mai 2022

CNIL – Rapport d’activité et délégation de pouvoirs

2022-05-19T18:48:12+00:0019 mai 2022|Actualités Vigier Avocats|

La CNIL vient de publier son rapport d’activités de l’année 2021.

Au cours de cette année, 384 contrôles ont été effectués dont 173 en ligne et 118 sur place. La poursuite de la crise sanitaire peut expliquer le nombre important de contrôle en ligne, supérieur à ceux sur place.

Si les signalements et les plaintes sont à l’origine de près d’un tiers des contrôle (31%), la CNIL a réussi à réaliser une partie du programme de contrôle annoncé :  37% des contrôles portaient sur les thématiques prioritaires de la Commission.

49 vérifications ont été réalisées à la suite de signalements pour violation de données personnelles.

Au total, ce sont 135 mises en demeures, 47 rappels à l’ordre dont 2 avec injonctions et 15 amendes qui ont été prononcées en 2021.

Le nombre de ces dossiers explique l’implication de la CNIL dans la réforme de sanctions prévue par la loi informatique et libertés. Les plaintes et signalements de plus en plus nombreux, la CNIL s’est trouvée face à l’inadaptation de la procédure de sanctions : trop lourde et complexe pour les dossiers a priori sans difficulté d’interprétation et à faibles enjeux. L’adoption d’une procédure simplifiée (cf actualité du 11 avril 2022) devrait permettre de fluidifier le traitement de ces dossiers. Pour mémoire, les sanctions ainsi prononcées ne sont pas rendues publiques.

La mise en place de la procédure se poursuit avec la délégation de pouvoirs de la Commission à sa présidente et sa vice-présidente déléguée notamment la possibilité de procéder ou de faire procéder par les agents de la CNIL à des vérifications.  (Délibération n°2022-054 publiée le 8 mai 2022)

Cette simplification constitue un changement profond pour la CNIL qui supposera, comme le précise le rapport, probablement plusieurs années avant d’être complètement opérationnel.

A côté de la politique répressive, la CNIL poursuit ses mesures d’accompagnement en simplifiant la rédaction des avis qu’elle rend, en enrichissant les contenus de son site internet ou encore avec la création d’un nouveau « service de l’accompagnement et des délégués à la protection des données » et en poursuivant le dispositif de « bac à sable » pour favoriser l’innovation.

Rapport 2021 de la CNIL
Délibération n°2022-054 du 5 mai 2022 délégation de pouvoirs

avril 2022

CNIL – Procédure simplifiée

2022-04-11T19:41:30+00:0011 avril 2022|Actualités Vigier Avocats|

Le décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est paru le 9 avril 2022 au Journal officiel.

Ce décret concerne notamment la mise en place de la procédure simplifiée de sanction de la Commission nationale de l’informatique et des libertés (CNIL) à côté de la procédure ordinaire. Cette procédure simplifiée se caractérise par le fait que la mesure est prononcée par un seul commissaire de la formation restreinte et, en principe, sans audience. Elle s’est imposée au vu de l’augmentation sans cesse grandissante des plaintes adressées à la CNIL, dont le nombre a doublé depuis l’adoption du RGPD. La procédure ordinaire de sanction n’était donc plus adaptée et ne permettait plus à la CNIL de mener à bien ses missions.

Procédure écrite, la procédure simplifiée concernera les dossiers les moins complexes, ceux-ci étant confié au seul président de la formation restreinte ou à un membre de cette formation désigné par lui. La complexité des dossiers sera analysée au regard du faible niveau de gravité de l’infraction et de la simplicité des questions de fait ou droit soulevées. Les mesures pouvant être prononcées se limitent à un rappel à l’ordre, une injonction sous astreinte dans la limite de 100 euros par jour de retard et à une amende d’un montant maximal de 20 000 euros. En outre, les mesures prononcées ne seront pas rendues publiques.

Si le président de la formation restreinte ou le membre désigné par lui estime qu’il ne peut être recouru à la procédure simplifiée ou que celle-ci doit être interrompue, le président de la CNIL et le mis en cause en sont informés. Ce sera alors la procédure ordinaire qui s’appliquera.

