juin 2021

UE – Sécurisation des transferts hors de l’Union européenne

2021-06-28T19:26:08+00:0028 juin 2021|Actualités Vigier Avocats|

Juin a été riche en actualités pour les transferts de données à caractère personnel en dehors de l’Union européenne.

A trois jours avant la fin de la période transitoire à la suite du Brexit, l’ensemble des Etats membres est parvenu à un accord sur l’adoption d’une décision d’adéquation pour le Royaume-Uni. Dès lors, les transferts de données vers le Royaume-Uni pourront être effectués sans que des garanties supplémentaires ne soient nécessaires au même titre que les transferts réalisés au sein même de l’Union européenne. Cette décision restera applicable jusqu’au 27 juin 2025, sauf si elle fait l’objet d’une prorogation ou, au contraire, d’une abrogation si les conditions de protection ne sont plus assurées par le Royaume-Uni.

Dans le même sens, au début du mois, la Commission a publié un projet de décision d’adéquation pour le transfert des données à caractère personnel vers la Corée du Sud. Reste à attendre la publication officielle de cette décision pour que la Corée du Sud ne soit plus considérée comme un Etat tiers.

En effet, sans décision d’adéquation, les organismes transférant des données à caractère personnel en dehors de l’Union européenne doivent mettre en place des garanties appropriées, notamment des clauses contractuelles types. A ce titre, elles ont été revues à la lumière du RGPD. Les nouvelles clauses contractuelles types (CCT) sont entrées en vigueur le 27 juin 2021.

Ces nouvelles CCT tiennent compte, d’une part, de l’entrée en application du RGPD en 2018 et, d’autre part, du renforcement du niveau de protection attendu de l’importateur. Les CCT introduisent ainsi de nouvelles garanties et formalisent l’analyse d’impact préconisée par le Comité européen à la protection des données. Ainsi, l’exportateur de données devra s’assurer que le pays vers lequel il entend transférer des données à caractère personnel respecte les clauses types et, le cas échéant, mette en œuvre des garanties supplémentaires.

En effet, les exportateurs de données sont invités à compléter les clauses types avec des mesures techniques, organisationnelles ou contractuelles supplémentaires telles que des mesures de pseudonymisation et chiffrement des données, des habilitations strictes…

Les nouvelles CCT couvrent toutes les situations : les relations entre responsable de traitement et sous-traitant et inversement ou encore celles entre sous-traitant et sous-traitant.

Les anciennes clauses CCT seront abrogées le 27 septembre 2021, soit 3 mois après l’entrée en vigueur des nouvelles clauses.

Une période de transition jusqu’au 27 décembre 2022 est accordée aux responsables de traitement et sous-traitants qui utilisent actuellement les anciennes clauses pour se conformer aux nouvelles CCT, sous réserve que les traitements faisant l’objet de leur contrat actuel restent inchangés.

Décision adéquation Royaume-Uni
Nouvelles Clauses Contractuelles Types

CNIL – Intégration de données Covid-19 au SNDS

2021-06-08T15:36:41+00:003 juin 2021|Actualités Vigier Avocats|

La loi n°2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, validée par le Conseil constitutionnel, publiée au Journal officiel le 1er juin 2021, prévoit notamment l’intégration des données recueillies par les systèmes d’information mis en œuvre dans le cadre de la lutte contre l’épidémie de Covid-19 au Système national des données de santé (SNDS). Ces systèmes d’information, SI-DEP et Contact Covid, permettent respectivement de centraliser l’ensemble des résultats des tests effectués et d’assurer le suivi des patients et de leurs cas contacts.

Dans sa décision du 31 mai 2021, le Conseil constitutionnel a validé cette intégration sous réserve que les coordonnées de contact téléphonique ou électronique des personnes concernées ne soient pas intégrées au SNDS.

Jusqu’à cette loi, les données issues de SI-DEP et Contact Covid pouvaient être conservées jusqu’au 31 décembre 2021. Désormais, avec le versement de ces données dans le SNDS, la conservation pourra aller jusqu’à 20 ans après leur transfert.

Consulté sur le projet de loi en avril 2021, le Conseil d’Etat estime que, compte tenu de la pseudonymisation des données, la durée de conservation de 20 ans prévue par le SNDS n’est pas excessive au regard de l’intérêt public qui s’attache à ce que les données de santé puissent être utilisées pour l’amélioration des connaissances sur la Covid-19.

