Réussir son analyse d’impact dans le secteur de la santé

secteur de la santéLa Cnil a publié un référentiel destiné à la gestion des cabinets médicaux et paramédicaux ; l’occasion de rappeler le cadre applicable à la réalisation des analyses d’impact sur la protection des données dans le secteur de la santé.

L’obligation de réaliser une analyse d’impact

Le RGPD prévoit la réalisation d’analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.

Par conséquent, des traitements particulièrement sensibles sont susceptibles de mettre en œuvre les acteurs du domaine de la santé. L’obligation de réaliser une telle analyse concerne donc directement plusieurs de ces traitements.

L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact s’impose dans le cas d’un traitement à grande échelle de catégories particulières de données.

Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD suivants :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Ces principes sont eux-mêmes repris dans les publications de la Cnil.

Liste des traitements soumis à une analyse d’impact dans le secteur de la santé

La Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise ainsi qu’une liste des traitements pour lesquels une analyse d’impact n’est pas requise.

Il en ressort donc que :

  • sont soumis à la réalisation d’une analyse d’impact les traitements :
    • de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes : DPI, dispositifs de télémédecine, dispositifs de prise de décision médicale, etc. ;
    • portant sur des données génétiques de patients : recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques, gestion de la consultation en génétique dans un établissement de santé ;
    • de données de santé nécessaires à la constitution d’un entrepôt de données personnelles ou d’un registre ;
  • ne sont pas soumis à la réalisation d’une analyse d’impact :
    • les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet, d’une officine de pharmacie ou d’un laboratoire de biologie médicale : gestion des rendez-vous, des dossiers médicaux, édition des ordonnances, suivi des patients, établissements et télétransmission des feuilles de soins, communication entre professionnels, comptabilité, etc.

Par ailleurs, dans son référentiel destiné à la gestion des cabinets médicaux et paramédicaux, la Cnil précise que :

  • « la réalisation d’une AIPD et la désignation d’un délégué à la protection des données (DPO) devraient être nécessaires pour les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir d’un seuil annuel de 10 000 patients ».

Les outils mis à disposition par la Cnil

La Cnil met aussi à disposition plusieurs outils participant à la réalisation d’une analyse d’impact sur la protection des données :

  • les guides AIPD publiés par la Cnil ;
  • le logiciel open source PIA disponible sur le site internet de la Cnil.

Les spécificités de l’analyse d’impact dans le secteur de la santé

L’analyse d’impact sur la protection des données comprend au minimum (1) :

  • une description systématique des opérations de traitement envisagées et les finalités du traitement :
    • les différents acteurs participant au traitement : responsables conjoints, sous-traitants et sous-traitants ultérieurs du responsable de traitement ;
    • les catégories de données personnelles objet du traitement, leur cycle de vie et les supports associés.
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités, en particulier :
    • l’identification des fondements juridiques du traitement ainsi que les exceptions au principe d’interdiction de traiter les données ;
    • la démonstration du respect des principes fondamentaux relatifs au traitement des données (2) ;
    • la preuve du respect des droits des personnes concernées.
  • une évaluation des risques sur les droits et libertés des personnes concernées en termes de vraisemblance et de gravité :
    • il convient donc d’identifier les menaces, leurs sources ainsi que leurs impacts sur les personnes concernées ; s’agissant notamment de l’accès illégitime à des données, la modification non désirée de ces données ou la disparition des données ;
    • dans le secteur de la santé, si la vraisemblance des risques peut être limitée par des mesures de sécurité robustes, il est difficile de contrôler et de minimiser la gravité de leur impact : atteinte à la vie privée et au secret médical résultant d’un accès illégitime, retard concernant la prise en charge médicale résultant de la perte des données, erreur dans la prise résultant d’une modification indésirée. Ces atteintes sont d’autant plus graves que l’impact sera difficilement réparable.

Mais surtout, elle comprend les mesures envisagées pour faire face aux risques ; en ce compris les garanties, mesures et mécanismes de sécurité permettant d’assurer la protection des données et d’apporter la preuve du respect du règlement.

Il convient donc de s’assurer que les mesures de sécurité mises en œuvre correspondent à l’état de l’art du secteur ; par exemple, l’hébergement certifié (3), le respect des PGSSI-S (4) et de la doctrine du numérique en santé.

Eric Le Quellenec
Lexing Informatique Conseil

Chloé Gaveau
Lexing Santé numérique

(1) conformément à l’article 35 du RGPD.
(2) Principes issus de l’article 5 du RGPD, en particulier s’agissant de la minimisation des données, leur exactitude ainsi que leur durée de conservation.
(3) Conformément à l’article L. 1111-8 du Code de la santé publique.
(4) Référentiels de sécurité des systèmes d’information de santé publiés par l’Agence du Numérique en Santé visés à l’article L. 1110-4-1 du Code de la santé publique.




La COVID-19 reconnue comme maladie professionnelle

la COVID-19

Un décret va prochainement fixer un tableau de maladies professionnelles dédié à la COVID-19 (1). Il s’agit de permettre à tous les soignants atteints d’une forme sévère de COVID-19 de bénéficier d’une reconnaissance de maladie professionnelle.

Ce décret va concerner :

  • tous les soignants des établissements sanitaires et médico-sociaux
  • les personnels non-soignants travaillant en présentiel dans ces structures
  • les personnes assurant le transport et l’accompagnement des personnes atteintes du Covid-19
  • les professionnels de santé libéraux

En outre, la création d’un comité unique de reconnaissance national dédié au COVID-19 va faciliter la procédure de reconnaissance de maladie professionnelle pour les travailleurs non-soignants. Le texte n’exige aucun taux d’incapacité permanente.

Mais surtout, cette reconnaissance va permettre :

  • une prise en charge des frais de soins à hauteur de 100 % des tarifs d’assurance maladie ;
  • une meilleure prise en charge des indemnités journalières ;
  • le versement d’une indemnité (rente ou capital) en cas d’incapacité permanente ;
  • l’allocation d’une rente aux ayants-droit en cas de décès.

