mai 2020

Décret n°2020-567 sur les traitement de données à des fins de recherche dans la santé

2020-05-16T00:59:30+00:0016 mai 2020|Actualités|

Le décret n°2020-567 du 14 mai 2020 relatif aux traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé vient modifier le décret n°2019-536 du 29 mai 2019, et ce, suite à la loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.

Le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (« CESREES ») succède au CEREES.

Le décret prévoit la possibilité pour le CESREES de se prononcer sur le caractère d’intérêt public des traitements de données à des fins de recherche, d’étude ou d’évaluation sur saisine du président de la Commission Nationale de l’Informatique et des Libertés (CNIL) ou du ministre chargé de la santé ou de sa propre initiative lors de l’examen des demandes d’autorisation.  La CNIL avait recommandé que le CESREES se prononce systématiquement sur la finalité d’intérêt public des projets de recherche.

Le sens de l’avis rendu par le Comité ou la motivation de l’avis pour les traitements autorisés sera publié sur le site de la Plateforme de données de santé.

Dans son avis sur le projet de décret qui lui a été soumis, la CNIL recommandait qu’un article spécifique du décret soit dédié au répertoire public mis à disposition par le secrétariat unique afin de préciser le périmètre des recherches et des informations devant y figurées. Elle proposait de regrouper dans un seul répertoire public toutes les recherches n’impliquant pas la personne humaine qu’elles aient été mises en œuvre dans le cadre d’un engagement de conformité à une méthodologie de référence ou d’une demande d’autorisation. Le décret de 2019 reste inchangé sur ce point.

Télécharger le PDF

Covid-19 : Traitements de données de santé & SI

2020-05-14T18:09:04+00:0014 mai 2020|Actualités|

L’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et en complétant ses dispositions, permet la mise en œuvre d’un système de partage des données personnelles liées à la santé des personnes atteintes par le COVID-19, ou ayant été en contact avec. Elle renvoie à des décrets d’applications pour préciser les modalités de mise en œuvre de ces traitements. C’est chose faite avec la parution du décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information.
La caisse nationale de l’assurance maladie est autorisée à adapter le système d’information « amelipro » afin de mettre en œuvre un traitement « Contact Covid ». Ce traitement permet d’identifier les personnes infectées, ainsi que les personnes présentant un risque d’infection, mais également de les orienter vers des prescriptions médicales correspondantes, et enfin de contribuer à la surveillance épidémiologique et à la recherche sur le virus et les moyens de lutte contre sa propagation.

Le second traitement est le traitement « SI-DEP » mis en œuvre par l’Assistance-publique-Hôpitaux de Paris sous la responsabilité du ministre de la santé. Il s’agit d’un système d’information national de dépistage, dont la durée est limitée à six mois à compter de la fin de l’état d’urgence sanitaire (soit le 9 janvier 2021).

Enfin, le décret offre aux agences régionales de santé la possibilité de recourir à des sous-traitants pour effectuer les missions d’enquêtes sanitaires, d’orientation, de suivi et d’accompagnement des personnes ainsi que de surveillance épidémiologique, sous réserve qu’elles s’assurent des garanties de compétence suffisantes pour assurer le respect des règles de confidentialité.

A également été pris un arrêté du 12 mai 2020 portant modification de la liste des actes et prestations mentionnée à l’article L162-1-7 du code de la sécurité sociale en intégrant les tests de détection du génome SARS-CoV-2 par RT PCR à la liste des actes pris en charge par l’assurance maladie. Les personnes inscrites dans le système de suivi des personnes contacts se verront immédiatement prescrire un test de diagnostic, ainsi que son remboursement, et la délivrance de masques en officine. Par ailleurs, un forfait de traitement de prise en charge pré-analytique patient est instauré comprenant : vérification de l’inscription du patient contact dans le téléservice « Contact Covid », l’enregistrement de la date de réalisation du prélèvement dans ce service et la réalisation du test, l’enregistrement des informations demandées par le traitement « SI-DEP ». Ce qui permettra le remboursement du test de détection.

Télécharger le PDF
Télécharger le PDF
Télécharger le PDF

avril 2020

Utilisation des données de santé liées à l’épidémie Covid-19

2020-04-22T09:52:35+00:0022 avril 2020|Actualités|

Le Health Data Hub (Plateforme des données de santé) et la CNAM ont été autorisés à recevoir et stocker des données de santé en lien avec l’épidémie actuelle de Covid-19 et ce, pour faciliter l’utilisation des données de santé pour la gestion de l’urgence sanitaire et l’amélioration des connaissances sur le virus Covid-19, par arrêté du 21 avril 2020.
Le Health Data Hub et la CNAM sont responsables du stockage et de la mise à disposition des données.
Le croisement des données est autorisé. La CNAM est responsable des opérations de pseudonymisation et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les données ne peuvent être traitées que pour une finalité d’intérêt public en lien avec l’épidémie actuelle de convid-19.

