mars 2021

CNIL – Programme de contrôle 2021

2021-03-02T23:35:36+00:002 mars 2021|Actualités Vigier Avocats|

Pour la seconde année consécutive, la sécurité des données de santé et l’utilisation des cookies sont parmi les priorités. La cybersécurité des sites web complète ce programme. Une cinquantaine de contrôles devrait y être consacrée.

En 2021, la CNIL poursuivra les contrôles amorcés sur la sécurité des données de santé, dans le contexte de la crise sanitaire et le développement de la e-santé. La fuite massive de données de santé récente illustre cette priorité. Elle vérifiera également l’application des nouvelles recommandations en matière de cookies et traceurs (Actualité de décembre 2020), comme elle l’avait annoncé. Le défaut de sécurité des sites web et l’augmentation des notifications de violation de données ont conduit la CNIL à faire de la cybersécurité des sites web une priorité.

En 2020, 6 500 actes d’investigation ont été réalisées dont 247 procédures formelles de contrôle.

Pour mémoire, les contrôles sont déclenchés suite à des réclamations/plaintes, signalements, programme annuel, en fonction de l’actualité, signalement par une autre autorité, vérification suite à des procédures de contrôle clôturées, de mises en demeure, des sanctions.

Formation Anticiper et gérer un contrôle de la CNIL 27 mai 2021

décembre 2020

CNIL – Cookies/traceurs et données de santé

2020-12-19T10:39:47+00:0018 décembre 2020|Actualités Vigier Avocats|

Le 7 décembre, la CNIL a prononcé plusieurs sanctions rendues publiques ces derniers jours.

Les premières sanctions relatives aux cookies et aux traceurs rappellent que tout acteur, qui recourt à des traceurs et cookies, doit mettre son site Internet en conformité avec les nouvelles lignes directrices et la recommandation. En effet, sauf rares exceptions, le recueil du consentement des internautes avant tout dépôt de cookies ou traceurs est obligatoire.

La période de tolérance de six mois laissée par la CNIL arrive à échéance fin mars 2021.

Les secondes ont sanctionné des manquements aux obligations de sécurité de données de santé.  Ces obligations s’appliquent à tous les responsables de traitement, quelque soit leur taille ou mode d’exercice. La CNIL rappelle l’obligation de notification en cas de violation de données en sus des principes élémentaires impératifs en matière de sécurité informatique : la configuration du réseau informatique, le chiffrement des données personnelles hébergées sur les serveurs…

Doit être notifiée à la CNIL toute violation de données personnelles qui engendre un risque pour les personnes concernées dans les meilleurs délais et, si possible, dans les 72 heures après en avoir pris connaissance. Si la violation de données engendre un cas de risque élevé, alors les personnes concernées seront notifiées.

Lignes directrices
Evaluer le niveau de sécurité

septembre 2020

Données personnelles – Le Coin du DPO

2020-09-14T14:30:37+00:0012 septembre 2020|Actualités Vigier Avocats|

Le Coin du DPO est en ligne !  https://dpo.vigier-avocats.com/

Le Coin du DPO est une plateforme d’informations et de veille sur la protection des données personnelles, incluant les données personnelles dans le domaine de la santé & recherche.

Elle est destinée à toute personne qui gère, traite des données personnelles dans le cadre de son activité : les délégués à la protection des données (DPO), les professionnels de santé, les ressources humaines, services clients, les prestataires de services et autres.

Le Coin du DPO permet de

  • disposer d’une bibliothèque de documents nécessaires à votre activité et à jour,
  • réaliser une veille avec des notifications à chaque nouveau document publié sur la plateforme,
  • le cas échéant, adresser des suggestions ou demandes

Pour de plus amples informations, la présentation de l’offre ainsi que le tutoriel.

Voir la vidéo : présentation
Voir la vidéo : tutoriel

juillet 2020

CNIL – Publication de 3 référentiels dans le secteur de la santé

2020-07-29T07:58:05+00:0028 juillet 2020|Actualités Vigier Avocats|

Le 18 juin dernier, la CNIL a adopté trois référentiels dans le domaine de la santé, dont les délibérations ont été publiées au Journal officiel du 28 juillet 2020.