Enfin, s’agissant du coût de cette mesure, la dépense sera mutualisée entre tous les employeurs sera mise en place par un arrêté.

Cette mutualisation se fera via la part mutualisée de leur cotisation accidents du travail et maladies professionnelles. L’objectif : éviter aux employeurs concernés de supporter la charge financière de l’indemnisation.

De même, s’agissant des professionnels de santé libéraux qui ne bénéficient pas d’une couverture au titre des maladies professionnelles, la mutualisation sera assurée par l’État.

Emmanuel Walle
Lexing Droit social numérique

(1) Ministère du Travail, communiqué du 30 juin 2020.




L’IA et la santé : quels enjeux juridiques et éthiques ?

IA et la santéMarguerite Brac de la Perrière décrypte pour Planète Robots, les enjeux juridiques et éthiques de l’IA et la santé (1).

Le dernier numéro de Planète Robots (n°63, juin-juillet-août 2020, numéro double) consacre un très large dossier au secteur médical, intitulé « Les robots et l’IA, une chance pour la santé ? ».

Le marché mondial de l’intelligence artificielle dans le secteur de la santé est en plein essor. Il pourrait atteindre 6,6 Mds de dollars en 2021, contre 634 M$ en 2014 (2).

Les IA sont désormais très largement utilisées dans le secteur de la santé, et ont été d’un grand secours pendant la crise sanitaire. Elle a ouvert l’ère d’une médecine de précision et d’une médecine personnalisée, mais aussi une médecine prédictive et préventive.  

Ses applications telles que l’aide au diagnostic, l’aide à la définition des traitements, les traitements personnalisés à partir du séquençage à haut débit du génome, la chirurgie assistée, le suivi des patients à distance, les robots compagnons, les prothèses intelligentes, permettent d’améliorer significativement la qualité et l’efficience des soins

Les domaines d’application concernent toutes les spécialités, mais en premier lieu l’imagerie et la dermatologie, et l’oncologie, sans pour autant oublier la médecine générale et la gériatrie.

L’IA et la santé, une affaire de données…

Les progrès spectaculaires, qui révolutionnent les services et prestations de soins de santé, s’accompagnent d’épineuses questions éthiques, déontologiques, mais aussi relatives à la responsabilité.

En premier lieu, la valeur créée par l’IA provient davantage des données nécessaires à l’apprentissage que de l’algorithme. Ce qui suppose le respect des règles gouvernant la protection des données personnelles ; en premier lieu celles ayant trait à :

  • l’information et au consentement des personnes qu’elles concernent,
  • la sécurité des données, mais aussi
  • la compatibilité des finalités de l’IA avec les finalités initiales des traitements.

Mais surtout, selon Marguerite Brac de La Perrière :

Il ne saurait y avoir d’algorithmes sans recours à des données ».

L’avocate propose ainsi un éclairage sur les problématiques juridiques et éthiques de l’IA dans la santé articulées autour :

  • de la protection des données, tant au niveau de la conception de l’outil, que dans le cadre de son utilisation ;
  • du rôle et de la responsabilité des éditeurs et utilisateurs professionnels de santé, dans le respect du principe de garantie humaine consacré dans le projet de loi de bioéthique ;
  • de la qualification et la certification des outils.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Marguerite Brac de la Perrière pour Planète Robots, « L’IA et la santé : quels enjeux juridiques et éthiques ? », n°63, Juin-Juillet-Août 2020.
(2) Intelligence artificielle : État de l’art et perspectives pour la France, Etude Atawao Consulting pour le compte de la Direction générale des entreprises (DGE), le Commissariat général à l’égalité des territoires (CGET) et TECH’IN France, février 2019, disponible sur https://www.entreprises.gouv.fr/




Nouveau protocole de déconfinement pour les entreprises

protocole de déconfinement Le Ministère du Travail vient de publier un nouveau protocole de déconfinement en entreprise, se substituant à celui qui avait été publié le 3 mai 2020.

Assouplissement des règles précédemment édictées

Le nouveau protocole de déconfinement à destination des entreprises publié le 24 juin 2020 vient se substituer au protocole du 3 mai. Il remplace également les 90 guides métiers élaborés par le Ministère du Travail en partenariat avec les autorités sanitaires, les branches professionnelles et les partenaires sociaux. Ces textes n’ont plus de valeur normative. Ils seront prochainement remplacés par une FAQ répondant aux questions concrètes des entreprises.

Un protocole de déconfinement prenant en compte l’évolution de la situation sanitaire

Le protocole de déconfinement du 24 juin 2020 vient assouplir les règles et recommandations édictées par le Ministère du Travail à destination des entreprises. Il vise à faciliter la reprise ou la poursuite de l’activité dans le contexte du déconfinement. Enfin, il prendre en compte les évolutions de la situation sanitaires observées durant les dernières semaines.

Cet assouplissement ne signifie pas que les risques liés à l’épidémie de Covid-19 ont disparus. Il appartient en effet à chacun de rester vigilant. Néanmoins, la situation sanitaire s’améliore significativement pour le moment. Il appartenait au Ministère du travail de donner un cadre plus souple aux entreprises afin de les accompagner et de les encourager à reprendre ou poursuivre leur activité dans des conditions moins contraignantes.

Les mesures phares à retenir

Le nouveau protocole de déconfinement permet un retour à la normalité de l’activité économique. Il maintient la mise en garde des entreprises en leur imposant les recommandations et obligations suivantes :

  • Maintien du respect des gestes barrière sur les lieux de travail avec certains allègements :
    • La distance d’au moins un mètre entre les personnes reste la même mais le respect des 4 m² entre chaque personne est passé au rang d’outil proposé à titre indicatif ;
    • Dans le cas où le respect de la distance d’un mètre entre chacun ne peut être assuré de manière efficiente, le port du masque reste obligatoire ;
  • Le télétravail n’est plus la norme mais reste un outil à privilégier. Il peut également être utilisé comme solution pour un retour progressif ou alterné à l’activité présentielle habituelle lorsqu’il est possible ;
  • Les personnes à risques doivent pouvoir continuer à télétravailler ou bénéficier de mesures adaptées de protection renforcée ;
  • Protocole de prise en charge d’une personne déclarant les symptômes et des personnes entrées en contact avec elle.

