juillet 2018

Flash Info – CNIL – Publication des méthodologies de référence

2018-12-11T15:45:32+00:0013 juillet 2018|Actualités|

Sont parues au Journal officiel de ce jour les méthodologies de référence relative aux traitements de données à caractère personnel mis en œuvre dans le domaine de la santé.

Les MR001 et MR003 relatives aux recherches impliquant la personne humaine ont été mises à jour notamment pour tenir compte du Règlement Général sur la Protection des Données (RGPD).

Très attendues, les MR004, MR005 et MR006 sont publiées pour la première fois.

La MR004 concerne les recherches n’impliquant pas la personne humaine et présentant un caractère d’intérêt public.

La MR005 encadre l’accès par les établissements de santé et les fédérations aux données du PMSI et des résumés de passage aux urgences et mises à disposition sur la plateforme sécurisée de l’ATIH.

La MR006 vient encadrer l’accès pour le compte des personnes produisant ou commercialisant des produits de santé aux données du PMSI centralisées et mises à disposition par l’ATIH par l’intermédiaire d’une solution sécurisée.

Télécharger le PDF

 

Télécharger le PDF

 

Télécharger le PDF

 

Télécharger le PDF

 

Télécharger le PDF

juin 2018

Flash Info – CNIL – Publication de la Loi relative à la protection des données personnelles

2018-06-21T23:10:50+00:0021 juin 2018|Actualités|

La Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles est parue au Journal Officiel de ce jour.

Cette loi sera suivie d’une ordonnance prise, après avis de la CNIL, pour réécrire l’ensemble de la loi no 78-17 du 6 janvier 1978 afin d’apporter les corrections, adaptations nécessaires à la simplification et à la cohérence des dispositions.

Cette ordonnance devrait intervenir avant le 21 décembre 2018.

Télécharger le PDF

Flash Info – Données de santé – Publication du guide pratique sur les données personnelles pour les médecins

2018-06-20T22:29:38+00:0020 juin 2018|Actualités|

La CNIL et le Conseil National de l’Ordre des Médecins ont rédigé un guide pratique pour accompagner les médecins en exercice libéral dans la mise en œuvre de leurs obligations dans le cadre de la nouvelle règlementation sur la protection des données personnelles. Ce guide comporte des exemples de notice d’information, de registre de traitements et fiches de traitements.
La mise en œuvre de cette réglementation doit tenir compte du secret professionnel mais aussi des référentiels applicables aux données de santé.
​Ce guide vient enrichir les publications de la CNIL dédiées aux problématiques de la santé.

Télécharger le PDF

Flash Info – Arrêté relatif à l’information des personnes destinataires d’activités de prévention, diagnostic et/ou soins

2018-06-11T23:18:31+00:0011 juin 2018|Actualités|

Le 1er juillet 2018 entrera en vigueur l’arrêté du 30 mai 2018 relatif à l’information des personnes destinataires d’activités de prévention, de diagnostic et de soins.

Cet arrêté précise le contenu et les modalités de délivrance d’informations aux personnes destinataires d’activités de prévention, de diagnostics et de soins, concernant les frais auxquels ces personnes pourraient être exposées. ​

​Cette obligation d’informations s’applique

  • aux professionnels de santé, notamment les médecins, chirurgiens-dentistes, sages-femmes, pharmaciens, infirmières,
  • aux autres professionnels de la santé tel que les ostéopathes, chiropracteurs et psychothérapeutes,
  • aux centres de santé,
  • aux établissements de santé,
  • aux autres services de santé.

Les informations portent sur le conventionnement du professionnel de santé, la liste des prestations ne correspondant pas directement à une prestation de soins, l’absence de remboursement de la prestation de soins par la sécurité sociale. Dès que les dépassement d’honoraires facturés atteignent 70 €, le patient reçoit une information écrite préalablement à la réalisation de la prestation. Les établissements de santé doivent, en sus, préciser si la prestation est externe ou hospitalière.

Ces informations se trouveront sur les plaques professionnelles lors de leur installation ou de toute modification de plaque, sur les plateformes de prise de rendez-vous médical en ligne et par un affichage. Cette obligation d’informations s’applique également lors de la réalisation d’une pratique médicale à distance et lors de la prise de rendez-vous pour une visite à domicile.

Quand les informations doivent être affichées, elles le sont de façon lisible et visible sur un même support dans le lieu d’attente du patient et dans le lieu d’encaissement des frais. Pour les établissements de santé, ces informations figurent également sur la page dédiée aux tarifs du site internet de communication aux usagers.

Télécharger le PDF

mai 2018

Flash Info – Décret sur la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels

2018-05-30T09:57:53+00:0030 mai 2018|Actualités|

Est paru le décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, suite à la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union Européenne dans le domaine de la sécurité.

