 relatif à la composition et au fonctionnement de la commission de référencement des services et outils numériques au catalogue de service de l’Espace Numérique de Santé est paru au journal officiel du 26 février 2022.

Cette commission se prononce sur les demandes de référencement, qui font l’objet d’un rapport d’évaluation établi à la suite d’une instruction. L’éditeur de la solution peut être entendu.

Au même moment et après l’annonce de son programme de contrôle pour l’année 2022, qui porte sur La prospection commerciale, la surveillance des travailleurs dans le cadre du télétravail et l’utilisation de l’informatique en nuage (cloud), la CNIL publie des questions-réponses sur l’Espace Numérique de Santé.

Pour mémoire, l’Espace Numérique de Santé, également connu sous le nom « Mon espace santé », est une plateforme de services qui permet aux utilisateurs de gérer leurs données de santé et de participer à la construction de leur parcours de soin. En d’autres termes, il s’agit donc d’un dossier informatisé recensant les informations médicales concernant l’utilisateur. L’Espace référence des services et outils numériques présentant les garanties de sécurité nécessaire quant au secret médical et aux données de santé.

Au sein de l’Espace Numérique de Santé, l’utilisateur pourra avoir accès à une messagerie sécurisée de santé, au dossier médical partagé, à un agenda e-santé ainsi qu’à un ensemble de services et outils numériques référencés tant dans le domaine de la santé que du bien-être.

Chaque personne inscrite à l’un des régimes de l’assurance maladie disposera automatiquement d’un espace personnel, sauf si elle s’y est opposée.

La CNIL a indiqué qu’elle veillera au respect des droits et libertés des personnes concernées.  Pour mémoire, le Ministère de la santé et la CNAM sont les responsables conjoints de la plateforme.

December 2021

Santé numérique dans la LFSS 2022

2021-12-24T15:49:53+00:0024 December 2021|News|

La loi n°2021-1754 du 23 décembre 2021 de financement de la sécurité sociale pour 2022 consacre les dispositifs médicaux numériques. Le terme même fait son apparition dans les textes reconnaissant ainsi les apports de la santé numérique, à l’heure des thérapies digitales.

Jusqu’alors en phase expérimentale avec le programme ETAPES, la télésurveillance va faire son entrée dans le droit commun au plus tard le 1er juillet 2022. Désormais, toutes les pathologies sont susceptibles d’en bénéficier au-delà des cinq consacrés par le programme expérimental : insuffisance cardiaque, insuffisance rénale, insuffisance respiratoire, diabète et prothèses cardiaques implantables. La prise en charge forfaitaire, fixée par arrêté des Ministres de la santé et de la sécurité sociale, après avis de la Haute Autorité de santé, sera conditionnée notamment à la fréquence du suivi pour une période donnée, la complexité de la prise en charge ou encore le recours à des accessoires de collecte associés.

Les opérateurs de télésurveillance souhaitant bénéficier d’une prise en charge de leur dispositif devront préalablement déclarer leur activité auprès de l’Agence régionale de santé territorialement compétente. En cas de manquement des opérateurs aux règles applicables en matière de surveillance, l’ARS pourra invalider la déclaration.

Une liste « télésurveillance » distincte de la LPPR précisera les dispositifs ouvrant droit à prise en charge ou remboursement par l’assurance maladie. Ainsi, un dispositif médical numérique pourra être inscrit sur la LPPR pour ses fonctionnalités thérapeutiques et sur la liste télésurveillance pour sa contribution à la télésurveillance des patients.

L’interopérabilité des données collectées par les dispositifs médicaux numériques constitue une exigence essentielle.

Les modalités d’application de ces nouvelles dispositions sont fixées par décret en Conseil d’Etat.

Un accès précoce des dispositifs médicaux numériques est acté par le texte de loi, après avoir revu celui  des médicaments. Le dispositif temporaire d’un an permettra de garantir l’accès rapide à l’innovation tout en exigeant des industriels qu’ils fournissent les données nécessaires à l’évaluation de leur prise en charge. L’accès aux expérimentations pour une prise en charge précoce n’est plus un préalable obligatoire.

Le dispositif médical numérique devra

  • être présumé innovant, notamment en termes de bénéfice clinique ou de progrès dans l’organisation des soins, d’après les premières données disponibles et compte tenu d’éventuels comparateurs pertinents,
  • disposer du marquage CE dans l’indication considérée
  • respecter la règlementation sur la protection des données et les référentiels d’interopérabilité et de sécurité applicables,
  • disposer, le cas échéant, des interfaces permettant l’échange de données avec des dispositifs ou accessoires de collecte des paramètres vitaux du patient.

Un arrêté viendra fixer, sur une base forfaitaire, le montant de la compensation financière versée aux différents acteurs impliqués.

Loi n°2021-1754 du 23 décembre 2021 de financement de la sécurité sociale pour 2022

Encadrement des avantages

2021-12-01T22:10:59+00:001 December 2021|News|

Un peu plus d’un an après l’entrée en application du nouveau dispositif d’encadrement des avantages, (anciennement appelé Loi Anti-Cadeaux ou DMOS) l’heure est au premier bilan. Si certains points méritent encore quelques éclaircissements par les pouvoirs publics, dans un effort de pédagogie, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la direction générale de l’offre de soins (DGOS) se sont alliées pour rédiger une foire aux questions et des fiches pratiques à destination des professionnels.