Enfin, il comporte également des annexes sur :

  • les « bonnes pratiques à promouvoir dans la gestion des flux de personnes » ;
  • les recommandations en matière de « nettoyage/désinfection des surfaces et aération des locaux » et de port des « masques ».

Emmanuel Walle
Elena Blot
Lexing Droit social numérique




Les bouleversements de la santé numérique

la santé numériqueMarguerite Brac de la Perrière répond aux questions de DII sur les bouleversements de la santé numérique : nouveaux besoins, nouveaux usages, nouvelles synergies… Que change la crise du Covid-19 à l’écosystème de la santé numérique ?

A cette occasion, elle rappelle les conditions de développement depuis 2009 des actes de télémédecine que sont la téléconsultation, la téléexpertise, la télésurveillance, la téléassistance et la régulation médicale.

Citant Jean Monnet :

Les hommes n’acceptent le changement que dans la nécessité et ne voient la nécessité que dans la crise »,

Marguerite Brac de La Perrière explique comment la crise liée au Covid-19 a bouleversé la santé numérique, secteur déjà en forte croissance depuis une dizaine d’années, avec notamment, le développement des trois premiers actes (téléconsultation, téléexpertise, télésurveillance).

En effet, avant la crise, le recours à la télémédecine restait assez limité et concernait surtout les territoires en pénurie de médecins ou les personnes atteintes de maladies chroniques. Avec la crise, les usages se sont massivement développés pour répondre à un enjeu de santé publique, au moyen d’assouplissements substantiels et successifs des conditions réglementaires de prise en charge et de réalisation.

Ainsi, l’augmentation du nombre de téléconsultations est considérable. On a compté jusqu’à un million de téléconsultations hebdomadaires remboursées, alors que l’on en a décompté 75 000 sur 2019.

Cette interview parait en avant première de la conférence E-Santé à l’ère de l’IA, organisée le 30 septembre 2020. Lire l’intégralité de l’interview

La santé numérique

La santé numérique à l’ère de l’IA

Plus généralement, le Covid-19 joue un rôle crucial dans l’accélération des usages digitaux en santé.

L’IA, la réalité virtuelle, les objets connectés connaissent un déploiement massif. Cela permet aux chercheurs et praticiens d’améliorer les conditions de prise en charge des patients. Ils bénéficient de nombreuses données et indicateurs, d’aide au diagnostic et à la thérapeutique, et d’outils de suivi des patients.

Par ailleurs, le secteur est en pleine transformation numérique. En effet, le gouvernement a fait de la numérisation de la santé l’une de ses priorités (plan « Ma Santé 2022 »). La crise sanitaire mondiale rebat les cartes du jeu. La clarification de la réglementation offre aux acteurs du secteur l’opportunité de prendre une place dans un marché en croissance.

Isabelle Pottier
Lexing Département Etudes et publications




La mise en œuvre de StopCovid

mise en œuvre de StopCovidComment opérer la mise en œuvre de StopCovid ? Pour clarifier la situation, la Cnil a publié sur son site internet les réponses aux questions fréquentes (1). Le but : mieux comprendre ses avis et recommandations sur la mise en œuvre de l’application StopCovid (2),

Ainsi, au 8 juin, l’application a franchi le cap du million d’utilisateurs ; alors que le décret encadrant son déploiement n’est paru au journal officiel que le 30 mai 2020. Il a préalablement recueilli l’avis de la Cnil (3).

Le nombre d’activations de StopCovid a atteint 1,4 million en une semaine, selon les derniers chiffres du Monde provenant du cabinet de Cédric O. Cependant, c’est loin d’être suffisant. Au point qu’une campagne de communication va être lancée par le gouvernement pour relancer les téléchargements. Elle ciblera particulièrement les lieux à forte densité (transports en commun notamment).

En bref, « l’application StopCovid est une application mobile mise à disposition par le Gouvernement dans le cadre de sa stratégie globale de déconfinement progressif. Disponible sur ordiphones (smartphones), son objectif est d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la COVID-19. Il s’agit d’un dispositif de suivi de contacts (contact tracing), qui repose sur le volontariat des personnes et utilise la technologie Bluetooth ».

Depuis son lancement, le gouvernement tente de développer l’usage de StopCovid au sein des clusters ou des départements particulièrement touchés. Il a par exemple, adressé un SMS courant juin, aux abonnés de téléphonie mobile guyanais les informant de l’existence de l’application. La Guyane est, en effet, la zone de France la plus touchée par le virus.

La mise en œuvre de StopCovid en quelques questions

Thématiques abordées Réponses apportées
Volontariat

– Absence de conséquences juridiques défavorables pour les personnes ne souhaitant pas installer l’application ;

– Absence de droit spécifique accordé aux personnes ayant installé le dispositif.

Anonymat

– Absence d’anonymat au sens de la réglementation relative à la protection des données :

– Echanges d’identifiants pseudonymes (suite de chiffres uniques pour chaque terminal) entre les smartphones, caractérisés de données à caractère personnel.

Mineurs – Invitation de la Cnil à insérer une information spécifique à destination des mineurs et de leurs parents
Conservation des données

– Durée de mise en œuvre du dispositif :

– 6 mois à compter de la fin de l’état d’urgence sanitaire, puis suppression.

– Durée de conservation des historiques de proximité des personnes diagnostiquées ou testées positives, des identifiants temporaires échangés entre les applications, des horodatages :

– 15 jours, puis suppression.