Deux référentiels portant sur les durées de conservation des données à caractère personnel dans le secteur de la santé. Ils reprennent les durées déterminées par la règlementation et/ou les durées mentionnées dans les différentes méthodologies de référence.

  • Délibération n° 2020-076 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées dans le secteur de la santé
  • Délibération n° 2020-077 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé

Le troisième référentiel porte sur les traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux. Ce référentiel est applicable aux professionnels de santé exerçant en libéral. Ne sont pas concernés par ce référentiel les opticiens et les pharmaciens ainsi que les services de soins, les laboratoires d’analyses de biologie médicale.

  • Délibération n° 2020-081 du 18 juin 2020 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux

Le respect de ces référentiels permet de s’assurer de la conformité des traitements de données à la règlementation.

Télécharger le PDF
Télécharger le PDF
Télécharger le PDF

mai 2020

Covid-19 : Traitements de données de santé & SI

2020-05-14T18:09:04+00:0014 mai 2020|Actualités Vigier Avocats|

L’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et en complétant ses dispositions, permet la mise en œuvre d’un système de partage des données personnelles liées à la santé des personnes atteintes par le COVID-19, ou ayant été en contact avec. Elle renvoie à des décrets d’applications pour préciser les modalités de mise en œuvre de ces traitements. C’est chose faite avec la parution du décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information.
La caisse nationale de l’assurance maladie est autorisée à adapter le système d’information « amelipro » afin de mettre en œuvre un traitement « Contact Covid ». Ce traitement permet d’identifier les personnes infectées, ainsi que les personnes présentant un risque d’infection, mais également de les orienter vers des prescriptions médicales correspondantes, et enfin de contribuer à la surveillance épidémiologique et à la recherche sur le virus et les moyens de lutte contre sa propagation.

Le second traitement est le traitement « SI-DEP » mis en œuvre par l’Assistance-publique-Hôpitaux de Paris sous la responsabilité du ministre de la santé. Il s’agit d’un système d’information national de dépistage, dont la durée est limitée à six mois à compter de la fin de l’état d’urgence sanitaire (soit le 9 janvier 2021).

Enfin, le décret offre aux agences régionales de santé la possibilité de recourir à des sous-traitants pour effectuer les missions d’enquêtes sanitaires, d’orientation, de suivi et d’accompagnement des personnes ainsi que de surveillance épidémiologique, sous réserve qu’elles s’assurent des garanties de compétence suffisantes pour assurer le respect des règles de confidentialité.

A également été pris un arrêté du 12 mai 2020 portant modification de la liste des actes et prestations mentionnée à l’article L162-1-7 du code de la sécurité sociale en intégrant les tests de détection du génome SARS-CoV-2 par RT PCR à la liste des actes pris en charge par l’assurance maladie. Les personnes inscrites dans le système de suivi des personnes contacts se verront immédiatement prescrire un test de diagnostic, ainsi que son remboursement, et la délivrance de masques en officine. Par ailleurs, un forfait de traitement de prise en charge pré-analytique patient est instauré comprenant : vérification de l’inscription du patient contact dans le téléservice « Contact Covid », l’enregistrement de la date de réalisation du prélèvement dans ce service et la réalisation du test, l’enregistrement des informations demandées par le traitement « SI-DEP ». Ce qui permettra le remboursement du test de détection.

