avril 2020

Utilisation des données de santé liées à l’épidémie Covid-19

2020-04-22T09:52:35+00:0022 avril 2020|Actualités Vigier Avocats|

Le Health Data Hub (Plateforme des données de santé) et la CNAM ont été autorisés à recevoir et stocker des données de santé en lien avec l’épidémie actuelle de Covid-19 et ce, pour faciliter l’utilisation des données de santé pour la gestion de l’urgence sanitaire et l’amélioration des connaissances sur le virus Covid-19, par arrêté du 21 avril 2020.
Le Health Data Hub et la CNAM sont responsables du stockage et de la mise à disposition des données.
Le croisement des données est autorisé. La CNAM est responsable des opérations de pseudonymisation et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les données ne peuvent être traitées que pour une finalité d’intérêt public en lien avec l’épidémie actuelle de convid-19.

Sont concernés les traitements être mis en œuvre par

  •  les responsables de traitement en considération de la finalité d’intérêt public des traitements et à des fins de recherches, d’étude et d’évaluation dans le domaine de la santé, dûment autorisés ou en conformité à une méthodologie de référence ou à un référentiel établi par la CNIL
  •  l’Etat aux fins de conception, de suivi ou d’évaluation des politiques publiques dans le domaine de la santé ainsi qu’aux fins de collecte, d’exploitation et de diffusion des statistiques dans ce domaine
  • les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations
  • les organismes d’assurance maladie complémentaire pour la prise en charge des prestations dans le cadre de l’exercice de leurs missions
  • les organismes ou les services chargés d’une mission de service public identifiés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites.

La durée de traitement des données est limitée à la durée de l’état d’urgence sanitaire institué pour faire face à cette épidémie.
Les données sont traitées que sur la plafeforme technologique du Health Data Hub et celle de la CNAM, sans pouvoir en être extraites.
Les projets seront recensés au sein d’un répertoire public sur le site internet du Health Data Hub avec leurs caractéristiques.

Télécharger le PDF

CNIL – Publication du référentiel de gestion RH

2020-04-15T12:33:47+00:0015 avril 2020|Actualités Vigier Avocats|

La CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel par délibération n° 2019-160 du 21 novembre 2019, parue au Journal officiel du 15 avril 2020.

Ce référentiel couvre les traitements de gestion courante des ressources humaines par les organismes-employeurs. Il ne s’applique pas aux traitements de données mis en œuvre par les organisations syndicales, les instances représentatives du personnel, ou services de médecine du travail.

Il ne concerne pas

  • les traitements impliquant le recours à des outils innovants (psychométrie)
  • les traitements algorithmiques à des fins de profilage ou traitements dits de « Big Data »
  • les traitements ayant pour objet ou effet le contrôle individuel de l’activité des salariés

Le respect de ce référentiel permet de s’assurer de la conformité des traitements de données à la règlementation.

S’il est possible de s’écarter de ce référentiel pour des motifs particuliers, le responsable de traitement devra être en mesure de justifier de ces écarts et de mettre en place les mesures appropriées pour garantir la conformité des traitements.

Ce référentiel apporte des précisions sur les bases légales des traitements.

La CNIL a détaillé certaines durées de conservation : en base active et en archivage intermédiaire.

Ce référentiel est une aide à la réalisation d’une analyse d’impact relative à la protection des données, qu’il est recommandé de mener, et ce, même si elle n’est pas obligatoire. En effet, l’analyse d’impact est un moyen de s’assurer de la conformité du traitement de données avec la règlementation sur la protection des données et, le cas échéant, d’identifier les actions à mettre en place pour y parvenir.

Télécharger le PDF

mars 2020

CNIL – Programme de contrôles 2020

2020-03-13T08:56:57+00:0013 mars 2020|Actualités Vigier Avocats|

La CNIL a annoncé son programme de contrôle pour l’année 2020.
Plus de 15 % concerneront la sécurité des données de santé, la géolocalisation, les cookies ou traceurs.
  • Sécurité des données de santé

Les données de santé font l’objet d’une protection spécifique : le RGPD, la Loi Informatique et Liberté, le code de la santé publique,etc. Avec le développement des objets connectés, de la télémédecine, à l’heure de la mise en place de l’espace numérique de santé pour les patients, la CNIL s’intéresse aux mesures de sécurité mises en œuvre par les professionnels de santé ou pour leur compte.