Transfert des données hors UE Non
Accès aux données Sous-traitants (hébergement, maintenance du système, etc.)
Droits

– Droit de s’opposer au traitement ;

– Droit de demander l’effacement des données.

Les contrôles à venir

La Cnil a annoncé procéder désormais à une série de contrôles de l’application StopCovid, ainsi que des fichiers SI-DEP et Contact Covid, mis en œuvre par le gouvernement afin de s’assurer du bon fonctionnement de ces dispositifs.

Pour rappel, les fichiers SI-DEP et Contact Covid permettent d’identifier les personnes contaminées ou susceptibles de l’avoir été. Ainsi, elles permettent de suivre les chaînes de contamination et d’assurer la prise en charge sanitaire des personnes ; de même que leur accompagnement. Enfin, elles permettent d’assurer la surveillance épidémiologique du virus.

La Cnil a aussi annoncé que les points de contrôle seront les suivants :

  • modalités de recueil de consentement et d’information des personnes ;
  • sécurité des systèmes d’information ;
  • flux de données et destinataires ;
  • respect des droits d’accès ou d’opposition des personnes.

Enfin, en cas de manquement graves ou répétées, la Cnil pourra prononcer des mises en demeure et/ou des sanctions.

Emmanuel Walle
Lexing Département social numérique

Isabelle Pottier
Lexing Département Etudes et publications

(1) « L’application mobile StopCovid en questions », 5 juin 2020, cnil.fr
(2) Délibération 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » ; Délibération 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommé « StopCovid » ;
(3) Voir Isabelle Pottier, « Parution du décret encadrant l’application StopCovid », publié le 1er juin 2019.




Registre d’identification des salariés atteints du Covid-19

identification des salariés atteints du Covid-19L’obligation de sécurité permet-elle à l’employeur de tenir un registre d’identification des salariés atteints du Covid-19 ?

L’obligation de sécurité de l’employeur face au Covid-19

Au nom de son obligation de sécurité, l’employeur est tenu de prendre « les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs » (Article L.4121-1 du Code du travail). Cette obligation passe notamment par :

  • des actions de préventions des risques professionnels ;
  • des actions d’information et de formations ;
  • la mise en place d’une organisation et de moyens adaptés.

L’employeur doit garantir la sécurité des salariés dans ce contexte de déconfinement et de retour des salariés dans les locaux. Il est donc confronté à la problématique d’identification des salariés infectés pour éviter une propagation du virus au travail.

L’identification des salariés atteints du Covid-19

Le Ministère du travail a publié des fiches conseils par métier à destination des salariés et des employeurs afin de les accompagner dans la mise en œuvre de mesures de protection contre le Covid-19 sur le lieu de travail (Fiches conseils métiers publiés par le Ministère du travail).

De plus, il est important pour l’employeur de pouvoir être informé lorsque ses collaborateurs ont été contaminés par le Covid-19. Ils seront ainsi identifiés et des mesures seront prises pour éviter toute contamination générale  comme :

  • le placement en quatorzaine ;
  • l’information des personnes ayant été en contact avec le salarié concerné, dans le respect de sa vie privé.

L’employeur peut donc, pour raison de sécurité, créer un registre d’identification des salariés infectés, ayant été exposés ou suspectés.

Le respect du principe de protection des données à caractère personnel

Cependant, s’il met en place un tel registre, il doit le faire dans le respect des principes encadrant la protection des données à caractère personnel prévus à l’article 5 du RGPD et notamment :

  • principe de minimisation des données traitées : seules les données strictement nécessaires à l’accomplissement de la finalité du traitement peuvent être traitées. Par exemple :
    • identité du salarié,
    • situation de télétravail ou non et durée,
    • visite auprès de la médecine du travail,
    • date de signalement.
  • principe d’exactitude des données traitées : les données traitées doivent être mises à jour en fonction de la situation du salarié. Par exemple :
    • cas d’un salarié suspecté d’avoir été exposé au Covid-19 qui réalise un test et qui informe l’employeur du résultat positif ou négatif.
  • limitation des durées de conservation : les données permettant l’identification de la personne ne doivent pas être conservées au-delà de ce qui est strictement nécessaire au regard des finalités poursuivies. Ceci implique qu’elles ne soient pas être conservées au-delà de la période d’épidémie en cours.

Emmanuel Walle
Elena Blot
Lexing Département social numérique




Santé : Le droit peut-il être désactivé par l’état d’urgence ?

état d’urgence

La question de la désactivation du droit par l’état d’urgence peut sembler inattendue alors que plus de 300 textes ont à ce jour été adoptés pour y faire face.

Marguerite Brac de La Perrière, directrice du département Droit de la santé numérique du cabinet Lexing Alain Bensoussan Avocats, consacre une trilogie d’articles sur le thème de la désactivation du droit par l’état d’urgence, dans une « chronique partagée » publiée sur Village de la Justice (1).

L’état d’urgence permet de prendre des mesures exceptionnelles proportionnées aux risques. Maître Marguerite Brac de la Perrière fait le point sur les mesures de sécurité sanitaire prises dans ce contexte.

Certaines d’entre elles apparaissent très polémiques, parce qu’elles ne sont pas proportionnées aux risques mais à l’impréparation du gouvernement, ou parce qu’elles portent atteinte à des fondamentaux tels que la liberté de prescription des médecins.

D’autres sont libéralisatrices, en particulier s’agissant de la télémédecine et de la télésanté.

Enfin elle rappelle que les dispositifs et traitements de données de santé à caractère personnel mis en oeuvre doivent être appréciés en premier lieu au regard de leur pertinence scientifique, laquelle doit être avérée, puis en second lieu au regard de la proportionnalité des atteintes au secret médical et à la protection des données de santé à caractère personnel.

En effet, cristalliser le débat autour de considérations juridiques avant même d’avoir apprécié la légitimité scientifique, ou sans l’avoir démontrée, conduit à durcir les conditions de mise en oeuvre de traitements plutôt que de les écarter.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

(1) Lire l’article : Marguerite Brac de la Perrière, « Faisons un point en droit de la santé », Village de la Justice, 25 mai 2020.




