juin 2021

UE – Sécurisation des transferts hors de l’Union européenne

2021-06-28T19:26:08+00:0028 juin 2021|Actualités Vigier Avocats|

Juin a été riche en actualités pour les transferts de données à caractère personnel en dehors de l’Union européenne.

A trois jours avant la fin de la période transitoire à la suite du Brexit, l’ensemble des Etats membres est parvenu à un accord sur l’adoption d’une décision d’adéquation pour le Royaume-Uni. Dès lors, les transferts de données vers le Royaume-Uni pourront être effectués sans que des garanties supplémentaires ne soient nécessaires au même titre que les transferts réalisés au sein même de l’Union européenne. Cette décision restera applicable jusqu’au 27 juin 2025, sauf si elle fait l’objet d’une prorogation ou, au contraire, d’une abrogation si les conditions de protection ne sont plus assurées par le Royaume-Uni.

Dans le même sens, au début du mois, la Commission a publié un projet de décision d’adéquation pour le transfert des données à caractère personnel vers la Corée du Sud. Reste à attendre la publication officielle de cette décision pour que la Corée du Sud ne soit plus considérée comme un Etat tiers.

En effet, sans décision d’adéquation, les organismes transférant des données à caractère personnel en dehors de l’Union européenne doivent mettre en place des garanties appropriées, notamment des clauses contractuelles types. A ce titre, elles ont été revues à la lumière du RGPD. Les nouvelles clauses contractuelles types (CCT) sont entrées en vigueur le 27 juin 2021.

Ces nouvelles CCT tiennent compte, d’une part, de l’entrée en application du RGPD en 2018 et, d’autre part, du renforcement du niveau de protection attendu de l’importateur. Les CCT introduisent ainsi de nouvelles garanties et formalisent l’analyse d’impact préconisée par le Comité européen à la protection des données. Ainsi, l’exportateur de données devra s’assurer que le pays vers lequel il entend transférer des données à caractère personnel respecte les clauses types et, le cas échéant, mette en œuvre des garanties supplémentaires.

En effet, les exportateurs de données sont invités à compléter les clauses types avec des mesures techniques, organisationnelles ou contractuelles supplémentaires telles que des mesures de pseudonymisation et chiffrement des données, des habilitations strictes…

Les nouvelles CCT couvrent toutes les situations : les relations entre responsable de traitement et sous-traitant et inversement ou encore celles entre sous-traitant et sous-traitant.

Les anciennes clauses CCT seront abrogées le 27 septembre 2021, soit 3 mois après l’entrée en vigueur des nouvelles clauses.

Une période de transition jusqu’au 27 décembre 2022 est accordée aux responsables de traitement et sous-traitants qui utilisent actuellement les anciennes clauses pour se conformer aux nouvelles CCT, sous réserve que les traitements faisant l’objet de leur contrat actuel restent inchangés.

Décision adéquation Royaume-Uni
Nouvelles Clauses Contractuelles Types

CNIL – Intégration de données Covid-19 au SNDS

2021-06-08T15:36:41+00:003 juin 2021|Actualités Vigier Avocats|

La loi n°2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, validée par le Conseil constitutionnel, publiée au Journal officiel le 1er juin 2021, prévoit notamment l’intégration des données recueillies par les systèmes d’information mis en œuvre dans le cadre de la lutte contre l’épidémie de Covid-19 au Système national des données de santé (SNDS). Ces systèmes d’information, SI-DEP et Contact Covid, permettent respectivement de centraliser l’ensemble des résultats des tests effectués et d’assurer le suivi des patients et de leurs cas contacts.

Dans sa décision du 31 mai 2021, le Conseil constitutionnel a validé cette intégration sous réserve que les coordonnées de contact téléphonique ou électronique des personnes concernées ne soient pas intégrées au SNDS.

Jusqu’à cette loi, les données issues de SI-DEP et Contact Covid pouvaient être conservées jusqu’au 31 décembre 2021. Désormais, avec le versement de ces données dans le SNDS, la conservation pourra aller jusqu’à 20 ans après leur transfert.

Consulté sur le projet de loi en avril 2021, le Conseil d’Etat estime que, compte tenu de la pseudonymisation des données, la durée de conservation de 20 ans prévue par le SNDS n’est pas excessive au regard de l’intérêt public qui s’attache à ce que les données de santé puissent être utilisées pour l’amélioration des connaissances sur la Covid-19.

