septembre 2021

Formations T4 2021

2021-09-25T19:49:20+00:0025 septembre 2021|Actualités Vigier Avocats|

Faites le point sur

  • Encadrement des avantages (ex-Loi Anti-cadeaux) le 19 octobre
    • avec mise en pratique, possibilité d’assister qu’à la partie pratique sous réserve des prérequis
  • Règlement européen 2017/745 relatif aux dispositifs médicaux le 21 octobre
  • Données personnelles de santé – recherche/entrepôt de santé le 16 novembre
  • Données personnelles – en e-Santé le 2 décembre
  • Cycle de formation sur les données personnelles les 22&23, 30 novembre et 6&7 décembre
    • revue de la règlementation, cas pratiques, mise en situation
    • rédaction de 2 fiches de traitements et réalisation de 2 analyses d’impact

Ces formations se déroulent en présentiel ou à distance. Ces formations vous permettront de répondre aux questions tant juridiques que pratiques.

Le nombre de places est limité pour favoriser les échanges, aborder ensemble les situations particulières.

Vos questions  et attentes sont recueillies en amont de la formation pour repartir avec des solutions adaptées à l’issue de la session.

L’organisme de formation est enregistré, référencé au Datadock, permettant une prise en charge par les organismes financeurs. Une convention de stage et des attestations de présence sont établies.

Encadrement des avantages (Loi Anti-Cadeaux)
Règlement européen sur les dispositifs médicaux
Données de santé – recherche/entrepôt de données
Données de santé – e-Santé
Cycle DPO en santé

août 2021

Loi Bioéthique

2021-08-04T22:11:49+00:004 août 2021|Actualités Vigier Avocats|

La Loi n°2021-1012 du 2 août 2021 relative à la bioéthique est entrée en vigueur avec sa parution au Journal Officiel. Elle prévoit notamment un élargissement l’accès aux technologies dans le respect des principes éthiques, la promotion de la solidarité dans le respect de l’autonomie de chacun, le soutien d’une recherche libre, l’amélioration de la qualité et de la sécurité des pratiques du domaine bioéthique.

Dans le cadre de la diffusion des progrès scientifiques et technologiques, la loi a renforcé l’information des personnes concernées et des utilisateurs en cas de recours à des dispositifs médicaux comportant un traitement de données algorithmique dont l’apprentissage a été réalisé à partir de données massives, pour un acte de prévention, de diagnostic ou de soin.

En effet, le professionnel de santé, qui utilise un tel dispositif médical, devra s’assurer que la personne concernée en a été informée et avertie de l’interprétation en résultant. Les professionnels de santé concernés sont informés du recours à ce traitement de données et de l’accessibilité des données patients utilisées et des résultats. Quant aux concepteurs du traitement algorithmique, ils s’assurent de l’explicabilité de son fonctionnement pour les utilisateurs.

Un arrêté viendra préciser la nature des dispositifs médicaux concernés et leurs modalités d’utilisation.

Par ailleurs, trois ordonnances sont attendues dans les 18 prochains mois :

  • Une 1ere ordonnance  pour adapter les dispositions nationales au règlement (UE) 2017/745 relatif aux dispositifs médicaux et règlement (UE) 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro pour mettre en cohérence le système de matériovigilance et réactovigilance, renforcer le rôle de l’ANSM et d’apporter aux dispositions sur la recherche impliquant la personne humaine (RIPH) les précisions relatives aux investigations cliniques et les études de performances.
  • La seconde ordonnance concerne la législation sur le médicament, notamment les médicaments de thérapie innovante, avec la suppression du régime juridique des préparations de thérapies génique et de thérapie cellulaire xénogénique et l’exclusion des préparations cellulaires ayant fait l’objet de modifications substantielles des produits cellulaire à finalité thérapeutique.
  • La troisième ordonnance, à droit constant, vise notamment à harmoniser l’état du droit, améliorer la cohérence rédactionnelle des textes.
Loi n°2021-1012 du 2 août 2021 relative à la bioéthique

juin 2021

UE – Sécurisation des transferts hors de l’Union européenne

2021-06-28T19:26:08+00:0028 juin 2021|Actualités Vigier Avocats|

Juin a été riche en actualités pour les transferts de données à caractère personnel en dehors de l’Union européenne.

A trois jours avant la fin de la période transitoire à la suite du Brexit, l’ensemble des Etats membres est parvenu à un accord sur l’adoption d’une décision d’adéquation pour le Royaume-Uni. Dès lors, les transferts de données vers le Royaume-Uni pourront être effectués sans que des garanties supplémentaires ne soient nécessaires au même titre que les transferts réalisés au sein même de l’Union européenne. Cette décision restera applicable jusqu’au 27 juin 2025, sauf si elle fait l’objet d’une prorogation ou, au contraire, d’une abrogation si les conditions de protection ne sont plus assurées par le Royaume-Uni.