Les technologies au cœur de la lutte contre le Covid-19

contre le Covid-19

A l’heure du déconfinement, les technologies sont plus que jamais au cœur de la lutte contre le Covid-19, comme l’explique Alain Bensoussan dans un article publié le 22 mai 2020 sur son blog du figaro.fr

Depuis les IA déployées dans les hôpitaux chinois pour détecter précocement les porteurs du virus, jusqu’aux solutions de « traçage numérique » (type StopCovid), en passant par les drones de surveillance, les caméras thermiques ou les applications dédiées au retour des salariés en entreprise, les technologies auront joué un rôle central dans la lutte contre la pandémie.

Pour Alain Bensoussan, une évidence : « il convient plus que jamais de libérer le potentiel des technologies d’identification en prenant en compte l’essence du droit à la protection des données ».

Ces technologies sont une source d’opportunités dans le combat que nous avons à mener. L’important n’est pas tant la donnée que son utilisation après le confinement. Il faut mettre en place des garanties qui permettront de pouvoir utiliser toutes les technologies permettant d’exploiter la « data » dans ces circonstances exceptionnelles de crise épidémiologique.

Si l’on veut améliorer la situation sanitaire et économique en permettant un déconfinement dans les meilleures conditions, il faut en effet pouvoir recourir aux technologies du 21ème siècle sans en avoir peur.

A la condition selon Alain Bensoussan, de « mettre en place quelques garde-fous, et de garder présent à l’esprit que la protection de la vie privée s’arrête lorsque l’on est privé de vie. La vie privée ne saurait en effet être supérieure à la vie elle-même ».

Des premières précautions sont à prévoir telles que la limitations des dispositifs dans le temps (désactivation après la pandémie), l’anonymisation des données collectées, la nécessaire information des personnes ou encore la destruction des informations à l’issue de la situation d’urgence sanitaire. (…)

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Lire la suite sur le blog expert « Droit des technologies avancées » du Figaro, A. Bensoussan, « Covid-19 : libérer les technologies d’identification », le 22 mai 2020.




Téléconsultation médicale : effet de crise ou service d’avenir ?

effet de crise ou service d'avenirMarguerite Brac de La Perrière participait le 6 mai 2020 à un webinaire organisé par l’Argus de l’assurance consacré à la téléconsultation médicale.

A l’heure où la téléconsultation connaît une croissance exponentielle liée à la pandémie du Covid-19 et aux mesures de confinement, l’Argus de l’assurance organisait, le 6 mai 2020, un webinaire sur le thème « Téléconsultation : effet de crise ou service d’avenir ? » consacré au développement de ce nouveau service et aux dérogations mises en place pour faciliter son recours.

Afin de ralentir la circulation du coronavirus et limiter le nombre de contaminations, le gouvernement a en effet décidé d’assouplir par décrets les règles de la téléconsultation.

Par deux décrets parus au Journal officiel les 10 et 20 mars 2020, la réalisation et le remboursement des actes de téléconsultation ont été assouplis en dérogation aux principes définis dans la convention médicale.

Cet assouplissement étroitement lié à l’épidémie de Covid-19 va-t-il perdurer une fois la crise passée ?

Exceptionnellement prises en charge à 100% par l’Assurance Maladie, les téléconsultations s’effectuent de plus en plus en tiers payant pour faciliter l’accès aux soins et simplifier les modalités de facturation. Quelles conséquences alors pour les complémentaires santé ?

Alors que la téléconsultation restait jusqu’à présent très limitée en pratique, son développement récent, s’il vient à se confirmer dans la durée, sera-t-il une opportunité pour les assureurs de diversifier leurs offres santé, de plus en plus standardisées ?

Marguerite Brac de La PerrièreAutant de questions évoquées lors de ce webinaire animé par François Limoge, rédacteur en chef de L’Argus de l’assurance, auquel participaient :

Téléconsultation : effet de crise ou service d’avenir ?

Au programme :

  • Décryptage du nouveau cadre réglementaire de la téléconsultation, conditions techniques de réalisation de l’acte, patients concernés, suppression du ticket modérateur ;
  • L’assouplissement des conditions de la prise en charge de la téléconsultation lié à l’épidémie de Covid-19 va-t-il perdurer une fois la crise passée ?
  • Quels risques à l’égard du secret médical et de la protection des données associés à ces assouplissements ?
  • Quelle responsabilité médicale pour les praticiens ? Quels points de vigilance ?
  • Quel avenir pour les services privés de téléconsultation des complémentaires santé ?

L’occasion pour Marguerite Brac de La Perriere de rappeler l’historique et les conditions, antérieures à la pandémie au Covid-19, de réalisation et prise en charge de la téléconsultation (vidéotransmission, sécurité des échanges, consultation en présentiel dans les 12 derniers mois sauf exceptions, prise en charge médicale coordonnée, territorialité) et de présenter le cadre, modifié par des textes réglementaires successifs, et les assouplissements en résultant, s’agissant des patients concernés, des conditions de réalisation et de prise en charge.

Nul doute que le recours à la téléconsultation sera beaucoup plus massif après la crise qu’il ne l’a été avant celle-ci, grâce à l’appropriation de ces modalités de réalisation de l’acte médical par les acteurs et les patients. La société française des anesthésistes réanimateurs, notamment, envisage déjà de la généraliser pour les consultations pré-anesthésiques.

Toutefois les conditions dérogatoires ne pourront perdurer au-delà de l’état d’urgence sanitaire. En effet, la prise en charge médicale coordonnée et territoriale est un objectif de santé publique visant à l’efficience et la rationalisation des soins. Dans le même sens, les conditions techniques de réalisation des actes de téléconsultation, doivent permettre le respect du secret médical, la protection de la vie privée et des données de santé à caractère personnel, supposant nécessairement a minima un échange sécurisé des documents médicaux, un hébergement agréé et le respect des principales mesures de la PGSSI-S. C’est d’ailleurs dans le respect de ces prérequis juridico-techniques que les opérateurs « historiques » ont déployé leurs services.