Ce décret fixe la liste des services essentiels et les modalités de désignation des opérateurs de services essentiels.

Dans le secteur de la santé, pour les établissements de soins de santé, sont visés les prestataires de soins de santé dans le cadre des services concourant aux activités de prévention, de diagnostic ou de soins mais aussi les prestataires fournissant un service d’aide médicale à l’urgence. Ainsi, la réception et la régulation d’appels ainsi que le service mobile d’urgence et réanimation sont qualifiés de services essentiels.
Est également visée, pour les produits pharmaceutiques, la distribution pharmaceutique réalisée par les grossistes-répartiteurs.

​Sont désignés, comme opérateurs de services essentiels, les opérateurs fournissant au moins un service mentionné dans la liste sus mentionnée, lorsque des réseaux et systèmes d’information sont nécessaires à la fourniture dudit service ​et qu’un incident affectant ces réseaux et systèmes aurait des conséquences graves.

​Les​ critères d’appréciation de ces conséquences graves sont :
– le nombre d’utilisateurs dépendant du service;
– la dépendance des autres secteurs d’activités figurant dans la liste des services essentiels;
– les conséquences qu’un incident pourrait avoir sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique, en terme de gravité ou de durée;
– la part de marché de l’opérateur;
– la portée géographique eu égard à la zone susceptible d’être concernée par l’incident ;
– l’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service;
– le cas échéant, des facteurs sectoriels.

​Cette désignation est faite par arrêté du Premier Ministre. ​Chaque opérateur concerné reçoit une notification du Premier Ministre de son intention de le désigner comme opérateur de services essentiels. L’opérateur dispose d’un mois pour présenter ses observations. Les arrêtés sont notifiés aux opérateurs intéressés.

​Cela implique, pour les opérateurs, d’établir et tenir à jour la liste des réseaux et systèmes d’information, y compris ceux dont l’exploitation est confiée à un tiers,  et nécessaire à la fourniture des services essentiels, et la communiquer à l’Agence nationale de la sécurité des systèmes d’information. Un arrêté détermine les règles de sécurité à respecter.

Les opérateurs devront déclarer les incidents de sécurité à l’Agence nationale de la sécurité des systèmes d’information dès lors que ces incidents ont ou sont susceptibles d’avoir un impact significatif sur la continuité de ces services, et ce, sans préjudice des autres régimes de déclarations d’incidents auxquels les opérateurs seraient soumis. Les modalités de déclaration des incidents sont définis par un arrêté du Premier Ministre. A défaut de déclaration, les dirigeants des opérateurs encourent une amende de 75 000 €.

​Les opérateurs peuvent être soumis à des contrôles pour vérifier le respect des obligations et le niveau de sécurité des réseaux et systèmes d’information nécessaires à la fourniture de services essentiels. ​Prise par le Premier Ministre, la décision de contrôle est notifiée à l’opérateur, en précisant les objectifs et le périmètre du contrôle ainsi que le délai dans lequel le contrôle est réalisé.

Une amende de 100 000 € sanctionne les dirigeants des opérateurs qui ne se conformeraient pas aux règles de sécurité à l’issue du délai fixé par la mise en demeure adressée à l’occasion d’un contrôle.

​Le fait de faire obstacle à un contrôle est puni de 125 000 € d’amende. ​

Télécharger le PDF

juin 2017

Flash Info Décret modifiant certaines dispositions relatives aux recherches impliquant la personne humaine

2017-06-27T18:04:17+00:0027 juin 2017|Actualités|

Le 10 mai 2017, est paru au Journal officiel le décret n°2017-884 du 9 mai 2017 modifiant certaines dispositions réglementaires relatives aux recherches impliquant la personne humaine.
Ce décret précise le champ des recherches impliquant la personne humaine. Le champ des recherches non interventionnelles pourra être complétée par arrêté.
La demande d’avis devant le Comité de Protection des Personnes (CPP) est clarifiée qu’il s’agisse du silence gardé à l’issu des 45 jours par le CPP valant rejet de la demande ou du dossier de demandes avis pour les recherches non interventionnelles.
Ce décret est entré en vigueur le 11 mai 2017.
Télécharger le PDF

Flash Info Convention unique

2017-06-27T07:35:37+00:0027 juin 2017|Actualités|

Le 17 novembre 2016, le décret n°2016-1538 est paru au Journal Officiel. Il concerne la convention unique applicable pour la mise en œuvre des recherches interventionnelles à finalité commerciale impliquant la personne humaine dans les établissements de santé, les maisons et les centres de santé.

L’objectif initial est de « conforter et accroître l’attractivité de la France comme lieu de recherche et développement des industries de santé ». Son extension aux établissements privés, organisés différemment des hôpitaux publics pose quelques difficultés de mise en place.

Télécharger le PDF