septembre 2020

Données personnelles – Le Coin du DPO

2020-09-14T14:30:37+00:0012 septembre 2020|Actualités|

Le Coin du DPO est en ligne !  https://dpo.vigier-avocats.com/

Le Coin du DPO est une plateforme d’informations et de veille sur la protection des données personnelles, incluant les données personnelles dans le domaine de la santé & recherche.

Elle est destinée à toute personne qui gère, traite des données personnelles dans le cadre de son activité : les délégués à la protection des données (DPO), les professionnels de santé, les ressources humaines, services clients, les prestataires de services et autres.

Le Coin du DPO permet de

  • disposer d’une bibliothèque de documents nécessaires à votre activité et à jour,
  • réaliser une veille avec des notifications à chaque nouveau document publié sur la plateforme,
  • le cas échéant, adresser des suggestions ou demandes

Pour de plus amples informations, la présentation de l’offre ainsi que le tutoriel.

Voir la vidéo : présentation
Voir la vidéo : tutoriel

août 2020

LAC – Publication des arrêtés fixant les montants

2020-08-14T06:32:20+00:0014 août 2020|Actualités|

Enfin ! les derniers textes fixant les seuils de la Loi Anti-Cadeaux viennent de paraitre au Journal officiel.

Cette publication achève la réforme de la loi Anti-Cadeaux et sera applicable à partir du 1er octobre 2020.

  • Le 1er arrêté détermine les montants au-delà desquels une convention est soumise à la procédure d’autorisation

Pour l’hospitalité : 150 €TTC par nuitée, 50 €TTC par repas et 15 €TTC par collation, avec un montant total de 2000€TTC incluant le transport, les frais d’inscription à la manifestation jusqu’à 1000 €TTC.

La rémunération des professionnels de santé et des associations : 200 €/heure, 800 € la demi-journée et 2 000 € pour l’ensemble de la convention

La rémunération pour les étudiants : 80 €/heure, 320 € la demi-journée et 800 € pour l’ensemble de la convention.

Le financement d’actions de formation professionnelle ou DPC ou une participation : 1 000 €

Les dons et libéralités pour financer exclusivement des activités de recherche, évaluation scientifique

pour les professionnels de santé : 5 000 €

pour les étudiants : 1 000 €

pour les associations : 8 000 €

Les dons pour les associations déclarées d’utilité publique : 10 000 €

Les dons et libéralités à une association pour une autre finalité en lien avec la santé : 1 000 €

  • Le second arrêté fixe les montants des avantages de valeur négligeable déterminés par bénéficiaire et par entreprise

30 €TTC les repas, collations impromptus et limités à 2 par année civile et par bénéficiaire, par entreprise

30 €TTC les livres, ouvrages, revues, dans la limite totale incluant les abonnements, de 150 €TTC par année civile

20 €TTC pour les échantillons de produits de santé ou exemplaire de démonstration dans la limite de 3 par année civile * des dérogations sont prévues

20 €TTC/année civile pour les fournitures de bureau et autre produit ou service ayant trait à la profession à l’exception des produits dont la fourniture est demandée par une autorité publique.

Button Text
Button Text

juillet 2020

CNIL – Publication de 3 référentiels dans le secteur de la santé

2020-07-29T07:58:05+00:0028 juillet 2020|Actualités|

Le 18 juin dernier, la CNIL a adopté trois référentiels dans le domaine de la santé, dont les délibérations ont été publiées au Journal officiel du 28 juillet 2020.

Deux référentiels portant sur les durées de conservation des données à caractère personnel dans le secteur de la santé. Ils reprennent les durées déterminées par la règlementation et/ou les durées mentionnées dans les différentes méthodologies de référence.

  • Délibération n° 2020-076 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées dans le secteur de la santé
  • Délibération n° 2020-077 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé

Le troisième référentiel porte sur les traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux. Ce référentiel est applicable aux professionnels de santé exerçant en libéral. Ne sont pas concernés par ce référentiel les opticiens et les pharmaciens ainsi que les services de soins, les laboratoires d’analyses de biologie médicale.