Dans le même sens, au début du mois, la Commission a publié un projet de décision d’adéquation pour le transfert des données à caractère personnel vers la Corée du Sud. Reste à attendre la publication officielle de cette décision pour que la Corée du Sud ne soit plus considérée comme un Etat tiers.

En effet, sans décision d’adéquation, les organismes transférant des données à caractère personnel en dehors de l’Union européenne doivent mettre en place des garanties appropriées, notamment des clauses contractuelles types. A ce titre, elles ont été revues à la lumière du RGPD. Les nouvelles clauses contractuelles types (CCT) sont entrées en vigueur le 27 juin 2021.

Ces nouvelles CCT tiennent compte, d’une part, de l’entrée en application du RGPD en 2018 et, d’autre part, du renforcement du niveau de protection attendu de l’importateur. Les CCT introduisent ainsi de nouvelles garanties et formalisent l’analyse d’impact préconisée par le Comité européen à la protection des données. Ainsi, l’exportateur de données devra s’assurer que le pays vers lequel il entend transférer des données à caractère personnel respecte les clauses types et, le cas échéant, mette en œuvre des garanties supplémentaires.

En effet, les exportateurs de données sont invités à compléter les clauses types avec des mesures techniques, organisationnelles ou contractuelles supplémentaires telles que des mesures de pseudonymisation et chiffrement des données, des habilitations strictes…

Les nouvelles CCT couvrent toutes les situations : les relations entre responsable de traitement et sous-traitant et inversement ou encore celles entre sous-traitant et sous-traitant.

Les anciennes clauses CCT seront abrogées le 27 septembre 2021, soit 3 mois après l’entrée en vigueur des nouvelles clauses.

Une période de transition jusqu’au 27 décembre 2022 est accordée aux responsables de traitement et sous-traitants qui utilisent actuellement les anciennes clauses pour se conformer aux nouvelles CCT, sous réserve que les traitements faisant l’objet de leur contrat actuel restent inchangés.

Décision adéquation Royaume-Uni
Nouvelles Clauses Contractuelles Types

Télésanté – Télémédecine & télésoin

2021-06-04T09:18:12+00:004 juin 2021|Actualités Vigier Avocats|

Le décret n°2021-707 du 3 juin 2021 sur la télésanté et l’arrêté définissant les activités de télésoin sont parus au Journal officiel de ce jour, et ce, deux mois après la parution du rapport de la Haute Autorité de santé (HAS) sur le bon usage et la qualité des pratiques relatives au télésoin (Cf. Actualités du 20 mars 2021).

Le décret précise que la pertinence du recours à la télémédecine ou au télésoin est appréciée par le professionnel médical, le pharmacien ou l’auxiliaire médical.

Comme les actes de télémédecine, les activités de télésanté sont inscrites dans le dossier du patient, et le cas échéant dans le dossier médical partagé :

  • le compte rendu de la réalisation de l’activité de télésoin
  • les actes et prescriptions effectués dans ce cadre
  • l’identité du professionnel et éventuellement des autres professionnels participant à l’activité de télésoin
  • les date et heure de l’activité de télésoin
  • le cas échéant, les incidents techniques survenus au cours de l’activité de télésoin.

Les tarifs des activités de télésoin ne peuvent être supérieurs à ceux pratiques par le professionnel en présentiel.

L’arrêté du 3 juin 2021 définit les professionnels pouvant réaliser une activité de télésoin : les pharmaciens et les auxiliaires médicaux.

L’auxiliaire médical ou le pharmacien peut exercer à distance ses compétences à l’exclusion des soins nécessitant un contact direct en présentiel entre le professionnel et le patient ou un équipement spécifique non disponible auprès du patient.

Il est rappelé que le recours au télésoin relève d’une décision partagée du patient et du professionnel réalisant le télésoin.

Décret n°2021-707 du 3 juin 2021 relatif à la télésanté
Arrêté du 3 juin 2021 définissant les activités de télésoin

CNIL – Intégration de données Covid-19 au SNDS

2021-06-08T15:36:41+00:003 juin 2021|Actualités Vigier Avocats|

La loi n°2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, validée par le Conseil constitutionnel, publiée au Journal officiel le 1er juin 2021, prévoit notamment l’intégration des données recueillies par les systèmes d’information mis en œuvre dans le cadre de la lutte contre l’épidémie de Covid-19 au Système national des données de santé (SNDS). Ces systèmes d’information, SI-DEP et Contact Covid, permettent respectivement de centraliser l’ensemble des résultats des tests effectués et d’assurer le suivi des patients et de leurs cas contacts.