Nous attirons toutefois votre attention sur le fait que les conventions concernant les avantages octroyés aux associations regroupant des professionnels de santé doivent être soumises pour déclaration ou autorisation à l’Agence régionale de santé (ARS)  dans le ressort de laquelle la convention est signée, et ce, même si l’association regroupe des professionnels de santé relevant d’un ordre. L’ordre professionnel reste compétent pour les personnes morales inscrites au tableau de l’ordre ainsi que pour les personnes morales dont les bénéficiaires réels sont les professionnels de santé relevant de l’ordre en question. Ainsi, les conventions avec les associations de médecins doivent être soumises à l’ARS compétente. De plus, les statuts de l’association de professionnels de santé doivent être joints lors de la soumission pour permettre à l’ARS de vérifier l’objet social de l’association.

La DGGCRF et la DGOS précisent que cette liste de questions a vocation à être complétée au fil du temps en fonction des interrogations des professionnels les plus fréquentes. Toutefois, en cas de doute sur l’interprétation de la réglementation, il convient de se référer aux textes officiels, cette FAQ n’engageant nullement l’appréciation de la licéité d’un avantage par les autorités de contrôle.

FAQ Encadrement des avantages DGCCRF/DGOS

November 2021

Bloctel – Opposition au démarcharge téléphonique

2021-11-29T14:48:18+00:0029 November 2021|News|

Le décret n° 2021-1528 du 26 novembre 2021 relatif aux conditions de reconduction tacite de l’inscription sur la liste d’opposition au démarchage téléphonique et à la nature des données essentielles devant être rendues publiques par le gestionnaire de cette liste est paru au Journal officiel du 28 novembre 2021.

Ce décret modifie les conditions d’inscription sur la liste d’opposition au démarchage téléphonique (Bloctel), à laquelle le consommateur qui ne souhaite pas faire l’objet de prospection commerciale par voie téléphonique peut gratuitement s’inscrire.

Chaque numéro est inscrit pour une durée de trois ans. Afin de faciliter la protection des consommateurs, désormais le renouvellement de l’inscription des numéros se fera par tacite reconduction par période de trois ans. Le consommateur est informé lors de son inscription et, au moins trois mois avant la date de reconduction tacite de cette inscription, des modalités lui permettant de se désinscrire.

Cette disposition s’applique à compter du 1er janvier 2022 pour les nouvelles inscriptions et pour les inscriptions en cours dont l’échéance intervient après le 1er avril 2021.

A compter du 1er janvier 2022, le gestionnaire de la liste « Bloctel » rend accessible les données suivantes :

  • Le nombre de professionnels adhérents
  • Le montant des redevances versées par les professionnels adhérents
  • Le nombre de consommateurs et de numéros de téléphone inscrits sur la liste d’opposition ;
  • Le nombre de numéros de téléphone transmis par les professionnels adhérents aux fins de retrait de leurs fichiers de prospection commerciale des numéros inscrits sur la liste d’opposition
  • Le nombre de numéros de téléphone de consommateurs inscrits sur la liste d’opposition retirés des fichiers de prospection commerciale des professionnels adhérents
  • Le nombre de réclamations déposées par les consommateurs.

Cette interdiction de démarchage téléphonique ne s’applique pas dans les cas suivants

  • Les entreprises avec lesquelles le consommateur a une relation contractuelle préexistante. L’offre commerciale proposée doit être en rapport avec le contrat souscrit, notamment en proposant des produits ou services y afférents ou complémentaires ou de nature à améliorer ses performances ou sa qualité.
  • Les instituts de sondage ou associations à but non lucratif dès lors qu’il ne s’agit pas de prospection commerciale ;
  • Les professionnels en vue de fournir des journaux, périodiques ou magazines.

October 2021

Référentiel Entrepôt de données de santé

2021-10-25T10:44:44+00:0025 October 2021|News|

Un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé est paru le 24 octobre 2021 au Journal officiel.

Ce référentiel vise les responsables de traitements qui, dans le cadre de leurs missions d’intérêt public, réunissent des données en vue de leur réutilisation.

Ne sont donc pas concernés par ce référentiel :

  • les entrepôts mis en œuvre par les sociétés privées sur la base légale de l’intérêt légitime ;
  • les traitements de données à caractère personnel mis en œuvre uniquement aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par les professionnels de santé et les systèmes ou service de soins de santé ;
  • les traitements de données à caractère personnel mis en œuvre sur la base du consentement explicite de la personne concernée ;
  • les entrepôts appariés avec la base du système national des données de santé (SNDS).

Le référentiel ne s’adresse qu’aux entrepôts de données de santé constitués dans le cadre de l’exercice d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Le caractère d’intérêt public est différent de l’exigence d’intérêt public imposée pour les finalités des traitements mis en œuvre dans le domaine de la santé au sens de la Loi informatique et libertés (LIL). Ainsi, au sens de la LIL « la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public ».

Le référentiel rappelle que les données contenues dans l’entrepôt ne peuvent pas être traitées à des fins de promotions des produits de santé auprès des professionnels de santé ou d’établissements de santé, à des fins d’exclusion de garanties des contrats d’assurance, ou encore de modification de cotisations ou de prime d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Les données ne peuvent pas être collectées dans le seul but d’alimenter l’entrepôt. Chaque donnée versée doit être justifiée scientifiquement par la prise en charge sanitaire ou médico-sociale ou par la réalisation d’un projet de recherche, d’étude ou d’évaluation spécifique et prévue par un protocole.

Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation font l’objet de formalités spécifiques auprès de la CNIL : un engagement de conformité pour les traitements conformes à une méthodologie de référence ou, dans le cas contraire, une demande d’autorisation auprès de la CNIL.

En outre, les personnes concernées devront être informées de chacune des réutilisations de données les concernant à ces fins précises, hormis les cas où les responsables de traitement sont dans l’impossibilité de réaliser l’information ou que celle-ci exigerait des efforts disproportionnés.

Go to Top