S’agissant de l’information des personnes concernées, les responsables de traitements doivent les informer, sans délai et par tout moyen, que les données les concernant sont rassemblées et mises à disposition via le SNDS, ainsi que de la durée de conservation, des personnes qui y ont accès et des finalités en vue desquelles elles peuvent être traitées. Les personnes concernées disposent d’un droit d’opposition.

Cette information est délivrée individuellement aux personnes dont les données sont collectées à compter du 2 juin 2021, date d’entrée en vigueur de la loi.

mai 2021

CNIL – Rapport d’activités 2020

2021-05-21T18:37:24+00:0021 mai 2021|Actualités Vigier Avocats|

La CNIL vient de publier son rapport d’activités annuel de 2020 et de mettre à jour la liste de ses agents habilités à effectuer des vérifications.

Sur l’année écoulée, 247 contrôles ont été effectués dont 82 contrôles en ligne et 74 sur pièces, 72 sur place et 19 sur audition. Les contrôles sur place représentent habituellement la moitié des contrôles. Du fait de la crise sanitaire, d’autres modalités de contrôle ont été privilégiés.

La CNIL a traité 56 signalements de violations de données, liées à des failles de sécurité rendant accessible des données sur internet sans protection.

Les plaintes sont la principale source de déclenchement des contrôles (+40%) ainsi que l’actualité (32%). 15 % des contrôles concernent les thématiques du programme de contrôle annoncé pour l’année (Cf Actualités en date du 13 mars 2020)

La CNIL a prononcé 14 sanctions : 11 amendes, 2 rappels à l’ordre de la formation restreinte et 1 injonction), 49 mises en demeure, 38 rappels à l’ordre et 2 avertissements de la Présidente.

L’année 2020 a aussi été marquée par un pic des notifications de violations des données avec une hausse de 24%. 17% d’entre elles concernaient des données sensibles. Le secteur de la santé et de l’action sociale a connu une progression de 83% des notifications. La majorité des violations de données a concerné une perte de confidentialité et émanait souvent d’un acte d’origine externe malveillant.

Dans le cadre de la crise sanitaire, la CNIL a mis en place une procédure accélérée d’instruction des demandes d’autorisation de recherches dans la Covid-19, en acceptant des dossiers pour lesquels l’avis du Comité éthique n’avait pas encore été rendu et un accompagnement des déposants.

La CNIL continue son accompagnement dans le domaine de l’innovation avec le lancement, début 2021, du dispositif « bac à sable » visant les projets en santé numérique dans une logique de privacy by design (protection des données dès la conception).

Rapport annuel 2020

mars 2021

CNIL – Programme de contrôle 2021

2021-03-02T23:35:36+00:002 mars 2021|Actualités Vigier Avocats|

Pour la seconde année consécutive, la sécurité des données de santé et l’utilisation des cookies sont parmi les priorités. La cybersécurité des sites web complète ce programme. Une cinquantaine de contrôles devrait y être consacrée.

En 2021, la CNIL poursuivra les contrôles amorcés sur la sécurité des données de santé, dans le contexte de la crise sanitaire et le développement de la e-santé. La fuite massive de données de santé récente illustre cette priorité. Elle vérifiera également l’application des nouvelles recommandations en matière de cookies et traceurs (Actualité de décembre 2020), comme elle l’avait annoncé. Le défaut de sécurité des sites web et l’augmentation des notifications de violation de données ont conduit la CNIL à faire de la cybersécurité des sites web une priorité.

En 2020, 6 500 actes d’investigation ont été réalisées dont 247 procédures formelles de contrôle.

Pour mémoire, les contrôles sont déclenchés suite à des réclamations/plaintes, signalements, programme annuel, en fonction de l’actualité, signalement par une autre autorité, vérification suite à des procédures de contrôle clôturées, de mises en demeure, des sanctions.

Formation Anticiper et gérer un contrôle de la CNIL 27 mai 2021

décembre 2020

CNIL – Cookies/traceurs et données de santé

2020-12-19T10:39:47+00:0018 décembre 2020|Actualités Vigier Avocats|

Le 7 décembre, la CNIL a prononcé plusieurs sanctions rendues publiques ces derniers jours.