Sont concernés les traitements être mis en œuvre par

  •  les responsables de traitement en considération de la finalité d’intérêt public des traitements et à des fins de recherches, d’étude et d’évaluation dans le domaine de la santé, dûment autorisés ou en conformité à une méthodologie de référence ou à un référentiel établi par la CNIL
  •  l’Etat aux fins de conception, de suivi ou d’évaluation des politiques publiques dans le domaine de la santé ainsi qu’aux fins de collecte, d’exploitation et de diffusion des statistiques dans ce domaine
  • les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations
  • les organismes d’assurance maladie complémentaire pour la prise en charge des prestations dans le cadre de l’exercice de leurs missions
  • les organismes ou les services chargés d’une mission de service public identifiés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites.

La durée de traitement des données est limitée à la durée de l’état d’urgence sanitaire institué pour faire face à cette épidémie.
Les données sont traitées que sur la plafeforme technologique du Health Data Hub et celle de la CNAM, sans pouvoir en être extraites.
Les projets seront recensés au sein d’un répertoire public sur le site internet du Health Data Hub avec leurs caractéristiques.

Télécharger le PDF

CNIL – Publication du référentiel de gestion RH

2020-04-15T12:33:47+00:0015 avril 2020|Actualités|

La CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel par délibération n° 2019-160 du 21 novembre 2019, parue au Journal officiel du 15 avril 2020.

Ce référentiel couvre les traitements de gestion courante des ressources humaines par les organismes-employeurs. Il ne s’applique pas aux traitements de données mis en œuvre par les organisations syndicales, les instances représentatives du personnel, ou services de médecine du travail.

Il ne concerne pas

  • les traitements impliquant le recours à des outils innovants (psychométrie)
  • les traitements algorithmiques à des fins de profilage ou traitements dits de « Big Data »
  • les traitements ayant pour objet ou effet le contrôle individuel de l’activité des salariés

Le respect de ce référentiel permet de s’assurer de la conformité des traitements de données à la règlementation.

S’il est possible de s’écarter de ce référentiel pour des motifs particuliers, le responsable de traitement devra être en mesure de justifier de ces écarts et de mettre en place les mesures appropriées pour garantir la conformité des traitements.

Ce référentiel apporte des précisions sur les bases légales des traitements.

La CNIL a détaillé certaines durées de conservation : en base active et en archivage intermédiaire.

Ce référentiel est une aide à la réalisation d’une analyse d’impact relative à la protection des données, qu’il est recommandé de mener, et ce, même si elle n’est pas obligatoire. En effet, l’analyse d’impact est un moyen de s’assurer de la conformité du traitement de données avec la règlementation sur la protection des données et, le cas échéant, d’identifier les actions à mettre en place pour y parvenir.

Télécharger le PDF

décembre 2018

Flash Info – Données personnelles – Décret n°2018-1117 du 10 décembre 2018 sur les catégories de documents administratifs publiables sans anonymisation