Pour revoir le webinaire : « Téléconsultation : effet de crise ou service d’avenir ? ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats,
Directeur de la communication juridique




Déconfinement et responsabilité de l’employeur

Déconfinement et responsabilité

Déconfinement et responsabilité : si la sécurité au travail est de la responsabilité de l’employeur, il ne lui incombe pas de garantir l’absence de toute exposition des salariés au virus mais de l’éviter le plus possible.

Si ce risque est inévitable, l’employeur doit l’évaluer régulièrement en fonction notamment des recommandations du gouvernement. Il pourra ensuite prendre toutes les mesures utiles pour protéger les salariés exposés.

Dès lors, selon le ministère du Travail, il incombe à l’employeur dans la situation actuelle de :

  • procéder à l’évaluation des risques inévitables encourus sur les lieux de travail, du fait de la nature du travail ;
  • déterminer, en fonction de cette évaluation les mesures de prévention les plus pertinentes ;
  • associer les représentants du personnel à ce travail ;
  • solliciter lorsque cela est possible le service de médecine du travail. Il a pour mission de conseiller les employeurs, les salariés et leurs représentants. Il peut préconiser toute information utile sur les mesures de protection efficaces et la mise en œuvre des gestes barrière ;
  • respecter et faire respecter les gestes barrière recommandés par les autorités sanitaires.

Comment évaluer la responsabilité de l’employeur ?

Au cas par cas, au regard de plusieurs critères :

  • la nature des activités du salarié et son niveau d’exposition aux risques ;
  • les compétences de l’intéressé, l’expérience ;
  • l’étendue des mesures prises par l’employeur, en termes de formation, d’information, d’organisation du travail, d’instructions délivrées à la chaîne hiérarchique.

L’employeur doit réactualiser ces mesures, le cas échéant, en fonction de l’évolution de la situation dans l’entreprise mais aussi des instructions des pouvoirs publics.

En cas de contamination, il peut être pris en charge au titre d’un accident du travail par la sécurité sociale. Il y a toutefois des conditions. Une faute inexcusable de l’employeur ouvrant droit à réparation intégrale du préjudice ne sera retenue qu’en cas de démonstration  :

  • que celui-ci était conscient du danger auquel était exposé le salarié et ;
  • qu’il n’a pas pris les mesures nécessaires pour l’en préserver.

Déconfinement et responsabilité : les obligations de l’employeur

L’obligation de l’employeur est une obligation de moyen renforcée. L’employeur peut donc s’exonérer de sa responsabilité en prouvant qu’il a mis en œuvre les mesures de prévention. S’agissant de la responsabilité pénale de l’employeur, elle demeure en période de crise sanitaire.

Néanmoins, le ministère du Travail indique que l’employeur qui ne peut mettre en télétravail ses salariés mais qui :

  • met à leur disposition des moyens de protection recommandés par les pouvoirs publics (savons, gel hydro alcoolique, etc.) ;
  • les informe régulièrement et de façon actualisée sur la prévention des risques de contamination (rappel des gestes barrière et de distanciation) en adaptant leur formation à la situation de l’entreprise et à la nature des postes occupés (fiches métier disponibles sur le site du Ministère du travail),

ne devrait pas, sous réserve de l’appréciation souveraine des juges, encourir de sanction pénale.

Emmanuel Walle
Lexing Droit social numérique




Déconfinement et protection de la santé des salariés

Déconfinement et protectionDéconfinement et protection des salariés, dans cette perspective, un grand nombre d’entreprises s’interroge sur le retour de leurs employés dans leurs locaux et les mesures de sécurité pour assurer la santé des salariés.

Le ministère du Travail a publié à destination des employeurs, une plaquette d’information « Quelles mesures l’employeur doit-il prendre pour protéger la santé de ses salariés face au virus ? ».

L’employeur doit réévaluer les risques.

Concrètement, il s’agit de passer en revue les circonstances dans lesquelles les salariés peuvent être exposés au virus et mettre en œuvre les mesures nécessaires pour éviter ou, à défaut, limiter au plus bas le risque :

  • le télétravail ;
  • l’organisation du travail (règles de distances sociales) ;
  • équipements (éloignement des guichets, etc.) ;
  • information ;
  • sensibilisation et consignes de travail.

Les représentants du personnel sont bien placés pour aider à identifier les situations à risque au quotidien et la faisabilité réelle des actions que l’employeur envisage de mettre en œuvre.

Déconfinement et protection des salariés : les recommandations

Les recommandations du ministère du Travail sont les suivantes :

  • généralisation du télétravail et prise en compte des vulnérabilités liées à la santé ;
  • respect des mesures d’hygiène ;
  • prise de mesures en cas de contamination ou suspicion de contamination ;
  • respect des règles de nettoyage des locaux, sols et surfaces ;
  • prise en compte des situations de travail particulières :
    • salariés en contact avec le public
      • secteur de la livraison : gel pour nettoyage de mains à chaque livraison, dépôt au sol du colis en présence du client sans remise en main propre, remplacement de la signature par une photo ;
      • secteur de la grande distribution : savon/gel pour nettoyage de mains, ouverture d’une caisse sur deux et demande aux clients de passer par une travée vide avant de récupérer leurs achats sur la caisse ou ils ont été scannés par le caissier, mise en place de parois de plexiglas au niveau des postes de caisse dès lors que la mesure de distanciation ne peut être tenue avec le client ;
    • salariés du secteur de la logistique
      • mise à disposition de savon/gel pour nettoyage des mains ;
      • espacement des postes de travail ;
      • organisation d’une rotation des équipes après nettoyage des lieux communs ;
      • réalisation des chargements/déchargements de camion par une seule personne en s’assurant de la mise à disposition d’aides mécaniques ;
      • fractionnement des pauses afin de réduire les croisements et la promiscuité dans les salles de pause.