Dans sa décision du 31 mai 2021, le Conseil constitutionnel a validé cette intégration sous réserve que les coordonnées de contact téléphonique ou électronique des personnes concernées ne soient pas intégrées au SNDS.

Jusqu’à cette loi, les données issues de SI-DEP et Contact Covid pouvaient être conservées jusqu’au 31 décembre 2021. Désormais, avec le versement de ces données dans le SNDS, la conservation pourra aller jusqu’à 20 ans après leur transfert.

Consulté sur le projet de loi en avril 2021, le Conseil d’Etat estime que, compte tenu de la pseudonymisation des données, la durée de conservation de 20 ans prévue par le SNDS n’est pas excessive au regard de l’intérêt public qui s’attache à ce que les données de santé puissent être utilisées pour l’amélioration des connaissances sur la Covid-19.

S’agissant de l’information des personnes concernées, les responsables de traitements doivent les informer, sans délai et par tout moyen, que les données les concernant sont rassemblées et mises à disposition via le SNDS, ainsi que de la durée de conservation, des personnes qui y ont accès et des finalités en vue desquelles elles peuvent être traitées. Les personnes concernées disposent d’un droit d’opposition.

Cette information est délivrée individuellement aux personnes dont les données sont collectées à compter du 2 juin 2021, date d’entrée en vigueur de la loi.

mai 2021

CNIL – Rapport d’activités 2020

2021-05-21T18:37:24+00:0021 mai 2021|Actualités Vigier Avocats|

La CNIL vient de publier son rapport d’activités annuel de 2020 et de mettre à jour la liste de ses agents habilités à effectuer des vérifications.

Sur l’année écoulée, 247 contrôles ont été effectués dont 82 contrôles en ligne et 74 sur pièces, 72 sur place et 19 sur audition. Les contrôles sur place représentent habituellement la moitié des contrôles. Du fait de la crise sanitaire, d’autres modalités de contrôle ont été privilégiés.

La CNIL a traité 56 signalements de violations de données, liées à des failles de sécurité rendant accessible des données sur internet sans protection.

Les plaintes sont la principale source de déclenchement des contrôles (+40%) ainsi que l’actualité (32%). 15 % des contrôles concernent les thématiques du programme de contrôle annoncé pour l’année (Cf Actualités en date du 13 mars 2020)

La CNIL a prononcé 14 sanctions : 11 amendes, 2 rappels à l’ordre de la formation restreinte et 1 injonction), 49 mises en demeure, 38 rappels à l’ordre et 2 avertissements de la Présidente.

L’année 2020 a aussi été marquée par un pic des notifications de violations des données avec une hausse de 24%. 17% d’entre elles concernaient des données sensibles. Le secteur de la santé et de l’action sociale a connu une progression de 83% des notifications. La majorité des violations de données a concerné une perte de confidentialité et émanait souvent d’un acte d’origine externe malveillant.

Dans le cadre de la crise sanitaire, la CNIL a mis en place une procédure accélérée d’instruction des demandes d’autorisation de recherches dans la Covid-19, en acceptant des dossiers pour lesquels l’avis du Comité éthique n’avait pas encore été rendu et un accompagnement des déposants.

La CNIL continue son accompagnement dans le domaine de l’innovation avec le lancement, début 2021, du dispositif « bac à sable » visant les projets en santé numérique dans une logique de privacy by design (protection des données dès la conception).

Rapport annuel 2020

avril 2021

Formations – Règlementation santé

2021-04-14T21:58:24+00:0014 avril 2021|Actualités Vigier Avocats|

Venez faire le point sur

  • Encadrement des avantages (ex-Loi Anti-cadeaux) le 18 mai
  • Données personnelles dans le secteur de la santé 25 mai
  • Anticiper et gérer un contrôle de la CNIL le 27 mai
  • Cycle de formation sur les données personnelles les 31 mai, 1er, 11, 21 & 22 juin
  • Recherches cliniques les 14 & 15 juin
  • Règlement européen 2017/745 relatif aux dispositifs médicaux le 17 juin

Ces formations se déroulent en présentiel ou à distance en fonction des circonstances. Ces formations vous permettront de répondre aux questions tant juridiques que pratiques.

Le nombre de places est limité pour favoriser les échanges, aborder ensemble les situations particulières.

N’hésitez pas à nous adresser vos questions en amont de la formation pour repartir avec des solutions adaptées à l’issue de la session.