  • Délibération n° 2020-081 du 18 juin 2020 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux

Le respect de ces référentiels permet de s’assurer de la conformité des traitements de données à la règlementation.

Télécharger le PDF
Télécharger le PDF
Télécharger le PDF

Données personnelles – Invalidation du Privacy Shield

2020-07-24T20:01:17+00:0024 juillet 2020|Actualités|

Le Comité Européen à la Protection des Données (ou EDPB) a publié un « questions-réponses » relatif à l’invalidation du Privacy Shield par un arrêt de la Cour de Justice de l’Union européenne (C-311/18) rendu la semaine dernière, le 16 juillet 2020. Cet arrêt fait suite à une demande de décision préjudicielle introduite par la Haute Cour irlandaise, dans une affaire opposant Facebook et Maximilien Schrems.

La Cour de Justice de l’Union européenne a jugé que le Privacy Shield n’assurait pas une protection des données personnelles équivalente à celle mise en place au sein de l’Union européenne. Certaines exigences américaines limitent la protection des données personnelles, notamment la loi américaine n’accorde pas aux personnes concernées de droits de recours devant les tribunaux contre les autorités américaines.

Cette décision est d’application immédiate.

Pour les responsables de traitement et les sous-traitants qui transfèrent des données personnelles depuis l’Union européenne vers des organismes situés aux Etats-Unis, il convient de

  •  Identifier les traitements de données concernés par de tels transferts de données,
  •  Vérifier si ces transferts sont réalisés et conformes à l’aide du Privacy Shield,
  •  Dans ce cas, revoir et mettre à jour l’analyse d’impact relative à ces traitements de données pour évaluer les mesures complémentaires de sécurité à mettre en place ainsi que les clauses contractuelles standards ou autres garanties appropriées.
Télécharger le PDF
Télécharger le PDF

juin 2020

LAC – Formation Loi Anti-Cadeaux (Ex-DMOS)

2020-06-28T09:46:35+00:0028 juin 2020|Actualités|

Prochaine session de formation le 3 juillet prochain, dans le prolongement de la parution du décret relatif aux avantages offerts paru le 17 juin 2020.

La mise en application de la nouvelle Loi Anti-Cadeaux sera effective avec la parution des arrêtés fixant les différents seuils qui devraient être publiés prochainement.

Cette formation vous aidera de mieux comprendre le nouveau cadre juridique de la réforme de la loi Anti-Cadeaux pour préparer et anticiper cette mise en application.

Elle vous permettra de revoir les pratiques, les procédures, les montants et de sensibiliser les équipes, pour être prêt le jour J.

Le nombre de places est limité pour favoriser les échanges, aborder ensemble les situations particulières.

N’hésitez pas à nous adresser vos questions en amont de la formation pour repartir avec des solutions adaptées à l’issue de la session.

Le cabinet est enregistré en tant qu’organisme de formation, référencé au Datadock, rendant possible une prise en charge par les organismes financeurs. Une convention de stage et des attestations de présence sont établies.

Button Text

CNIL – Publication du rapport d’activités 2019

2020-06-09T15:04:28+00:009 juin 2020|Actualités|

Dans son rapport d’activités pour 2019, paru ce matin, la CNIL constate que de nombreuses plaintes font suite principalement

  • à la réception de prospection,
  • au non-respect des droits des personnes, notamment le droit d’accès à des dossiers personnels dont 42 % sur l’accès au dossier médical,
  • aux défauts de sécurisation des données, avec les mots de passe transmis en clair ou non suffisamment complexe.

La CNIL révèle avoir procédé à 300 contrôles dont :

  • 169 contrôles sur place,
  •  53 contrôles en ligne,
  • 45 contrôles sur pièce,
  • 18 auditions.

Plus du tiers de ces contrôles font suite à des plaintes ou des réclamations. Et presque un quart fait suite à des signalements de violations de données personnelles.