Par ailleurs, le ministère du Travail conseille aux entreprises de consulter le site internet de leur branche professionnelle pour compléter les conseils et préconisations propres à leur secteur d’activité et à leur métier.

Le ministère du travail publie également régulièrement des fiches conseils par métier à retrouver ici.

Emmanuel Walle
Lexing Droit social numérique




Réalité virtuelle et augmentée au service de la santé

Réalité virtuelle et augmentéeMarguerite Brac de La Perrière participe au dossier Réalité virtuelle et augmentée spécial Santé publié par Laval Virtual, « The VR/AR special edition Health Clinical VR Medicine Well Being ».

Le service de veille de Laval Virtual – salon sur l’innovation et les nouvelles technologies orienté sur la réalité virtuelle et la réalité augmentée qui vient de relever avec brio le défi d’organiser un salon 100% virtuel en pleine période de confinement – a lancé récemment une série de dossiers thématiques dédiées à l’application et aux usages de la VR/AR dans différents domaines ou secteurs industriel.

Après un premier numéro dédié au secteur automobile vient d’être mis en ligne un numéro consacré à la santé. Rédigé en anglais, intitulé « The VR/AR special edition Health Clinical VR Medicine Well Being », il fait la lumière, par des témoignages d’acteurs du secteur, sur l’actualité et les avancées de la VR/AR dans le domaine médical.

Marguerite Brac de La Perrière

Comme le souligne Marguerite Brac de La Perrière, directrice du département Santé numérique du cabinet Lexing Alain Bensoussan Avocats, dans son article dédié aux aspects juridiques de la réalité virtuelle et augmentée appliquée à la santé (« Virtual or augmented health reality from a legal perspective », p.105), « les applications de réalité virtuelle et de réalité augmentée ont un énorme impact dans le domaine de la santé, en particulier pour réduire l’inconfort des patients et pour améliorer l’efficacité et l’efficience des procédures médicales ».

Afin de saisir les enjeux juridiques liés à la réalité virtuelle d’une part et à la réalité augmentée d’autre part, il convient selon elle, en l’absence de définition juridique, de privilégier une approche technique pour en délimiter les contours.

The VR/AR special edition health Clinical VR Medicine Well Being
En langue anglaise, 128 pages
A télécharger sur Laval-Virtual.com

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




StopCovid : défendre le contact tracing

stopcovidInvité le samedi 11 avril par Julien Pasquet dans l’Intégrale Week-end de CNews (1), Alain Bensoussan était interrogé sur la polémique autour du tracking à l’occasion du projet StopCovid, une application pour smartphone visant à lutter contre la propagation du Covid-19.

Cette application que le gouvernement développe en partenariat avec l’inria est-elle sans danger pour les libertés individuelles ? Elle revêt un enjeu sanitaire majeur, mais également d’un enjeu de libertés publiques.

Libérer le potentiel des technologies

La technologie est source d’opportunités pour lutter contre le Covid-19.

« Dans un moment aussi particulier, il faut libérer les technologies » explique Alain Bensoussan. Nous sommes tous en restriction sur de nombreuses libertés fondamentales et la protection des données en est une parmi tant d’autres. L’importance dans ce domaine est d’observer le « coût/avantage ». Des pays comme la Corée du Sud ont montré qu’il y avait un  vrai avantage.

L’important n’est pas tant la donnée que son utilisation après le confinement. Il faut donc prévoir des garde-fous qui permettront de pouvoir utiliser toutes les technologies permettant d’exploiter la « data ».

Le Règlement européen sur la protection des données du 27 avril 2016 (RGPD) permet au gouvernement d’utiliser les données personnelles de santé pour « des motifs d’intérêt public dans le domaine de la santé publique » (RGPD, art. 9).

Dans le cas d’un état d’urgence, il est ainsi possible de prendre des règles d’exception par rapport aux principes généraux. Le règlement européen offre les garanties nécessaires pour mettre en œuvre le projet gouvernemental StopCovid.

« Il est donc important de libérer les technologies en permettant à chacun d’entre nous de pouvoir les utiliser et surtout d’en avoir la maîtrise ».

Toutefois, Alain Bensoussan émet une réserve s’agissant de la fracture digitale.

Ne pas aggraver la fracture numérique

La fracture digitale risque de s’aggraver pour ceux qui n’auront pas accès à cette application faute d’avoir un smartphone.

Lorsque la technologie est un prérequis à la participation d’un programme offrant une chance de ne pas contracter le virus, elle laisse à l’extérieur les personnes qui en sont dépourvues.

Etant écartée du dispositif, « elles ne pourront bénéficier de l’opportunité d’être informée d’avoir été en contact avec une personne infectée » développe ainsi Alain Bensoussan.

Le choix de ne pas utiliser de smartphone écarte immédiatement 13 millions de Français qui n’en possèdent pas, notamment, les personnes très âgées qui sont particulièrement touchées par la pandémie. Selon la mission Société Numérique, 13 millions de nos concitoyens demeureraient encore éloignés du numérique (2).

StopCovid n’est pas une application de « tracking » individuel

Pour certains, l’application StopCovid n’est pas une réponse à la crise mais une démarche idéologique destinée à limiter les libertés des personnes.

Comment se situer par rapport à cette position très tranchée ? Selon Alain Bensoussan, « il faut permettre l’utilisation des données dans l’intérêt de tous ».

Selon l’Inria partenaire du projet, la future application StopCovid n’utilise que le bluetooth, en aucun cas les données de bornage GSM ni de géolocalisation. Il ne s’agit pas d’une application de surveillance puisqu’elle est totalement anonyme.

Pour Alain Bensoussan, si l’on veut améliorer la situation sanitaire et économique en permettant un déconfinement dans les meilleures conditions, « il faut pouvoir recourir aux technologies du 21ème siècle sans en avoir peur en mettant les garde-fous associés ».