S’agissant de l’information des personnes concernées, les responsables de traitements doivent les informer, sans délai et par tout moyen, que les données les concernant sont rassemblées et mises à disposition via le SNDS, ainsi que de la durée de conservation, des personnes qui y ont accès et des finalités en vue desquelles elles peuvent être traitées. Les personnes concernées disposent d’un droit d’opposition.

Cette information est délivrée individuellement aux personnes dont les données sont collectées à compter du 2 juin 2021, date d’entrée en vigueur de la loi.

mai 2021

CNIL – Rapport d’activités 2020

2021-05-21T18:37:24+00:0021 mai 2021|Actualités Vigier Avocats|

La CNIL vient de publier son rapport d’activités annuel de 2020 et de mettre à jour la liste de ses agents habilités à effectuer des vérifications.

Sur l’année écoulée, 247 contrôles ont été effectués dont 82 contrôles en ligne et 74 sur pièces, 72 sur place et 19 sur audition. Les contrôles sur place représentent habituellement la moitié des contrôles. Du fait de la crise sanitaire, d’autres modalités de contrôle ont été privilégiés.

La CNIL a traité 56 signalements de violations de données, liées à des failles de sécurité rendant accessible des données sur internet sans protection.

Les plaintes sont la principale source de déclenchement des contrôles (+40%) ainsi que l’actualité (32%). 15 % des contrôles concernent les thématiques du programme de contrôle annoncé pour l’année (Cf Actualités en date du 13 mars 2020)

La CNIL a prononcé 14 sanctions : 11 amendes, 2 rappels à l’ordre de la formation restreinte et 1 injonction), 49 mises en demeure, 38 rappels à l’ordre et 2 avertissements de la Présidente.

L’année 2020 a aussi été marquée par un pic des notifications de violations des données avec une hausse de 24%. 17% d’entre elles concernaient des données sensibles. Le secteur de la santé et de l’action sociale a connu une progression de 83% des notifications. La majorité des violations de données a concerné une perte de confidentialité et émanait souvent d’un acte d’origine externe malveillant.

Dans le cadre de la crise sanitaire, la CNIL a mis en place une procédure accélérée d’instruction des demandes d’autorisation de recherches dans la Covid-19, en acceptant des dossiers pour lesquels l’avis du Comité éthique n’avait pas encore été rendu et un accompagnement des déposants.

La CNIL continue son accompagnement dans le domaine de l’innovation avec le lancement, début 2021, du dispositif « bac à sable » visant les projets en santé numérique dans une logique de privacy by design (protection des données dès la conception).

Rapport annuel 2020

avril 2021

Loi visant à améliorer le système de santé par la confiance et la simplification

2021-04-28T14:36:02+00:0027 avril 2021|Actualités Vigier Avocats|

La Loi n°2021-502 du 26 avril 2021 visant à améliorer le système de santé par la confiance et la simplification, publiée ce jour au Journal officiel, traduit les aspects non financiers des conclusions du Ségur de la santé.

Un volet consacré aux professionnels de santé étend le dispositif des protocoles locaux de coopération au secteur médico-social et à l’exercice coordonné en ville. La mise en œuvre de ces protocoles devra être déclarée au directeur général de l’Agence régionale de santé (ARS) compétente qui les transmettra à son tour, pour information, à la Haute Autorité de santé. La loi précise que dans le cadre de ces protocoles, les délégants peuvent être disponibles à l’égard des délégués par le biais de la télésanté.

Dans ce même volet, les capacités de prescriptions des sages-femmes et des masseurs-kinésithérapeutes sont élargies.

Cette nouvelle loi traite également de la simplification du recrutement des praticiens hospitaliers et du renforcement du contrôle de cumul d’activités. A ce titre, l’autorité investie du pouvoir de nomination au sein des établissements publics de santé pourra désormais consulter le fichier national de déclaration à l’embauche selon des conditions fixées prochainement en Conseil d’Etat après avis de la Commission nationale de l’informatique et des libertés.

La gouvernance des hôpitaux est rénovée. Le service et le chef de service sont remis au cœur de l’hôpital : les services deviennent l’échelon de référence en matière de qualité et de sécurité des soins et d’encadrement, et les chefs de service sont reconnus.

Une attention particulière sera portée aux contrats d’intérim médical dépassant le plafond règlementaire. Le comptable public pourra ainsi procéder au rejet du paiement des rémunérations irrégulières et en informer le directeur général de l’ARS qui défèrera les actes juridiques conclus par l’établissement de santé avec l’entreprise de travail temporaire devant le tribunal administratif. Ces dispositions entrent en vigueur six mois après la publication de la loi, soit fin octobre 2021.