Télécharger le PDF
Télécharger le PDF
Télécharger le PDF

avril 2020

Utilisation des données de santé liées à l’épidémie Covid-19

2020-04-22T09:52:35+00:0022 avril 2020|Actualités Vigier Avocats|

Le Health Data Hub (Plateforme des données de santé) et la CNAM ont été autorisés à recevoir et stocker des données de santé en lien avec l’épidémie actuelle de Covid-19 et ce, pour faciliter l’utilisation des données de santé pour la gestion de l’urgence sanitaire et l’amélioration des connaissances sur le virus Covid-19, par arrêté du 21 avril 2020.
Le Health Data Hub et la CNAM sont responsables du stockage et de la mise à disposition des données.
Le croisement des données est autorisé. La CNAM est responsable des opérations de pseudonymisation et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les données ne peuvent être traitées que pour une finalité d’intérêt public en lien avec l’épidémie actuelle de convid-19.

Sont concernés les traitements être mis en œuvre par

  •  les responsables de traitement en considération de la finalité d’intérêt public des traitements et à des fins de recherches, d’étude et d’évaluation dans le domaine de la santé, dûment autorisés ou en conformité à une méthodologie de référence ou à un référentiel établi par la CNIL
  •  l’Etat aux fins de conception, de suivi ou d’évaluation des politiques publiques dans le domaine de la santé ainsi qu’aux fins de collecte, d’exploitation et de diffusion des statistiques dans ce domaine
  • les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations
  • les organismes d’assurance maladie complémentaire pour la prise en charge des prestations dans le cadre de l’exercice de leurs missions
  • les organismes ou les services chargés d’une mission de service public identifiés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites.

La durée de traitement des données est limitée à la durée de l’état d’urgence sanitaire institué pour faire face à cette épidémie.
Les données sont traitées que sur la plafeforme technologique du Health Data Hub et celle de la CNAM, sans pouvoir en être extraites.
Les projets seront recensés au sein d’un répertoire public sur le site internet du Health Data Hub avec leurs caractéristiques.

Télécharger le PDF

CNIL – Publication du référentiel de gestion RH

2020-04-15T12:33:47+00:0015 avril 2020|Actualités Vigier Avocats|

La CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel par délibération n° 2019-160 du 21 novembre 2019, parue au Journal officiel du 15 avril 2020.

Ce référentiel couvre les traitements de gestion courante des ressources humaines par les organismes-employeurs. Il ne s’applique pas aux traitements de données mis en œuvre par les organisations syndicales, les instances représentatives du personnel, ou services de médecine du travail.

Il ne concerne pas

  • les traitements impliquant le recours à des outils innovants (psychométrie)
  • les traitements algorithmiques à des fins de profilage ou traitements dits de « Big Data »
  • les traitements ayant pour objet ou effet le contrôle individuel de l’activité des salariés

Le respect de ce référentiel permet de s’assurer de la conformité des traitements de données à la règlementation.

S’il est possible de s’écarter de ce référentiel pour des motifs particuliers, le responsable de traitement devra être en mesure de justifier de ces écarts et de mettre en place les mesures appropriées pour garantir la conformité des traitements.

Ce référentiel apporte des précisions sur les bases légales des traitements.

La CNIL a détaillé certaines durées de conservation : en base active et en archivage intermédiaire.

Ce référentiel est une aide à la réalisation d’une analyse d’impact relative à la protection des données, qu’il est recommandé de mener, et ce, même si elle n’est pas obligatoire. En effet, l’analyse d’impact est un moyen de s’assurer de la conformité du traitement de données avec la règlementation sur la protection des données et, le cas échéant, d’identifier les actions à mettre en place pour y parvenir.

Télécharger le PDF

mars 2020

CNIL – Programme de contrôles 2020

2020-03-13T08:56:57+00:0013 mars 2020|Actualités Vigier Avocats|

La CNIL a annoncé son programme de contrôle pour l’année 2020.
Plus de 15 % concerneront la sécurité des données de santé, la géolocalisation, les cookies ou traceurs.
  • Sécurité des données de santé

Les données de santé font l’objet d’une protection spécifique : le RGPD, la Loi Informatique et Liberté, le code de la santé publique,etc. Avec le développement des objets connectés, de la télémédecine, à l’heure de la mise en place de l’espace numérique de santé pour les patients, la CNIL s’intéresse aux mesures de sécurité mises en œuvre par les professionnels de santé ou pour leur compte.