Les premières sanctions relatives aux cookies et aux traceurs rappellent que tout acteur, qui recourt à des traceurs et cookies, doit mettre son site Internet en conformité avec les nouvelles lignes directrices et la recommandation. En effet, sauf rares exceptions, le recueil du consentement des internautes avant tout dépôt de cookies ou traceurs est obligatoire.

La période de tolérance de six mois laissée par la CNIL arrive à échéance fin mars 2021.

Les secondes ont sanctionné des manquements aux obligations de sécurité de données de santé.  Ces obligations s’appliquent à tous les responsables de traitement, quelque soit leur taille ou mode d’exercice. La CNIL rappelle l’obligation de notification en cas de violation de données en sus des principes élémentaires impératifs en matière de sécurité informatique : la configuration du réseau informatique, le chiffrement des données personnelles hébergées sur les serveurs…

Doit être notifiée à la CNIL toute violation de données personnelles qui engendre un risque pour les personnes concernées dans les meilleurs délais et, si possible, dans les 72 heures après en avoir pris connaissance. Si la violation de données engendre un cas de risque élevé, alors les personnes concernées seront notifiées.

Lignes directrices
Evaluer le niveau de sécurité

octobre 2020

Arrêté du 14 octobre 2020 sur les modalités de tirage au sort des comités de protection des personnes

2020-10-15T23:32:52+00:0015 octobre 2020|Actualités Vigier Avocats|

L’arrêté du 14 octobre 2020 vient préciser les modalités de tirage au sort des comités de protection des personnes (CPP).

Chaque comité doit préciser s’il a la compétence pour traiter des dossiers relevant des procédures

  • du règlement européen no 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE
  • prévues pour les dispositifs médicaux invasifs par le règlement européen 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) no 178/2002 et le règlement (CE) no 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CE
  • prévues pour les dispositifs médicaux non invasifs telles par le règlement européen 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) no 178/2002 et le règlement (CE) no 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CE.

Chaque comité devait déjà indiquer s’il disposait en son sein ou s’il pouvait recourir à une personne compétente en matière d’essais de phase précoce, de pédiatrie, de rayonnement en imagerie, de radiothérapie, de thérapie cellulaire et génique, d’oncologie, d’assistance médicale à la procréation et de génétique.

La désignation aléatoire du comité de protection des personnes est réalisée parmi les CPP compétents et disponibles :

  • pour les recherches nécessitant le recours à une personne compétente en matière d’essais de phase précoce, de pédiatrie, de rayonnement en imagerie, de radiothérapie, de thérapie cellulaire et génique, d’oncologie, d’assistance médicale à la procréation et de génétique, disposent de cette expertise
  • pour les recherches relevant de l’une des procédure prévues aux règlements européens susmentionnés, ont indiqué traiter ce type de dossier
  • se réunissent dans un délai compris entre le vingt et unième jour et le trentième jour à compter de la date du tirage au sort et n’ont pas encore inscrit à l’ordre du jour le nombre minimum de huit dossiers de demandes initiales de recherches impliquant la personne humaine par mois

Si aucun comité n’est disponible, alors le tirage au sort est réalisé parmi les comités de protection des personnes compétents et disponibles dans les meilleurs délais.

L’arrêté du 3 juin 2019 fixant les modalités de tirage au sort des comités de protection des personnes est abrogé.

Télécharger le PDF

septembre 2020

Données personnelles – Le Coin du DPO

2020-09-14T14:30:37+00:0012 septembre 2020|Actualités Vigier Avocats|

Le Coin du DPO est en ligne !  https://dpo.vigier-avocats.com/

Le Coin du DPO est une plateforme d’informations et de veille sur la protection des données personnelles, incluant les données personnelles dans le domaine de la santé & recherche.

Elle est destinée à toute personne qui gère, traite des données personnelles dans le cadre de son activité : les délégués à la protection des données (DPO), les professionnels de santé, les ressources humaines, services clients, les prestataires de services et autres.

Le Coin du DPO permet de

  • disposer d’une bibliothèque de documents nécessaires à votre activité et à jour,
  • réaliser une veille avec des notifications à chaque nouveau document publié sur la plateforme,
  • le cas échéant, adresser des suggestions ou demandes

Pour de plus amples informations, la présentation de l’offre ainsi que le tutoriel.