Autre apport de la loi : le déploiement des « services d’accès aux soins ». Ce nouveau service d’orientation et de guidage dans le système de santé permettra la coopération entre la ville et l’hôpital dans l’accès aux soins non programmés. La régulation médicale commune pour l’accès aux soins associera le service d’aide médicale urgente et la médecine ambulatoire. Les modalités de mises en œuvre seront fixées par décret et/ou arrêté.

Enfin, un volet est consacré à la simplification des démarches des personnes en situation de handicap. Une plateforme officielle d’information et de services personnalisés dénommée « Mon Parcours Handicap » est créée. Les démarches administratives des personnes handicapées et de leurs aidants devraient être facilitées. Un accueil physique et téléphonique complémentaire à la plateforme est établi par chaque département pour assurer l’information et la conduite des démarches des personnes concernées.

Un référent handicap sera désigné dans les services d’urgences, le service d’accès aux soins et les établissements de santé. Ses missions et le cadre de son intervention seront définis par décret.

Recherches – Contrôles qualité & Covid-19

2021-04-25T10:13:02+00:0025 avril 2021|Actualités Vigier Avocats|

La CNIL vient de publier des recommandations provisoires pour le contrôle qualité à distance des essais cliniques pendant la crise sanitaire liée à la COVID-19. Elles s’appliquent jusqu’au 1er juillet 2021, un mois après la fin de l’état d’urgence sanitaire, date susceptible d’évoluer.

Cette dérogation de consultation à distance des données sources des patients concerne  :

  • les études liées à la COVID-19
  • les essais portant sur des maladies graves ou mettant en jeu le pronostic vital
  • les essais pour lesquels l’absence de contrôle de qualité des documents sources contenant des données critiques est susceptible d’entraîner des risques inacceptables pour la sécurité des participants ou de remettre en cause la fiabilité et l’intégrité des résultats de l’essai
  • les essais incluant des participants particulièrement vulnérables, tels que des enfants ou des participants incapables de donner leur consentement éclairé de façon temporaire ou permanente
  • les essais cliniques « pivots » (essais de phase III confirmatoires).

et si la vérification sur place est impossible.

Les mesures de confidentialité appliquées aux attachés de recherches cliniques (ARC) devront être renforcées.

Le monitoring à distance ne répond pas strictement aux méthodologies de référence (MR). Dans le contexte sanitaire actuel, la CNIL estime qu’il n’est pas nécessaire de déposer une demande d’autorisation si la mise en œuvre d’un monitoring à distance représente le seul point de non-conformité aux MR et sous réserve de respecter les recommandations.

Les responsables de traitement et les sous-traitants devront documenter les solutions choisies présentant des garanties suffisantes de protection des droits des personnes et consulter leur DPO.

Le comité de protection des personnes et l’ANSM devront être informés de cette modalité de contrôle de qualité, considérée comme une modification substantielle. Les patients, eux, informés du monitoring à distance ne devront pas s’y être opposés, nécessitant la mise à jour de la notice d’information pour ces études.

Les recommandations édictent les garanties de sécurité à mettre place notamment en termes d’hébergement des données, de leur transmission des centres vers les ARC, des outils de vidéoconférence utilisés ou encore de l’accès direct par les ARC au dossier médical électronique.

Recommandations provisoires

mars 2021

Recherches – Comités éthiques – CPP

2021-03-21T16:41:16+00:0021 mars 2021|Actualités Vigier Avocats|

Le décret n°2021-301 du 19 mars 2021 vient modifier certaines dispositions du code de santé publique relatives aux comités de protection des personnes (« comité éthique » ou « CPP »).

La composition des comités est modifiée : doublement du nombre de membres, disparition des notions de titulaire et suppléants, élargissement des qualifications de certains membres, possibilité d’être membre de plusieurs CPP.

Le système d’information des RIPH est mis en place. Il permet les échanges entre les promoteurs et les CPP pour les demandes d’avis, les informations complémentaires, les retraits ou suspension des lieux de recherches ainsi que les échanges entre les CPP et l’ANSM.

Les échanges entre les CPP et les promoteurs sont encadrés : 10 jours au promoteur pour adresser les informations complémentaires. 5 jours à réception des éléments pour le CPP pour notifier la recevabilité de la demande. Une fois le dossier complet, si le CPP a une demande complémentaire, le promoteur aura 12 jours pour y répondre.