Selon la CNIL, cette nouvelle procédure de sanction simplifiée sera à même de faciliter l’instruction des dossiers transfrontaliers lorsque la CNIL est autorité chef de file pour les affaires d’un faible niveau de gravité et ne présentant pas de difficultés particulières.

Ce décret précise également les autres pouvoirs du président de la formation restreinte tels que la procédure d’injonction de produire lorsqu’un responsable de traitement ou un sous-traitant n’a pas répondu à une mise en demeure préalable. L’injonction de produire pourra être accompagnée d’une astreinte journalière.

En outre, le président de la formation restreinte pourra désormais prononcer un non-lieu sans que soit organisée une séance de la formation restreinte.

Enfin, le décret aborde aussi des changements concernant la procédure ordinaire de sanction. Parmi ceux-ci, il est dorénavant prévu que le rapporteur et le mis en cause disposent d’un délai identique d’un mois pour produire leurs écritures respectives, délai pouvant être prolongé sur demande du rapporteur ou du mis en cause, contre quinze jours auparavant.

La procédure de sanction pourra être classée sans suite à tout moment par le rapporteur si les manquements ne sont pas constitués ou si le mis en cause n’a plus d’existence juridique.

Pour instruire l’affaire, le rapporteur pourra s’adjoindre le concours d’experts externes à la CNIL parmi les magistrats et membres de la juridiction administratives.

Lors de la session de formation du 3 juin prochain « Anticiper et gérer un contrôle de la CNIL », nous reviendrons en détail sur ces évolutions.

Décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019
Formation anticiper et gérer un contrôle de la CNIL

octobre 2021

Référentiel Entrepôt de données de santé

2021-10-25T10:44:44+00:0025 octobre 2021|Actualités Vigier Avocats|

Un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé est paru le 24 octobre 2021 au Journal officiel.

Ce référentiel vise les responsables de traitements qui, dans le cadre de leurs missions d’intérêt public, réunissent des données en vue de leur réutilisation.

Ne sont donc pas concernés par ce référentiel :

  • les entrepôts mis en œuvre par les sociétés privées sur la base légale de l’intérêt légitime ;
  • les traitements de données à caractère personnel mis en œuvre uniquement aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par les professionnels de santé et les systèmes ou service de soins de santé ;
  • les traitements de données à caractère personnel mis en œuvre sur la base du consentement explicite de la personne concernée ;
  • les entrepôts appariés avec la base du système national des données de santé (SNDS).

Le référentiel ne s’adresse qu’aux entrepôts de données de santé constitués dans le cadre de l’exercice d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Le caractère d’intérêt public est différent de l’exigence d’intérêt public imposée pour les finalités des traitements mis en œuvre dans le domaine de la santé au sens de la Loi informatique et libertés (LIL). Ainsi, au sens de la LIL « la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public ».

Le référentiel rappelle que les données contenues dans l’entrepôt ne peuvent pas être traitées à des fins de promotions des produits de santé auprès des professionnels de santé ou d’établissements de santé, à des fins d’exclusion de garanties des contrats d’assurance, ou encore de modification de cotisations ou de prime d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Les données ne peuvent pas être collectées dans le seul but d’alimenter l’entrepôt. Chaque donnée versée doit être justifiée scientifiquement par la prise en charge sanitaire ou médico-sociale ou par la réalisation d’un projet de recherche, d’étude ou d’évaluation spécifique et prévue par un protocole.

Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation font l’objet de formalités spécifiques auprès de la CNIL : un engagement de conformité pour les traitements conformes à une méthodologie de référence ou, dans le cas contraire, une demande d’autorisation auprès de la CNIL.

En outre, les personnes concernées devront être informées de chacune des réutilisations de données les concernant à ces fins précises, hormis les cas où les responsables de traitement sont dans l’impossibilité de réaliser l’information ou que celle-ci exigerait des efforts disproportionnés.

