juillet 2019

Flash Info – Anti-cadeaux – Publication de la Loi n°2019-774 du 24 juillet 2019 ou « Ma Santé 2022″

2019-07-29T10:06:28+00:0029 juillet 2019|Actualités|

La Loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, parue au Journal officiel, a fait évoluer les dispositifs anti-cadeaux et transparence.
Elle ratifie l’ordonnance n°2017-49 du 19 janvier 2017 réformant le dispositif  « Anti-Cadeaux » mais y apporte les modifications suivantes :
– réintroduction de la notion de « produits faisant l’objet d’une prise en charge par les régimes obligatoires de sécurité sociale »
Ainsi, le dispositif anti-cadeaux s’applique aux personnes assurant des prestations de santé, produisant ou commercialisant des « produits faisant l’objet d’une prise en charge par les régimes obligatoires de sécurité sociale » ou des produits de santé à finalité sanitaire, à l’exception des lentilles oculaires non correctrices, les produits cosmétiques et les produits de tatouage.
– précision  « sur une période déterminée  » des montants des avantages
Il a été précisé que les montants des avantages de valeur négligeable en espère ou en nature ayant trait à l’exercice de la profession du bénéficiaire sont déterminés par nature d’avantage et « sur une période déterminée ». Ces montants sont fixés par arrêté des ministres chargés de l’économie et de la santé.
– exclusion de l’hospitalité pour « étudiants en formation initiale » et leurs associations
Il est interdit d’offrir de l’hospitalité pour les étudiants en formation initiale et les associations les représentant.
– exclusion des dons et libéralités pour les conseils nationaux professionnels
Il est interdit d’offrir des dons et libéralités aux conseils nationaux professionnels.
Le dispositif ne sera complètement opérationnel qu’avec la publication du décret d’application et des 2 arrêtés.
​L’article L.1453-1 du code de la santé publique sur la transparence des liens d’intérêt a été modifié par l’article 78, en étendant le champ des bénéficiaires aux « personnes qui, dans les médias ou sur les réseaux sociaux, présentent un ou plusieurs produits de santé, de manière à influencer le public​ » et les personnes morales « participant à la formation initiale » ou « au développement professionnel continu » des professionnels de santé.
Button Text

Flash Info – CNIL – Publication des lignes directrices sur les cookies et du référentiel sur les vigilances

2019-07-29T00:41:00+00:0019 juillet 2019|Actualités|

Deux délibérations attendues de la CNIL sont parues au Journal officiel du 18 juillet 2019.

La délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives aux opérations de lecture et d’écriture dans le terminal d’un utilisateur (notamment cookies et autres traceurs) abroge la recommandation relative aux cookies et autres traceurs du 5 décembre 2013.
Ces lignes directrices tiennent compte de la directive 2002/58/CE modifiée « vie privé et communications électroniques » (ou « ePrivacy ») ainsi que des lignes directrices du comité européen de la protection des données sur le consentement. Elles s’appliquent à toutes opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement et ce quels que soient les système d’exploitation, les logiciels applicatifs (navigateurs) ou les terminaux utilisés.
Les traceurs nécessitant le recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas manifesté sa volonté de manière libre, spécifique, éclairé et univoque par une déclaration ou un acte positif clair. Les responsables de traitement devront démontrer que le consentement de l’utilisateur a été valablement recueilli. Il est précisé si les responsable de traitement ne collectent pas eux-mêmes le consentement des personnes que la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie ne satisfait pas à l’obligation.

La délibération n°2019-057 du 9 mai 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires apporte des précisions notamment sur les durées de conservation des données qui pourraient aller jusqu’à 70 ans à compter de la date de retrait du marché du médicament, du dispositif ou du produit et ce, en l’absence de durée légale ou règlementaire et sur le recours à un hébergeur de données de santé agréé ou certifié en cas de recours à un prestataire extérieur.

Button Text
Button Text

mai 2019

Flash Info – CNIL – Décret n°2019-356 du 29 mai 2019

2019-05-30T23:34:58+00:0030 mai 2019|Actualités|

Ce 30 mai 2019 est paru au Journal officiel le décret n°2019-536 du 29 mai 2019 pris pour application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce décret entre en vigueur le 1er juin 2019 qui sera également la date d’entrée en vigueur de l’ordonnance n°2018-1125 du 12 décembre 2018.

Ce décret abroge le décret n°2005-1309 du 20 octobre 2005.

La CNIL a rendu un avis sur le projet de décret qui a fait l’objet d’une délibération en date du 9 mai 2019, publiée également au Journal officiel de ce jour.