Le promoteur pourra retirer à tout moment sa demande d’avis s’il estime que les conditions de recherches ne sont plus remplies en l’état.

En cas d’avis défavorable, la demande de réexamen par un autre CPP s’effectue sur le système d’information.

Les positions relatives aux délais de traitement des demandes d’avis s’appliquent pour les demandes d’avis déposées à compter du 22 mars 2021. Les dispositions relatives à la composition des CPP s’appliquent lors du prochain renouvellement des membres des CPP.

Faites le point sur le cadre juridique et règlementaire des recherches cliniques les 14 & 15 juin prochain

Formation recherches cliniques

Télésanté – Télésoin & télésurveillance

2021-03-20T00:38:25+00:0020 mars 2021|Actualités Vigier Avocats|

Après le rapport d’évaluation technologique relatif au suivi par télésurveillance des patients de porteurs d’un moniteur cardiaque implantable, la Haute Autorité de santé (HAS) publie aujourd’hui un rapport sur le bon usage et la qualité des pratiques relatives au télésoin accompagné d’une fiche pratique sur les bonnes pratiques.

Dans ce rapport, la HAS définit pour chaque catégorie professionnelle concernée, les situations cliniques, le périmètre et les publics pour lesquels les actes de télésoin sont à exclure.

La fiche pratique rappelle que si le premier soin en présentiel doit être privilégié, il peut être néanmoins pertinent, dans certaines situations et pour certaines professions, que ce premier soin soit réalisé à distance pour permettre un accès au soin.

Tel pourra être le cas pour l’exercice infirmier en pratique avancée pour lequel la primo consultation en présentiel n’est pas pertinente car la majorité des patients sont difficilement transportables. Hypothèse également envisagée pour les pédicures-podologues dans le diagnostic d’un ongle incarné, de suspicion de mélanome ou encore pour les plaies compliquées. A contrario, il est indiqué que pour les psychomotriciens la mise en place du télésoin doit impérativement succéder à une première rencontre en présentiel.

Par ailleurs, le télésoin doit être intégré  dans le parcours de soins du patient coordonné par le médecin traitant.

L’arrêté définissant les activités autorisées au titre du télésoin devrait être prochainement adopté. Quant à la question du remboursement des activités de télésoin, les conditions de prise en charge doivent être fixées par décret en Conseil d’Etat.

La liste des outils numériques utilisable en télésanté est tenu à jour par le ministère des solidarités et de la santé sur son site internet, en attendant la mise en place de l’espace numérique de santé (ENS).

Fiche Bonnes pratiques pour la mise en oeuvre du télésoin
Rapport d’élaboration Qualité et sécurité du télésoin

CNIL – Programme de contrôle 2021

2021-03-02T23:35:36+00:002 mars 2021|Actualités Vigier Avocats|

Pour la seconde année consécutive, la sécurité des données de santé et l’utilisation des cookies sont parmi les priorités. La cybersécurité des sites web complète ce programme. Une cinquantaine de contrôles devrait y être consacrée.

En 2021, la CNIL poursuivra les contrôles amorcés sur la sécurité des données de santé, dans le contexte de la crise sanitaire et le développement de la e-santé. La fuite massive de données de santé récente illustre cette priorité. Elle vérifiera également l’application des nouvelles recommandations en matière de cookies et traceurs (Actualité de décembre 2020), comme elle l’avait annoncé. Le défaut de sécurité des sites web et l’augmentation des notifications de violation de données ont conduit la CNIL à faire de la cybersécurité des sites web une priorité.

En 2020, 6 500 actes d’investigation ont été réalisées dont 247 procédures formelles de contrôle.

Pour mémoire, les contrôles sont déclenchés suite à des réclamations/plaintes, signalements, programme annuel, en fonction de l’actualité, signalement par une autre autorité, vérification suite à des procédures de contrôle clôturées, de mises en demeure, des sanctions.