Si la CNIL a noté plusieurs mauvaises pratiques, notamment concernant :

  •  des délais excessifs pour répondre aux demandes d’exercice de droits,
  •  l’absence de lien de désabonnement dans les courriels de prospection commerciale,
  •  le fait qu’un client ne puisse pas supprimer son compte en ligne par lui-même.

Elle souligne plusieurs bonnes pratiques tel que

  • l’élaboration de réponses types à destination du service client pour gérer l’exercice des droits des personnes,
  •  l’utilisation d’une adresse électronique dédiée par un service unique,
  • le traçage des demandes d’exercice des droits dans un outil spécifique.
Télécharger le PDF

Arrêté du 26 mai 2020 de nomination des membres du Comité éthique et scientifique pour les recherches

2020-06-09T09:51:39+00:009 juin 2020|Actualités|

Les membres du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé ont été nommés par arrêté du 16 mai 2020, paru au Journal officiel de ce jour.

Cette nomination intervient dans le prolongement du décret n°2020-567 du 14 mai 2020 qui actait l’évolution du CERESS en CESREES, et ce, pour une durée de 5 ans renouvelable une fois.

Ce comité est saisi, préalablement à la saisine de la CNIL, de toute demande de mise en œuvre des traitements de données à caractère personnel ayant pour finalités la recherche, l’étude ou l’évaluation dans le domaine de la santé et n’impliquant pas la personne humaine. Il émet un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s’il y a lieu, sur la pertinence scientifique et éthique du projet.

Depuis le décret du 14 mai dernier, le comité peut se prononcer sur le caractère d’intérêt public d’un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé à la demande du président de la Commission nationale informatique et libertés ou du ministre chargé de la santé, ou de sa propre initiative lorsqu’il examine le dossier d’une demande d’autorisation relative à un traitement de données à caractère personnel. (Cf Actualités du 16 mai)

Télécharger le PDF

mai 2020

Décret n°2020-567 sur les traitement de données à des fins de recherche dans la santé

2020-05-16T00:59:30+00:0016 mai 2020|Actualités|

Le décret n°2020-567 du 14 mai 2020 relatif aux traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé vient modifier le décret n°2019-536 du 29 mai 2019, et ce, suite à la loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.

Le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (« CESREES ») succède au CEREES.

Le décret prévoit la possibilité pour le CESREES de se prononcer sur le caractère d’intérêt public des traitements de données à des fins de recherche, d’étude ou d’évaluation sur saisine du président de la Commission Nationale de l’Informatique et des Libertés (CNIL) ou du ministre chargé de la santé ou de sa propre initiative lors de l’examen des demandes d’autorisation.  La CNIL avait recommandé que le CESREES se prononce systématiquement sur la finalité d’intérêt public des projets de recherche.

Le sens de l’avis rendu par le Comité ou la motivation de l’avis pour les traitements autorisés sera publié sur le site de la Plateforme de données de santé.

Dans son avis sur le projet de décret qui lui a été soumis, la CNIL recommandait qu’un article spécifique du décret soit dédié au répertoire public mis à disposition par le secrétariat unique afin de préciser le périmètre des recherches et des informations devant y figurées. Elle proposait de regrouper dans un seul répertoire public toutes les recherches n’impliquant pas la personne humaine qu’elles aient été mises en œuvre dans le cadre d’un engagement de conformité à une méthodologie de référence ou d’une demande d’autorisation. Le décret de 2019 reste inchangé sur ce point.

Télécharger le PDF

Covid-19 : Traitements de données de santé & SI

2020-05-14T18:09:04+00:0014 mai 2020|Actualités|

L’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et en complétant ses dispositions, permet la mise en œuvre d’un système de partage des données personnelles liées à la santé des personnes atteintes par le COVID-19, ou ayant été en contact avec. Elle renvoie à des décrets d’applications pour préciser les modalités de mise en œuvre de ces traitements. C’est chose faite avec la parution du décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information.
La caisse nationale de l’assurance maladie est autorisée à adapter le système d’information « amelipro » afin de mettre en œuvre un traitement « Contact Covid ». Ce traitement permet d’identifier les personnes infectées, ainsi que les personnes présentant un risque d’infection, mais également de les orienter vers des prescriptions médicales correspondantes, et enfin de contribuer à la surveillance épidémiologique et à la recherche sur le virus et les moyens de lutte contre sa propagation.