Flash Info – Classement Décideurs Magazine

2021-10-11T21:36:42+00:0011 octobre 2021|Actualités Vigier Avocats|

Reconnu parmi les meilleurs cabinets d’avocats par Décideurs Magazine, le cabinet est classé dans les catégories :

« Santé, Pharma & Biotechnologies »

  • Droit règlementaire
  • Santé électronique

« Concurrence & distribution » Secteur Santé& industrie pharmaceutique

« Innovations, Technologie & Télécoms »

  • Droit des données personnelles
Le cabinet remercie ses clients et ses partenaires pour leur confiance.
Suivre le lien

avril 2021

Loi visant à améliorer le système de santé par la confiance et la simplification

2021-04-28T14:36:02+00:0027 avril 2021|Actualités Vigier Avocats|

La Loi n°2021-502 du 26 avril 2021 visant à améliorer le système de santé par la confiance et la simplification, publiée ce jour au Journal officiel, traduit les aspects non financiers des conclusions du Ségur de la santé.

Un volet consacré aux professionnels de santé étend le dispositif des protocoles locaux de coopération au secteur médico-social et à l’exercice coordonné en ville. La mise en œuvre de ces protocoles devra être déclarée au directeur général de l’Agence régionale de santé (ARS) compétente qui les transmettra à son tour, pour information, à la Haute Autorité de santé. La loi précise que dans le cadre de ces protocoles, les délégants peuvent être disponibles à l’égard des délégués par le biais de la télésanté.

Dans ce même volet, les capacités de prescriptions des sages-femmes et des masseurs-kinésithérapeutes sont élargies.

Cette nouvelle loi traite également de la simplification du recrutement des praticiens hospitaliers et du renforcement du contrôle de cumul d’activités. A ce titre, l’autorité investie du pouvoir de nomination au sein des établissements publics de santé pourra désormais consulter le fichier national de déclaration à l’embauche selon des conditions fixées prochainement en Conseil d’Etat après avis de la Commission nationale de l’informatique et des libertés.

La gouvernance des hôpitaux est rénovée. Le service et le chef de service sont remis au cœur de l’hôpital : les services deviennent l’échelon de référence en matière de qualité et de sécurité des soins et d’encadrement, et les chefs de service sont reconnus.

Une attention particulière sera portée aux contrats d’intérim médical dépassant le plafond règlementaire. Le comptable public pourra ainsi procéder au rejet du paiement des rémunérations irrégulières et en informer le directeur général de l’ARS qui défèrera les actes juridiques conclus par l’établissement de santé avec l’entreprise de travail temporaire devant le tribunal administratif. Ces dispositions entrent en vigueur six mois après la publication de la loi, soit fin octobre 2021.

Autre apport de la loi : le déploiement des « services d’accès aux soins ». Ce nouveau service d’orientation et de guidage dans le système de santé permettra la coopération entre la ville et l’hôpital dans l’accès aux soins non programmés. La régulation médicale commune pour l’accès aux soins associera le service d’aide médicale urgente et la médecine ambulatoire. Les modalités de mises en œuvre seront fixées par décret et/ou arrêté.

Enfin, un volet est consacré à la simplification des démarches des personnes en situation de handicap. Une plateforme officielle d’information et de services personnalisés dénommée « Mon Parcours Handicap » est créée. Les démarches administratives des personnes handicapées et de leurs aidants devraient être facilitées. Un accueil physique et téléphonique complémentaire à la plateforme est établi par chaque département pour assurer l’information et la conduite des démarches des personnes concernées.

Un référent handicap sera désigné dans les services d’urgences, le service d’accès aux soins et les établissements de santé. Ses missions et le cadre de son intervention seront définis par décret.

Recherches – Contrôles qualité & Covid-19

2021-04-25T10:13:02+00:0025 avril 2021|Actualités Vigier Avocats|

La CNIL vient de publier des recommandations provisoires pour le contrôle qualité à distance des essais cliniques pendant la crise sanitaire liée à la COVID-19. Elles s’appliquent jusqu’au 1er juillet 2021, un mois après la fin de l’état d’urgence sanitaire, date susceptible d’évoluer.