  • Géolocalisation
Les données de géolocalisation collectées dans le cadre des services de mobilité ou de proximité peuvent porter atteinte à la vie privée des personnes. La CNIL souhaite s’assurer de la proportionnalité des données collectées, leurs durées de conservations, l’information des personnes concernées, les mesures de sécurité.
  • Cookies ou traceurs

Les premiers contrôles sur les cookies ou traceurs devraient avoir lieu à l’automne, soit 6 mois après la parution d’une recommandation de la CNIL. Cela correspond à la période transitoire annoncée par la CNIL pour permettre aux opérateurs concernés de se mettre en conformité.

décembre 2019

CNIL – Publication du référentiel sur le dispositif d’alertes professionnelles

2020-11-17T15:02:46+00:0011 décembre 2019|Actualités Vigier Avocats|

La CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles, par délibération n°2019-139 du 18 juillet 2019, publiée ce 10 décembre 2019.

Ce référentiel couvre deux types de dispositifs : les dispositifs d’alerte encadrés par la loi (signalement d’un crime ou délit, violation grave et manifeste de la loi ou du règlement, menace ou préjudices graves pour l’intérêt général…) et les dispositifs d’alertes éthiques mis en œuvre volontairement par un organisme en vue d’interdire des comportements considérés comme incompatibles avec sa charte éthique ou son règlement intérieur.

Pour mémoire, depuis le 1er janvier 2018, les personnes morales publiques et privées d’au moins 50 agents ou salariés ont obligation de mettre en place des procédures de recueil des signalements émis par les lanceurs d’alerte. (Flash Info Juin 2017)

Ce type de traitement de données a été identifié par la CNIL sur la liste des traitements pour lesquels une analyse d’impact est requise. Ce référentiel constitue une aide pour la réalisation de cette analyse d’impact.

Télécharger le PDF

novembre 2019

DM – Dispositifs médicaux avec intelligence artificielle

2020-11-17T15:03:04+00:0029 novembre 2019|Actualités Vigier Avocats|

« Fluidifier les relations avec les industriels » tel est l’objectif du projet de grille d’analyse des algorithmes contenus dans les dispositifs médicaux (DM) soumis à consultation publique jusqu’au 15 janvier 2020 par la Commission nationale d’évaluation des dispositifs médicaux et des technologies de santé (CNEDIMTS) de la Haute Autorité de santé (HAS), commission chargée d’évaluer les DM en vue de leur remboursement par l’Assurance maladie.

Face à la multiplication des dossiers de dispositifs médicaux connectés, la HAS a décidé de compléter ses outils d’évaluation pour pouvoir faire face aux demandes d’évaluation des DM qui embarquent des algorithmes auto-apprenants.

Le projet de grille comporte 36 items couvrant huit catégories de critères clés : la finalité d’usage, l’apprentissage, les données d’entrée d’apprentissage initial ou de réapprentissage, les données d’entrée impliquées dans la décision, la performance, la validation, la résilience du système et l’explicabilité. Cette grille évitera aux industriels les allers-retours avec la HAS et une évaluation plus rapide du DM.

Les industriels du secteur peuvent se rassurer, les critères de cette grille ne porte que sur la partie algorithme du produit qu’il soit construit par apprentissage ou auto-apprenant, la HAS ayant précisé qu’il ne lui appartenait pas de comprendre le modèle mathématique de l’algorithme. L’évaluation reste, comme pour les autres DM, une évaluation clinique : le but est de s’assurer que le résultat clinique ne se dégrade pas dans le temps. Tout avis restera donc réversible puisque la période quinquennale de validité de l’évaluation pourra être réduite à partir des données de vie réelle. D’où l’importance pour les entreprises du secteur de prendre part à cette consultation afin éventuellement de donner un avis, voire proposer une modification, au sujet des caractéristiques essentielles des systèmes décisionnels s’appuyant sur des procédés d’apprentissage automatique embarqués dans les DM.

Télécharger le PDF

octobre 2019

CNIL – Liste des traitements ne requérant pas d’analyse d’impact

2020-11-17T15:03:16+00:0022 octobre 2019|Actualités Vigier Avocats|

Le Règlement Général de la Protection des Données (« RGPD ») permet aux autorités de contrôle d’établir et de publier une liste de traitements de données pour lesquels une analyse d’impact n’est pas requise.

La CNIL vient d’adopter cette liste de traitements par délibération n°2019-118 du 12 septembre 2019, parue au Journal officiel de ce jour.

Sont dispensés d’analyse d’impact mais restent soumis à l’ensemble des autres obligations en application du RGPD et de la Loi Informatique et Liberté, notamment

  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du profilage,
  • les traitements de gestion de la relation fournisseurs,
  • les traitements destinés à la gestion des activités des Comités d’entreprises et d’établissement,
  • les traitements mis en oeuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles,
  • les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.
Télécharger le PDF

juillet 2019

Flash Info – CNIL – Publication des lignes directrices sur les cookies et du référentiel sur les vigilances

2020-11-17T15:03:37+00:0019 juillet 2019|Actualités Vigier Avocats|

Deux délibérations attendues de la CNIL sont parues au Journal officiel du 18 juillet 2019.

La délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives aux opérations de lecture et d’écriture dans le terminal d’un utilisateur (notamment cookies et autres traceurs) abroge la recommandation relative aux cookies et autres traceurs du 5 décembre 2013.
Ces lignes directrices tiennent compte de la directive 2002/58/CE modifiée « vie privé et communications électroniques » (ou « ePrivacy ») ainsi que des lignes directrices du comité européen de la protection des données sur le consentement. Elles s’appliquent à toutes opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement et ce quels que soient les système d’exploitation, les logiciels applicatifs (navigateurs) ou les terminaux utilisés.
Les traceurs nécessitant le recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas manifesté sa volonté de manière libre, spécifique, éclairé et univoque par une déclaration ou un acte positif clair. Les responsables de traitement devront démontrer que le consentement de l’utilisateur a été valablement recueilli. Il est précisé si les responsable de traitement ne collectent pas eux-mêmes le consentement des personnes que la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie ne satisfait pas à l’obligation.

La délibération n°2019-057 du 9 mai 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires apporte des précisions notamment sur les durées de conservation des données qui pourraient aller jusqu’à 70 ans à compter de la date de retrait du marché du médicament, du dispositif ou du produit et ce, en l’absence de durée légale ou règlementaire et sur le recours à un hébergeur de données de santé agréé ou certifié en cas de recours à un prestataire extérieur.

Télécharger le PDF
Télécharger le PDF

mai 2019

Flash Info – CNIL – Décret n°2019-356 du 29 mai 2019

2020-11-17T15:03:50+00:0030 mai 2019|Actualités Vigier Avocats|

Ce 30 mai 2019 est paru au Journal officiel le décret n°2019-536 du 29 mai 2019 pris pour application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce décret entre en vigueur le 1er juin 2019 qui sera également la date d’entrée en vigueur de l’ordonnance n°2018-1125 du 12 décembre 2018.

Ce décret abroge le décret n°2005-1309 du 20 octobre 2005.

La CNIL a rendu un avis sur le projet de décret qui a fait l’objet d’une délibération en date du 9 mai 2019, publiée également au Journal officiel de ce jour.

Télécharger le PDF
Télécharger le PDF

Flash Info – CNIL – Stratégie de contrôle pour 2019

2019-05-20T18:42:10+00:0020 mai 2019|Actualités Vigier Avocats|

Parue au Journal officiel, la délibération du 9 mai 2019 a mis à jour la liste des agents habilités à procéder à des missions de vérification sur place. La CNIL va pouvoir mettre en œuvre sa stratégie de contrôle.
La période transitoire, pendant laquelle les organismes ayant initié une démarche de mise en conformité n’ont pas été sanctionnés, est révolue.
La CNIL a annoncé qu’elle sanctionnera les organismes non-conformes à la règlementation. Pour cela, elle tiendra compte de la gravité des manquements, de la bonne foi et de la coopération de l’organisme pour prendre les suites les plus appropriées.
Lors des contrôles, la CNIL veillera au respect des droits des personnes concernées, à la répartition des responsabilités entre le responsable de traitement et ses sous-traitants, ainsi que le traitement des données des mineurs.

Assurez-vous que

  • le registre des traitements mis en place est tenu à jour, ainsi que le registre des violations de données,
  • les analyses d’impact pour les traitements pour lesquels elles sont requises ont été réalisées,
  • les contrats avec les sous-traitants définissent bien les responsabilités de chacune des parties,
  • la procédure pour la gestion de l’exercice des droits des personnes concernées et des réclamations est à jour.
Télécharger le PDF

avril 2019

Flash Info – CNIL – Publication du rapport d’activité 2018

2019-04-15T22:50:38+00:0015 avril 2019|Actualités Vigier Avocats|

La CNIL vient de publier son rapport d’activité annuel, premier rapport depuis l’application du RGPD.
1170 notifications de violation de données, principalement des atteintes à la confidentialité des données. La CNIL annonce d’ores et déjà qu’elle va s’assurer, lors des contrôles, de la mise en place de procédures et un registre des violations.
La CNIL a réalisé 310 contrôles, dont 2/3 de contrôles sur place.
49 mises en demeure ont été adoptées, dont 11 rendues publiques
Sur les 10 sanctions pécuniaires prononcées, 7 concernent des atteintes à la sécurité des données personnelles.
En 2019, dans le cadre du programme de contrôles de la CNIL, ceux-ci porteront
  •  sur les plaintes reçues, avec l’exercice pratique des droits des personnes,
  •  sur la répartition des responsabilités entre sous-traitants et donneurs d’ordre, et ce, quelque soit le secteur d’activité,
  •  sur les données des mineurs.
Télécharger le PDF