Le cabinet est enregistré en tant qu’organisme de formation, référencé au Datadock, rendant possible une prise en charge par les organismes financeurs. Une convention de stage et des attestations de présence sont établies.

Formations

mars 2021

CNIL – Programme de contrôle 2021

2021-03-02T23:35:36+00:002 mars 2021|Actualités Vigier Avocats|

Pour la seconde année consécutive, la sécurité des données de santé et l’utilisation des cookies sont parmi les priorités. La cybersécurité des sites web complète ce programme. Une cinquantaine de contrôles devrait y être consacrée.

En 2021, la CNIL poursuivra les contrôles amorcés sur la sécurité des données de santé, dans le contexte de la crise sanitaire et le développement de la e-santé. La fuite massive de données de santé récente illustre cette priorité. Elle vérifiera également l’application des nouvelles recommandations en matière de cookies et traceurs (Actualité de décembre 2020), comme elle l’avait annoncé. Le défaut de sécurité des sites web et l’augmentation des notifications de violation de données ont conduit la CNIL à faire de la cybersécurité des sites web une priorité.

En 2020, 6 500 actes d’investigation ont été réalisées dont 247 procédures formelles de contrôle.

Pour mémoire, les contrôles sont déclenchés suite à des réclamations/plaintes, signalements, programme annuel, en fonction de l’actualité, signalement par une autre autorité, vérification suite à des procédures de contrôle clôturées, de mises en demeure, des sanctions.

Formation Anticiper et gérer un contrôle de la CNIL 27 mai 2021

décembre 2020

CNIL – Cookies/traceurs et données de santé

2020-12-19T10:39:47+00:0018 décembre 2020|Actualités Vigier Avocats|

Le 7 décembre, la CNIL a prononcé plusieurs sanctions rendues publiques ces derniers jours.

Les premières sanctions relatives aux cookies et aux traceurs rappellent que tout acteur, qui recourt à des traceurs et cookies, doit mettre son site Internet en conformité avec les nouvelles lignes directrices et la recommandation. En effet, sauf rares exceptions, le recueil du consentement des internautes avant tout dépôt de cookies ou traceurs est obligatoire.

La période de tolérance de six mois laissée par la CNIL arrive à échéance fin mars 2021.

Les secondes ont sanctionné des manquements aux obligations de sécurité de données de santé.  Ces obligations s’appliquent à tous les responsables de traitement, quelque soit leur taille ou mode d’exercice. La CNIL rappelle l’obligation de notification en cas de violation de données en sus des principes élémentaires impératifs en matière de sécurité informatique : la configuration du réseau informatique, le chiffrement des données personnelles hébergées sur les serveurs…

Doit être notifiée à la CNIL toute violation de données personnelles qui engendre un risque pour les personnes concernées dans les meilleurs délais et, si possible, dans les 72 heures après en avoir pris connaissance. Si la violation de données engendre un cas de risque élevé, alors les personnes concernées seront notifiées.

Lignes directrices
Evaluer le niveau de sécurité

novembre 2020

DMDIV – Règlement européen 2017/746 – Classification des DMDIV

2020-11-19T11:24:22+00:0019 novembre 2020|Actualités Vigier Avocats|

La nouvelle réglementation européenne est entrée en vigueur en 2017 pour les dispositifs médicaux de diagnostics in vitro (DMDIV). Applicable à compter du 26 mai 2022, le nouveau règlement représente un changement important pour les fabricants.

Auparavant, la classification des DMDIV était fondée sur une liste. Désormais, les DMDIV sont divisés en quatre classes de A à D, du risque le plus faible au risque le plus élevé, en fonction de leur objectif et risques inhérents. Ce changement de taille implique qu’un nombre beaucoup plus important de DMDIV devront être certifiés par un organisme notifié (de la classe B à D) : 85 % des DMDIV devraient requérir l’intervention d’un tel organisme. Sous la directive, cela représentait 15 % des DMDIV.

Le Groupe de coordination des dispositifs médicaux (MDGC) de la Commission européenne vient de publier un guide sur la classification des DMDIV pour aider les fabricants, les organismes notifiés et les agences sanitaires, dans la compréhension de la nouvelle règlementation.

Ce document est considéré comme essentiel pour classer avec précision les produits. La classification d’un DMDIV dépend de sa destination, qui est elle-même spécifiée par le fabricant dans l’étiquetage, le mode d’emploi, les documents promotionnels et de vente, ou encore l’évaluation des performances. Il est donc primordial que le fabricant indique clairement l’usage auquel le dispositif est destiné.

Télécharger le PDF