Cette dérogation de consultation à distance des données sources des patients concerne  :

  • les études liées à la COVID-19
  • les essais portant sur des maladies graves ou mettant en jeu le pronostic vital
  • les essais pour lesquels l’absence de contrôle de qualité des documents sources contenant des données critiques est susceptible d’entraîner des risques inacceptables pour la sécurité des participants ou de remettre en cause la fiabilité et l’intégrité des résultats de l’essai
  • les essais incluant des participants particulièrement vulnérables, tels que des enfants ou des participants incapables de donner leur consentement éclairé de façon temporaire ou permanente
  • les essais cliniques « pivots » (essais de phase III confirmatoires).

et si la vérification sur place est impossible.

Les mesures de confidentialité appliquées aux attachés de recherches cliniques (ARC) devront être renforcées.

Le monitoring à distance ne répond pas strictement aux méthodologies de référence (MR). Dans le contexte sanitaire actuel, la CNIL estime qu’il n’est pas nécessaire de déposer une demande d’autorisation si la mise en œuvre d’un monitoring à distance représente le seul point de non-conformité aux MR et sous réserve de respecter les recommandations.

Les responsables de traitement et les sous-traitants devront documenter les solutions choisies présentant des garanties suffisantes de protection des droits des personnes et consulter leur DPO.

Le comité de protection des personnes et l’ANSM devront être informés de cette modalité de contrôle de qualité, considérée comme une modification substantielle. Les patients, eux, informés du monitoring à distance ne devront pas s’y être opposés, nécessitant la mise à jour de la notice d’information pour ces études.

Les recommandations édictent les garanties de sécurité à mettre place notamment en termes d’hébergement des données, de leur transmission des centres vers les ARC, des outils de vidéoconférence utilisés ou encore de l’accès direct par les ARC au dossier médical électronique.

Recommandations provisoires

Formations – Règlementation santé

2021-04-14T21:58:24+00:0014 avril 2021|Actualités Vigier Avocats|

Venez faire le point sur

  • Encadrement des avantages (ex-Loi Anti-cadeaux) le 18 mai
  • Données personnelles dans le secteur de la santé 25 mai
  • Anticiper et gérer un contrôle de la CNIL le 27 mai
  • Cycle de formation sur les données personnelles les 31 mai, 1er, 11, 21 & 22 juin
  • Recherches cliniques les 14 & 15 juin
  • Règlement européen 2017/745 relatif aux dispositifs médicaux le 17 juin

Ces formations se déroulent en présentiel ou à distance en fonction des circonstances. Ces formations vous permettront de répondre aux questions tant juridiques que pratiques.

Le nombre de places est limité pour favoriser les échanges, aborder ensemble les situations particulières.

N’hésitez pas à nous adresser vos questions en amont de la formation pour repartir avec des solutions adaptées à l’issue de la session.

Le cabinet est enregistré en tant qu’organisme de formation, référencé au Datadock, rendant possible une prise en charge par les organismes financeurs. Une convention de stage et des attestations de présence sont établies.

Formations

mars 2021

Recherches – Comités éthiques – CPP

2021-03-21T16:41:16+00:0021 mars 2021|Actualités Vigier Avocats|

Le décret n°2021-301 du 19 mars 2021 vient modifier certaines dispositions du code de santé publique relatives aux comités de protection des personnes (« comité éthique » ou « CPP »).

La composition des comités est modifiée : doublement du nombre de membres, disparition des notions de titulaire et suppléants, élargissement des qualifications de certains membres, possibilité d’être membre de plusieurs CPP.

Le système d’information des RIPH est mis en place. Il permet les échanges entre les promoteurs et les CPP pour les demandes d’avis, les informations complémentaires, les retraits ou suspension des lieux de recherches ainsi que les échanges entre les CPP et l’ANSM.

Les échanges entre les CPP et les promoteurs sont encadrés : 10 jours au promoteur pour adresser les informations complémentaires. 5 jours à réception des éléments pour le CPP pour notifier la recevabilité de la demande. Une fois le dossier complet, si le CPP a une demande complémentaire, le promoteur aura 12 jours pour y répondre.

Le promoteur pourra retirer à tout moment sa demande d’avis s’il estime que les conditions de recherches ne sont plus remplies en l’état.

En cas d’avis défavorable, la demande de réexamen par un autre CPP s’effectue sur le système d’information.