  • Géolocalisation
Les données de géolocalisation collectées dans le cadre des services de mobilité ou de proximité peuvent porter atteinte à la vie privée des personnes. La CNIL souhaite s’assurer de la proportionnalité des données collectées, leurs durées de conservations, l’information des personnes concernées, les mesures de sécurité.
  • Cookies ou traceurs

Les premiers contrôles sur les cookies ou traceurs devraient avoir lieu à l’automne, soit 6 mois après la parution d’une recommandation de la CNIL. Cela correspond à la période transitoire annoncée par la CNIL pour permettre aux opérateurs concernés de se mettre en conformité.

décembre 2019

CNIL – Publication du référentiel sur le dispositif d’alertes professionnelles

2020-11-17T15:02:46+00:0011 décembre 2019|Actualités Vigier Avocats|

La CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles, par délibération n°2019-139 du 18 juillet 2019, publiée ce 10 décembre 2019.

Ce référentiel couvre deux types de dispositifs : les dispositifs d’alerte encadrés par la loi (signalement d’un crime ou délit, violation grave et manifeste de la loi ou du règlement, menace ou préjudices graves pour l’intérêt général…) et les dispositifs d’alertes éthiques mis en œuvre volontairement par un organisme en vue d’interdire des comportements considérés comme incompatibles avec sa charte éthique ou son règlement intérieur.

Pour mémoire, depuis le 1er janvier 2018, les personnes morales publiques et privées d’au moins 50 agents ou salariés ont obligation de mettre en place des procédures de recueil des signalements émis par les lanceurs d’alerte. (Flash Info Juin 2017)

Ce type de traitement de données a été identifié par la CNIL sur la liste des traitements pour lesquels une analyse d’impact est requise. Ce référentiel constitue une aide pour la réalisation de cette analyse d’impact.

Télécharger le PDF

novembre 2019

DM – Dispositifs médicaux avec intelligence artificielle

2020-11-17T15:03:04+00:0029 novembre 2019|Actualités Vigier Avocats|

« Fluidifier les relations avec les industriels » tel est l’objectif du projet de grille d’analyse des algorithmes contenus dans les dispositifs médicaux (DM) soumis à consultation publique jusqu’au 15 janvier 2020 par la Commission nationale d’évaluation des dispositifs médicaux et des technologies de santé (CNEDIMTS) de la Haute Autorité de santé (HAS), commission chargée d’évaluer les DM en vue de leur remboursement par l’Assurance maladie.

Face à la multiplication des dossiers de dispositifs médicaux connectés, la HAS a décidé de compléter ses outils d’évaluation pour pouvoir faire face aux demandes d’évaluation des DM qui embarquent des algorithmes auto-apprenants.

Le projet de grille comporte 36 items couvrant huit catégories de critères clés : la finalité d’usage, l’apprentissage, les données d’entrée d’apprentissage initial ou de réapprentissage, les données d’entrée impliquées dans la décision, la performance, la validation, la résilience du système et l’explicabilité. Cette grille évitera aux industriels les allers-retours avec la HAS et une évaluation plus rapide du DM.

Les industriels du secteur peuvent se rassurer, les critères de cette grille ne porte que sur la partie algorithme du produit qu’il soit construit par apprentissage ou auto-apprenant, la HAS ayant précisé qu’il ne lui appartenait pas de comprendre le modèle mathématique de l’algorithme. L’évaluation reste, comme pour les autres DM, une évaluation clinique : le but est de s’assurer que le résultat clinique ne se dégrade pas dans le temps. Tout avis restera donc réversible puisque la période quinquennale de validité de l’évaluation pourra être réduite à partir des données de vie réelle. D’où l’importance pour les entreprises du secteur de prendre part à cette consultation afin éventuellement de donner un avis, voire proposer une modification, au sujet des caractéristiques essentielles des systèmes décisionnels s’appuyant sur des procédés d’apprentissage automatique embarqués dans les DM.

Télécharger le PDF