Le second traitement est le traitement « SI-DEP » mis en œuvre par l’Assistance-publique-Hôpitaux de Paris sous la responsabilité du ministre de la santé. Il s’agit d’un système d’information national de dépistage, dont la durée est limitée à six mois à compter de la fin de l’état d’urgence sanitaire (soit le 9 janvier 2021).

Enfin, le décret offre aux agences régionales de santé la possibilité de recourir à des sous-traitants pour effectuer les missions d’enquêtes sanitaires, d’orientation, de suivi et d’accompagnement des personnes ainsi que de surveillance épidémiologique, sous réserve qu’elles s’assurent des garanties de compétence suffisantes pour assurer le respect des règles de confidentialité.

A également été pris un arrêté du 12 mai 2020 portant modification de la liste des actes et prestations mentionnée à l’article L162-1-7 du code de la sécurité sociale en intégrant les tests de détection du génome SARS-CoV-2 par RT PCR à la liste des actes pris en charge par l’assurance maladie. Les personnes inscrites dans le système de suivi des personnes contacts se verront immédiatement prescrire un test de diagnostic, ainsi que son remboursement, et la délivrance de masques en officine. Par ailleurs, un forfait de traitement de prise en charge pré-analytique patient est instauré comprenant : vérification de l’inscription du patient contact dans le téléservice « Contact Covid », l’enregistrement de la date de réalisation du prélèvement dans ce service et la réalisation du test, l’enregistrement des informations demandées par le traitement « SI-DEP ». Ce qui permettra le remboursement du test de détection.

Télécharger le PDF
Télécharger le PDF
Télécharger le PDF

avril 2020

Utilisation des données de santé liées à l’épidémie Covid-19

2020-04-22T09:52:35+00:0022 avril 2020|Actualités|

Le Health Data Hub (Plateforme des données de santé) et la CNAM ont été autorisés à recevoir et stocker des données de santé en lien avec l’épidémie actuelle de Covid-19 et ce, pour faciliter l’utilisation des données de santé pour la gestion de l’urgence sanitaire et l’amélioration des connaissances sur le virus Covid-19, par arrêté du 21 avril 2020.
Le Health Data Hub et la CNAM sont responsables du stockage et de la mise à disposition des données.
Le croisement des données est autorisé. La CNAM est responsable des opérations de pseudonymisation et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les données ne peuvent être traitées que pour une finalité d’intérêt public en lien avec l’épidémie actuelle de convid-19.

Sont concernés les traitements être mis en œuvre par

  •  les responsables de traitement en considération de la finalité d’intérêt public des traitements et à des fins de recherches, d’étude et d’évaluation dans le domaine de la santé, dûment autorisés ou en conformité à une méthodologie de référence ou à un référentiel établi par la CNIL
  •  l’Etat aux fins de conception, de suivi ou d’évaluation des politiques publiques dans le domaine de la santé ainsi qu’aux fins de collecte, d’exploitation et de diffusion des statistiques dans ce domaine
  • les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations
  • les organismes d’assurance maladie complémentaire pour la prise en charge des prestations dans le cadre de l’exercice de leurs missions
  • les organismes ou les services chargés d’une mission de service public identifiés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites.

La durée de traitement des données est limitée à la durée de l’état d’urgence sanitaire institué pour faire face à cette épidémie.
Les données sont traitées que sur la plafeforme technologique du Health Data Hub et celle de la CNAM, sans pouvoir en être extraites.
Les projets seront recensés au sein d’un répertoire public sur le site internet du Health Data Hub avec leurs caractéristiques.

Télécharger le PDF