Voir la vidéo : présentation
Voir la vidéo : tutoriel

juillet 2020

CNIL – Publication de 3 référentiels dans le secteur de la santé

2020-07-29T07:58:05+00:0028 juillet 2020|Actualités Vigier Avocats|

Le 18 juin dernier, la CNIL a adopté trois référentiels dans le domaine de la santé, dont les délibérations ont été publiées au Journal officiel du 28 juillet 2020.

Deux référentiels portant sur les durées de conservation des données à caractère personnel dans le secteur de la santé. Ils reprennent les durées déterminées par la règlementation et/ou les durées mentionnées dans les différentes méthodologies de référence.

  • Délibération n° 2020-076 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées dans le secteur de la santé
  • Délibération n° 2020-077 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé

Le troisième référentiel porte sur les traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux. Ce référentiel est applicable aux professionnels de santé exerçant en libéral. Ne sont pas concernés par ce référentiel les opticiens et les pharmaciens ainsi que les services de soins, les laboratoires d’analyses de biologie médicale.

  • Délibération n° 2020-081 du 18 juin 2020 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux

Le respect de ces référentiels permet de s’assurer de la conformité des traitements de données à la règlementation.

Télécharger le PDF
Télécharger le PDF
Télécharger le PDF

Données personnelles – Invalidation du Privacy Shield

2020-07-24T20:01:17+00:0024 juillet 2020|Actualités Vigier Avocats|

Le Comité Européen à la Protection des Données (ou EDPB) a publié un « questions-réponses » relatif à l’invalidation du Privacy Shield par un arrêt de la Cour de Justice de l’Union européenne (C-311/18) rendu la semaine dernière, le 16 juillet 2020. Cet arrêt fait suite à une demande de décision préjudicielle introduite par la Haute Cour irlandaise, dans une affaire opposant Facebook et Maximilien Schrems.

La Cour de Justice de l’Union européenne a jugé que le Privacy Shield n’assurait pas une protection des données personnelles équivalente à celle mise en place au sein de l’Union européenne. Certaines exigences américaines limitent la protection des données personnelles, notamment la loi américaine n’accorde pas aux personnes concernées de droits de recours devant les tribunaux contre les autorités américaines.

Cette décision est d’application immédiate.

Pour les responsables de traitement et les sous-traitants qui transfèrent des données personnelles depuis l’Union européenne vers des organismes situés aux Etats-Unis, il convient de

  •  Identifier les traitements de données concernés par de tels transferts de données,
  •  Vérifier si ces transferts sont réalisés et conformes à l’aide du Privacy Shield,
  •  Dans ce cas, revoir et mettre à jour l’analyse d’impact relative à ces traitements de données pour évaluer les mesures complémentaires de sécurité à mettre en place ainsi que les clauses contractuelles standards ou autres garanties appropriées.
Télécharger le PDF
Télécharger le PDF

juin 2020

LAC – Publication du décret n°2020-730 relatif aux avantages offerts

2020-06-23T22:52:44+00:0017 juin 2020|Actualités Vigier Avocats|

Le décret n° 2020-730 du 15 juin 2020 relatif aux avantages offerts par les personnes fabriquant ou commercialisant des produits ou des prestations de santé est paru au Journal officiel de ce jour.

Le décret précise les modalités de déclarations et d’autorisations des dérogations, notamment les délais et les documents nécessaires.

  • Pour les déclarations : le délai est de 8 jours au plus tard avant l’évènement, en adressant la convention signée.
  • Pour les autorisations, le délai est de 2 mois à compter de la réception du dossier complet. En cas de dossier incomplet, l’instance saisie a 1 mois pour le signaler.

Il est prévu une procédure d’urgence qui ramène le délai à 3 semaines. L’urgence est laissée à la libre appréciation de l’autorité compétente.

En cas de refus, le déclarant a 15 jours à compter de sa notification pour modifier la convention. L’autorité compétente se prononce alors dans les 15 jours.

Le silence de l’autorité compétente à l’issue des délais vaut autorisation de la convention.

L’autorisation de cumul d’activités pour les agents publics devient un élément obligatoire.

Si les dispositions du présent décret entrent en vigueur le 1er octobre 2020, cela ne sera réellement applicable qu’avec la parution des arrêtés fixant les différents seuils ainsi que la plateforme permettant la téléprocédure.

Deux sessions de formation sur la nouvelle loi anti-cadeaux auront lieu les 3 et 9 juillet prochain au cabinet. Le nombre de participants est limité pour favoriser les échanges et respecter les gestes barrières.

Télécharger le PDF