2018-12-12T15:19:16+00:0012 décembre 2018|Actualités|

Le décret n°2018-1117 du 10 décembre 2018, paru au Journal Officiel du 12 décembre 2018, vient compléter l’article 6 de la loi du 7 octobre 2016 pour une République numérique. L’article 6 de cette loi a instauré la publication en ligne des documents administratifs, dès lors que ces documents sont communicables ou accessibles à toute personne et ce, dans le respect des articles L.311-5 et 311-6 du Code des relations entre le public et l’administration, et disponibles sous forme électronique.
Sont concernés les documents produits ou reçus, dans le cadre de leur mission de service public, par l’Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d’une telle mission, dès lors que le nombre de leurs agents ou de leurs salariés est supérieur à 50 agents ou salariés en équivalents temps plein ou que le nombre d’habitants des collectivités territoriales est supérieur à 3 500 habitants.
Pour les documents comportant des données à caractère personnel, la loi prévoit qu’ils ne peuvent être rendus publics qu’après avoir été anonymisés, sauf accord de la personne concernée ou dispositions législatives contraires. Néanmoins, devait être défini par décret les catégories de documents pouvant être rendus publics sans faire l’objet d’une anonymisation.
Le décret n°2018-1117, paru ce jour, précise les catégories concernées de documents, reprises ci-après :
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation de l’administration, notamment les organigrammes, les annuaires des administrations et la liste des personnes inscrites à un tableau d’avancement ou sur une liste d’aptitude pour l’accès à un échelon, un grade ou un corps ou cadre d’emplois de la fonction publique ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation de la vie économique, associative et culturelle, notamment le répertoire national des associations et le répertoire des entreprises et de leurs établissements ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice des professions réglementées et des activités professionnelles soumises à la règlementation, notamment celles relatives à l’exercice des professions de notaire, avocat, huissier de justice et architecte ;
– Les documents nécessaires à l’information du public relatifs à l’enseignement et la recherche et notamment les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice des activités sportives ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice de la vie politique, notamment le répertoire des élus, à l’exception des informations prévues au 2° du I de l’article 5 du décret n° 2014-1479 du 9 décembre 2014 relatif à la mise en œuvre de deux traitements automatisés de données à caractère personnel dénommés « Application élection » et « Répertoire national des élus » ;
– Les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice des activités touristiques ;
– Les documents nécessaires à l’information du public relatifs aux activités soumises à des formalités prévues par des dispositions législatives ou réglementaires notamment, en matière d’urbanisme, d’occupation du domaine public et de protection des données à caractère personnel ;
– Les documents administratifs conservés par les services publics d’archives et les autres organismes chargés d’une mission de service public d’archivage sous réserve qu’ils soient communicables conformément au code du patrimoine, qu’ils ne comportent pas de données sensibles, ni de données relatives à des condamnations pénales, infractions ou mesures de suretés. Si tel était le cas, ils ne seraient communicables qu’à l’expiration d’un délai minimum de 100 ans à compter de la date des documents.
Les administrations devront s’assurer de l’exactitude des données diffusées en ligne ainsi que de leur mise à jour régulière.
La CNIL recommande aux administrations pour la publication de ces documents non anonymisés de mettre en place des mesures empêchant l’indexation sur des moteurs de recherche externe des seules données identifiantes publiées.
De plus, toute réutilisation des données à caractère personnel, notamment à des fins commerciales, devra respecter le droit d’opposition des personnes concernées et tenir compte de la volonté des personnes concernées, exprimée lors de la collecte de leurs données.
Télécharger le PDF

novembre 2018

Flash Info – Formation – Protection des données personnelles en santé

2018-12-13T23:35:35+00:0029 novembre 2018|Actualités|

Pour aider les délégués à la protection des données, les personnes en charge de traitements de données personnelles, le Cabinet a conçu un cycle de formation sur la protection des données personnelles dans le secteur de la santé .
Ce cycle permet notamment d’aborder les spécificités du secteur : hébergement de données de santé, la recherche clinique, Numéro d’Identification au Répertoire (NIR).
Les sessions de formation intègrent les modules de formation, labellisés par la CNIL le 21 mai 2018.
Ces sessions sont également un espace de partages d’expériences. Le nombre volontairement limité de participants facilite les échanges. Elles se dérouleront au cours du 1er semestre 2019.
Le Cabinet est un organisme de formation « DataDocké », permettant une prise en charge par les financeurs de la formation professionnelle.
Télécharger le PDF

octobre 2018

Flash Info – CNIL – Délibérations du 20 septembre 2018 – DPO

2018-12-11T15:41:02+00:0011 octobre 2018|Actualités|

Les deux délibérations de la CNIL du 20 septembre 2018 relatives aux référentiels de certification du délégué à la protection des données (DPO) sont parues au Journal officiel de ce jour. La première concerne le référentiel d’agrément des organismes de certification des DPO (Délibération n°2018-317), la seconde porte sur le référentiel de certification des compétences du DPO (Délibération n° 2018-318).

Ces parutions font suite à la consultation publique de la CNIL en juin 2018.

Les conditions préalables pour le candidat à la certification ont été revues tenant compte du caractère récent de la fonction de DPO. Le candidat devra ainsi pouvoir justifier d’au moins 2 années d’expérience dans des projets, activités ou tâches en lien avec les missions de DPO ou justifier d’au moins 2 années d’expérience et avoir suivi une formation d’au moins 35 h en matière de protection des données personnelles.

Le référentiel a été complété avec la connaissance du cadre juridique relatif à la sous-traitance. En revanche, a disparu l’exigence de l’identification de l’existence de réglementation sectorielle qui fixe des conditions spécifiques au traitement de données.

Ce dispositif doit faire l’objet d’une évaluation dans un délai maximum de deux ans éventuellement pour adapter  les exigences du référentiel.

A ce jour, cette certification n’est pas obligatoire pour être DPO.

Télécharger le PDF

 

Télécharger le PDF