Télécharger le PDF
Button Text

Flash Info – CNIL – Stratégie de contrôle pour 2019

2019-05-20T18:42:10+00:0020 mai 2019|Actualités|

Parue au Journal officiel, la délibération du 9 mai 2019 a mis à jour la liste des agents habilités à procéder à des missions de vérification sur place. La CNIL va pouvoir mettre en œuvre sa stratégie de contrôle.
La période transitoire, pendant laquelle les organismes ayant initié une démarche de mise en conformité n’ont pas été sanctionnés, est révolue.
La CNIL a annoncé qu’elle sanctionnera les organismes non-conformes à la règlementation. Pour cela, elle tiendra compte de la gravité des manquements, de la bonne foi et de la coopération de l’organisme pour prendre les suites les plus appropriées.
Lors des contrôles, la CNIL veillera au respect des droits des personnes concernées, à la répartition des responsabilités entre le responsable de traitement et ses sous-traitants, ainsi que le traitement des données des mineurs.

Assurez-vous que

  • le registre des traitements mis en place est tenu à jour, ainsi que le registre des violations de données,
  • les analyses d’impact pour les traitements pour lesquels elles sont requises ont été réalisées,
  • les contrats avec les sous-traitants définissent bien les responsabilités de chacune des parties,
  • la procédure pour la gestion de l’exercice des droits des personnes concernées et des réclamations est à jour.
Télécharger le PDF

avril 2019

Flash Info – CNIL – Publication du rapport d’activité 2018

2019-04-15T22:50:38+00:0015 avril 2019|Actualités|

La CNIL vient de publier son rapport d’activité annuel, premier rapport depuis l’application du RGPD.
1170 notifications de violation de données, principalement des atteintes à la confidentialité des données. La CNIL annonce d’ores et déjà qu’elle va s’assurer, lors des contrôles, de la mise en place de procédures et un registre des violations.
La CNIL a réalisé 310 contrôles, dont 2/3 de contrôles sur place.
49 mises en demeure ont été adoptées, dont 11 rendues publiques
Sur les 10 sanctions pécuniaires prononcées, 7 concernent des atteintes à la sécurité des données personnelles.
En 2019, dans le cadre du programme de contrôles de la CNIL, ceux-ci porteront
  •  sur les plaintes reçues, avec l’exercice pratique des droits des personnes,
  •  sur la répartition des responsabilités entre sous-traitants et donneurs d’ordre, et ce, quelque soit le secteur d’activité,
  •  sur les données des mineurs.
Télécharger le PDF

mars 2019

Flash Info – CNIL – Publication du 1er règlement type relatif au recours à la biométrie sur les lieux de travail

2019-03-29T00:20:14+00:0029 mars 2019|Actualités|

La CNIL a adopté et publié le premier règlement type. Il intervient dans le cadre de la nouvelle mission confiée par la Loi Information et Liberté modifiée.

Ce premier règlement type concerne la mise en œuvre des dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur le lieu de travail. Il fixe les exigences spécifiques applicables à ces traitements de données biométriques ainsi qu’aux appareils et applications utilisés.

Le responsable de traitement devra respecter les dispositions du règlement type et réaliser l’analyse d’impact requise par la CNIL. Cette analyse d’impact devra être mise à jour régulièrement, au moins tous les 3 ans.

Télécharger le PDF

février 2019

Flash Info – CNIL – Coopération avec la DGCCRF

2019-02-01T09:59:17+00:001 février 2019|Actualités|

La CNIL et la DGCCRF viennent de renforcer leur collaboration et l’adapter aux nouveaux enjeux numériques pour une meilleure protection des consommateurs par la signature d’un nouveau protocole de coopération le 31 janvier 2019. Ce protocole met à jour la convention initialement signée en janvier 2011.

Cette coopération prévoit de

  • mieux sensibiliser les consommateurs aux risques encourus, diffuser les bonnes pratiques mises en œuvre par les professionnels,
  • faciliter l’échange d’informations relatives au non-respect du droit de la consommation et de la protection des données personnelles des consommateurs,
  • réaliser des contrôles communs,
  • porter conjointement des propositions d’actions au niveau européen,
  • mutualiser les expertises,
  • partager leurs analyses sur les évolutions du cadre législatif et règlementaire en matière de protection des consommateurs et de leurs données personnelles.

décembre 2018

Flash Info – CNIL – Ordonnance n°2018-1125 du 10 décembre 2018

2018-12-13T23:42:10+00:0013 décembre 2018|Actualités|

L’ordonnance n° 2018-1125 du 12 décembre 2018, parue au Journal officiel du 13 décembre 2018, vient réécrire l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 pour être en conformité avec le RGPD.

Cette ordonnance était d’ailleurs très attendue : l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles avait donné au gouvernement jusqu’à la fin de l’année 2018 pour réécrire par voie d’ordonnance la loi informatique et liberté.

La Commission nationale de l’informatique et des libertés (CNIL) a examiné le projet d’ordonnance lors de sa séance plénière du 15 novembre 2018. 

L’ordonnance réécrit l’ensemble de la loi du 6 janvier 1978 afin de simplifier sa mise en œuvre et apporter les corrections formelles nécessaires à la cohérence avec le droit de l’Union européenne relatif à la protection des données à caractère personnel. Elle procède à la mise en cohérence avec les changements résultant de la loi du 6 janvier 1978 de l’ensemble des dispositions législatives applicables à la protection des données à caractère personnel, codifiées ou non.  Elle adapte et étend à l’outre-mer les dispositions de la loi informatique et liberté.