Les positions relatives aux délais de traitement des demandes d’avis s’appliquent pour les demandes d’avis déposées à compter du 22 mars 2021. Les dispositions relatives à la composition des CPP s’appliquent lors du prochain renouvellement des membres des CPP.

Faites le point sur le cadre juridique et règlementaire des recherches cliniques les 14 & 15 juin prochain

Décret n°2021-301 du 19 mars 2021 relatif aux recherches impliquant la personne humaine
Formation recherches cliniques

février 2021

Recherches cliniques – Règlementation

2021-02-25T23:38:55+00:0025 février 2021|Actualités Vigier Avocats|

Ce mois-ci, plusieurs arrêtés relatifs aux recherches cliniques ont été publiés au Journal officiel.

le 5 février

  • trois arrêtés fixant le contenu et les modalités de présentation des informations relatives respectivement à la fin d’une RIPH1 portant sur les produits sanguins labiles, les tissus d’origine humaine ou animale et les préparations de thérapie cellulaire, la fin d’une RIPH1 ne portant pas sur des produits de santé et la fin d’une RIPH1 portant sur un produit cosmétique ou de tatouage. Les arrêtés mentionnent que le formulaire de déclaration de fin de recherche, disponible sur le site de l’ANSM, est à renvoyer par voie électronique à l’ANSM ainsi qu’au comité de protection des personnes (CPP) désigné.
  • un arrêté concernait le contenu et les modalités de présentation de la demande de modification substantielle d’une RIPH1 portant sur les produits sanguins labiles, les tissus d’origine humaine ou animale et les préparations de thérapie cellulaire.

le 12 février

  • un arrêté fixant le contenu et les modalités de présentation du dossier de demande d’avis au comité de protection des personnes sur un projet de recherche RIPH1 portant sur les produits sanguins labiles, les organes, les tissus d’origine humaine ou animale et les préparations de thérapie cellulaire. La principale modification concerne le dépôt de dossier de demande d’avis, par voie électronique, au comité de protection des personnes (CPP) désigné qui doit être effectué par le promoteur.

les 19 & 20 février

  • un arrêté fixant les conditions permettant d’identifier un projet de recherche impliquant la personne humaine en lien avec l’épidémie de covid-19 comme relevant d’une priorité nationale ;
  • deux arrêtés mettant à jour les examens mimines pour les RIPH2 et RIPH3, notamment le volume de prélèvement sanguin en fonction du poids de la personne.

Les 11 & 12 mars prochain, le cabinet organise une formation sur les recherches cliniques pour faire le point sur la règlementation applicable aux médicaments, dispositifs médicaux et de diagnostic in vitro.

Pour obtenir le texte des arrêtés, adressez votre demande à contact@vigier-avocats.com

Formation recherches cliniques 11&12 mars 2021

décembre 2020

CNIL – Cookies/traceurs et données de santé

2020-12-19T10:39:47+00:0018 décembre 2020|Actualités Vigier Avocats|

Le 7 décembre, la CNIL a prononcé plusieurs sanctions rendues publiques ces derniers jours.

Les premières sanctions relatives aux cookies et aux traceurs rappellent que tout acteur, qui recourt à des traceurs et cookies, doit mettre son site Internet en conformité avec les nouvelles lignes directrices et la recommandation. En effet, sauf rares exceptions, le recueil du consentement des internautes avant tout dépôt de cookies ou traceurs est obligatoire.

La période de tolérance de six mois laissée par la CNIL arrive à échéance fin mars 2021.

Les secondes ont sanctionné des manquements aux obligations de sécurité de données de santé.  Ces obligations s’appliquent à tous les responsables de traitement, quelque soit leur taille ou mode d’exercice. La CNIL rappelle l’obligation de notification en cas de violation de données en sus des principes élémentaires impératifs en matière de sécurité informatique : la configuration du réseau informatique, le chiffrement des données personnelles hébergées sur les serveurs…

Doit être notifiée à la CNIL toute violation de données personnelles qui engendre un risque pour les personnes concernées dans les meilleurs délais et, si possible, dans les 72 heures après en avoir pris connaissance. Si la violation de données engendre un cas de risque élevé, alors les personnes concernées seront notifiées.

Lignes directrices
Evaluer le niveau de sécurité
Aller en haut