Formation Anticiper et gérer un contrôle de la CNIL 27 mai 2021

février 2021

Recherches cliniques – Règlementation

2021-02-25T23:38:55+00:0025 février 2021|Actualités Vigier Avocats|

Ce mois-ci, plusieurs arrêtés relatifs aux recherches cliniques ont été publiés au Journal officiel.

le 5 février

  • trois arrêtés fixant le contenu et les modalités de présentation des informations relatives respectivement à la fin d’une RIPH1 portant sur les produits sanguins labiles, les tissus d’origine humaine ou animale et les préparations de thérapie cellulaire, la fin d’une RIPH1 ne portant pas sur des produits de santé et la fin d’une RIPH1 portant sur un produit cosmétique ou de tatouage. Les arrêtés mentionnent que le formulaire de déclaration de fin de recherche, disponible sur le site de l’ANSM, est à renvoyer par voie électronique à l’ANSM ainsi qu’au comité de protection des personnes (CPP) désigné.
  • un arrêté concernait le contenu et les modalités de présentation de la demande de modification substantielle d’une RIPH1 portant sur les produits sanguins labiles, les tissus d’origine humaine ou animale et les préparations de thérapie cellulaire.

le 12 février

  • un arrêté fixant le contenu et les modalités de présentation du dossier de demande d’avis au comité de protection des personnes sur un projet de recherche RIPH1 portant sur les produits sanguins labiles, les organes, les tissus d’origine humaine ou animale et les préparations de thérapie cellulaire. La principale modification concerne le dépôt de dossier de demande d’avis, par voie électronique, au comité de protection des personnes (CPP) désigné qui doit être effectué par le promoteur.

les 19 & 20 février

  • un arrêté fixant les conditions permettant d’identifier un projet de recherche impliquant la personne humaine en lien avec l’épidémie de covid-19 comme relevant d’une priorité nationale ;
  • deux arrêtés mettant à jour les examens mimines pour les RIPH2 et RIPH3, notamment le volume de prélèvement sanguin en fonction du poids de la personne.

Les 11 & 12 mars prochain, le cabinet organise une formation sur les recherches cliniques pour faire le point sur la règlementation applicable aux médicaments, dispositifs médicaux et de diagnostic in vitro.

Pour obtenir le texte des arrêtés, adressez votre demande à contact@vigier-avocats.com

Formation recherches cliniques 11&12 mars 2021

janvier 2021

Patient – Programmes d’éducation thérapeutique

2021-01-06T22:13:04+00:006 janvier 2021|Actualités Vigier Avocats|

Le cadre de l’éducation thérapeutique (« ETP ») a été assoupli avec la parution d’un décret et d’un arrêté publiés le 31 décembre 2020, dans le prolongement de l’ordonnance n°2020-1407 du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS),

Ces dispositions s’appliquent aux nouveaux programmes à compter du 1er janvier 2021. Les programmes d’ETP autorisés précédemment restent soumis aux dispositions dans leur rédaction antérieure.

Le régime actuel d’autorisation est remplacé par un régime de déclaration auprès des Agences régionales de santé (« ARS »). Le dépôt de la déclaration des programmes ainsi que toute modification se font désormais par voie dématérialisée auprès des ARS.

En cas de non-déclaration du programme, de manquement aux exigences réglementaires ou de mise en danger de la santé des patients, le coordonnateur dispose d’un délai de 30 jours après notification du directeur général de l’ARS pour régulariser la situation ou cesser la mise en œuvre du programme. A défaut, le coordonnateur encourt une sanction administrative pouvant s’élever à 30 000 euros au lieu de la sanction pénale jusqu’alors applicable.

L’arrêté du 30 décembre 2020 fixe le cahier des charges des programmes d’éducation thérapeutique et abroge l’arrêté du 14 janvier 2015 relatif au cahier des charges des programmes d’ETP.

Le médecin prescripteur n’est plus le seul à pouvoir proposer au malade la mise en œuvre d’un tel programme : tout professionnel de santé ou un représentant dûment mandaté d’une association de patients agréée pourra être à l’initiative de cette proposition. Toutefois, la mise en œuvre du programme par au moins deux professionnels de santé de professions différentes est maintenue. De même que si le programme n’est pas coordonné par un médecin, l’un des deux professionnels devra être un médecin. Le responsable du programme d’ETP est le responsable de traitement. Il devra tenir un registre interne décrivant les traitements mis en œuvre, désigner un délégué à la protection des données (DPO), mener une analyse d’impact le cas échéant.

Le dossier de déclaration d’un programme auprès de l’ARS prévoit une attestation sur l’honneur de conformité aux exigences règlementaires à signer par le coordonnateur du programme tandis que la charte d’engagement devra être signée par chaque intervenant impliqué dans un programme quel que soit son statut (professionnel de santé ou non, patient).