L’entrée en vigueur de l’ordonnance sera concomitante avec celle du décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978, dans sa rédaction résultant de la présente ordonnance, et au plus tard le 1er juin 2019.

Télécharger le PDF

Flash Info – Données personnelles – Décret n°2018-1117 du 10 décembre 2018 sur les catégories de documents administratifs publiables sans anonymisation

2018-12-12T15:19:16+00:0012 décembre 2018|Actualités|

Le décret n°2018-1117 du 10 décembre 2018, paru au Journal Officiel du 12 décembre 2018, vient compléter l’article 6 de la loi du 7 octobre 2016 pour une République numérique. L’article 6 de cette loi a instauré la publication en ligne des documents administratifs, dès lors que ces documents sont communicables ou accessibles à toute personne et ce, dans le respect des articles L.311-5 et 311-6 du Code des relations entre le public et l’administration, et disponibles sous forme électronique.
Sont concernés les documents produits ou reçus, dans le cadre de leur mission de service public, par l’Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d’une telle mission, dès lors que le nombre de leurs agents ou de leurs salariés est supérieur à 50 agents ou salariés en équivalents temps plein ou que le nombre d’habitants des collectivités territoriales est supérieur à 3 500 habitants.
Pour les documents comportant des données à caractère personnel, la loi prévoit qu’ils ne peuvent être rendus publics qu’après avoir été anonymisés, sauf accord de la personne concernée ou dispositions législatives contraires. Néanmoins, devait être défini par décret les catégories de documents pouvant être rendus publics sans faire l’objet d’une anonymisation.
Le décret n°2018-1117, paru ce jour, précise les catégories concernées de documents, reprises ci-après :
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation de l’administration, notamment les organigrammes, les annuaires des administrations et la liste des personnes inscrites à un tableau d’avancement ou sur une liste d’aptitude pour l’accès à un échelon, un grade ou un corps ou cadre d’emplois de la fonction publique ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation de la vie économique, associative et culturelle, notamment le répertoire national des associations et le répertoire des entreprises et de leurs établissements ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice des professions réglementées et des activités professionnelles soumises à la règlementation, notamment celles relatives à l’exercice des professions de notaire, avocat, huissier de justice et architecte ;
– Les documents nécessaires à l’information du public relatifs à l’enseignement et la recherche et notamment les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice des activités sportives ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice de la vie politique, notamment le répertoire des élus, à l’exception des informations prévues au 2° du I de l’article 5 du décret n° 2014-1479 du 9 décembre 2014 relatif à la mise en œuvre de deux traitements automatisés de données à caractère personnel dénommés « Application élection » et « Répertoire national des élus » ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice des activités touristiques ;
– Les documents nécessaires à l’information du public relatifs aux activités soumises à des formalités prévues par des dispositions législatives ou réglementaires notamment, en matière d’urbanisme, d’occupation du domaine public et de protection des données à caractère personnel ;
– Les documents administratifs conservés par les services publics d’archives et les autres organismes chargés d’une mission de service public d’archivage sous réserve qu’ils soient communicables conformément au code du patrimoine, qu’ils ne comportent pas de données sensibles, ni de données relatives à des condamnations pénales, infractions ou mesures de suretés. Si tel était le cas, ils ne seraient communicables qu’à l’expiration d’un délai minimum de 100 ans à compter de la date des documents.
Les administrations devront s’assurer de l’exactitude des données diffusées en ligne ainsi que de leur mise à jour régulière.
La CNIL recommande aux administrations pour la publication de ces documents non anonymisés de mettre en place des mesures empêchant l’indexation sur des moteurs de recherche externe des seules données identifiantes publiées.
De plus, toute réutilisation des données à caractère personnel, notamment à des fins commerciales, devra respecter le droit d’opposition des personnes concernées et tenir compte de la volonté des personnes concernées, exprimée lors de la collecte de leurs données.
Télécharger le PDF

novembre 2018

Flash Info – Formation – Protection des données personnelles en santé

2018-12-13T23:35:35+00:0029 novembre 2018|Actualités|

Pour aider les délégués à la protection des données, les personnes en charge de traitements de données personnelles, le Cabinet a conçu un cycle de formation sur la protection des données personnelles dans le secteur de la santé .
Ce cycle permet notamment d’aborder les spécificités du secteur : hébergement de données de santé, la recherche clinique, Numéro d’Identification au Répertoire (NIR).
Les sessions de formation intègrent les modules de formation, labellisés par la CNIL le 21 mai 2018.
Ces sessions sont également un espace de partages d’expériences. Le nombre volontairement limité de participants facilite les échanges. Elles se dérouleront au cours du 1er semestre 2019.
Le Cabinet est un organisme de formation « DataDocké », permettant une prise en charge par les financeurs de la formation professionnelle.
Télécharger le PDF