Il faut libérer les technologies numériques lorsqu’est en jeu non pas le caractère privé de la vie mais la vie en tant que tel.

(1) Retrouvez la totalité de l’interview d’Alain Bensoussan pour CNEWS, « StopCovid : le tracking suscite la polémique »,  dans #IntégraleWE, 11 avril 2020.
(2) « Treize millions de Français en difficulté avec le numérique », Mission société numérique (pilotée par le gouvernement de M. Édouard Philippe).




Gestion du COVID-19 et analyse des données de localisation

analyse des données de localisation

La Cnil a été auditionnée par la commission des lois le 8 avril sur l’utilisation de technologies d’analyse des données de localisation pour repérer les personnes atteintes du COVID-19.

Les technologies proposant une analyse des données de localisation des individus

Les technologies fondées sur l’analyse les déplacements de la population sont multiples : reconnaissance faciale, utilisations de drones, tracking, applications de « suivi de contacts » en utilisant la technologie des smartphones, etc.

L’analyse des données de localisation des individus permet aux autorités de :

  • cartographier la propagation du virus ;
  • faire respecter les mesures prises par les gouvernements ;
  • faire du suivi de contacts.

La position de la Cnil  

Dans son propos liminaire lors de son audition (1), la Cnil rappelle les règles issues du Règlement européen sur la protection des données du 27 avril 2916 (RGPD) et de la loi informatique et libertés modifiée.

  • Respect du principe de licéité : Le traitement devra reposer sur une base légale : consentement, obligation légale, mission d’intérêt public ou sauvegarde des intérêts vitaux des personnes. Si un suivi individualisé des personnes était mis en œuvre, la Cnil privilégie le volontariat, avec un consentement réellement libre et éclairé. Le fait de refuser l’application ne devra avoir aucune conséquence préjudiciable.
  • Possibilité de collecter des données de santé : La collecte de données de santé, en principe interdite, pourrait être autorisée par l’une des exceptions prévues à l’article 9 du RGPD et l’article 44 de la loi informatique et libertés modifiée, comme le consentement, la nécessité de la prise en charge sanitaire, l’intérêt public dans le domaine de la santé publique, etc.
  • Limitation des finalités : Les données ne pourront pas être traitées ultérieurement à des fins autres que la gestion de la crise sanitaire.
  • Respect du principe de minimisation des données : L’idée est de consommer le moins de données personnelles possible. Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire pourront être collectées. La Cnil propose à titre d’exemple de collecter un identifiant unique généré lors de l’installation de l’application de suivi des contacts plutôt que de collecter des informations nominatives.
  • Limitation de la durée de conservation : La durée de conservation des données devra être limitée à la finalité. Ainsi, la Cnil recommande de détruire les données ou de les conserver un temps limité et de façon protégée, pour ne servir qu’à des finalités complémentaires de recherche ou de gestion d’éventuels contentieux.
  • Information des personnes concernées : Les personnes concernées devront être informées de manière transparente sur le dispositif mis en œuvre : données collectées, destinataire, finalité, etc.
  • Garantie d’une sécurité appropriée : Le stockage des données en local, sur le terminal de l’utilisateur doit être privilégié.
  • Dispositif adéquate, nécessaire et proportionné : Le dispositif mis en place devra être utile pour traiter la crise sanitaire et sans qu’aucune autre alternative efficace ne soit possible.

La Cnil recommande le traitement des données de localisation anonymisées, moins intrusif que le suivi individuel.

Ainsi, la Cnil fournit une première analyse « informatique et libertés » sur le recours à des technologies proposant une analyse des données de localisation des individus pour assurer un déconfinement le plus sécurisé possible. Les solutions numériques peuvent être un des éléments de ce déconfinement mais elles ne doivent pas être utilisées au détriment de la vie privée et des libertés individuelles.

Emmanuel Walle
Oriane Maurice
Lexing Département Social Numérique

(1) Cnil, Propos liminaire, audition commission des lois Assemblée nationale, 8 avril 2020.

 




Parution de la lettre JTTIL 206 – Avril 2020

JTTIL 206

Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés JTTIL 206) :

  • Covid-19 : Disponibilité et continuité d’activité du cabinet Lexing Alain Bensoussan Avocats
  • Diffamation et concurrence déloyale : compétence exclusive du tribunal judiciaires
  • Ordonnance d’urgence sur la commande publique
  • Projet de loi relatif à la communication audiovisuelle
  • Covid-19 et cybersécurité (conseils et recours)
  • Contrat de prêt de bitcoins, contrat de prêt à la consommation
  • E-réputation : l’importance de recourir à l’arsenal juridique
  • Les Echos : cinq avocats avec lesquels il faudra compter
  • Procédure disciplinaire : l’entretien préalable en confinement
  • Covid-19 et données personnelles
  • Les textes et jurisprudence clés du mois en matière de :
    • Covid-19 et dématérialisation – Covid-19 et droit du travail – Covid-19 et télésanté – Covid-19 et protection des données – Réglementation financière aux Security Tokens – Condamnation de Google en Suède – IA et RGPD – Bitcoins – Sécurité, etc.

A signaler également la parution :

JurisTendances Télécoms Informatique & Libertés (JTTIL 206), Avril 2020.

    • Les lettres JurisTendances Télécoms Informatique & Libertés sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
    • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux, notre chaîne YouTube et notre site internet

JTTIL 206

Dès l’annonce des mesures de confinement destinées à endiguer la pandémie du Covid-19, notre cabinet est passé en mode totalement virtuel, permettant d’assurer le maintien en condition opérationnelle de nos activités et d’assister nos clients comme si nous étions en situation normale.

Notre objectif est de minimiser l’impact de ces circonstances exceptionnelles et d’assurer le suivi et la sécurisation de prestations.




Sécurité des SI de santé : les évolutions réglementaires récentes

Sécurité des SI de santé

Quelles sont les évolutions réglementaires récentes en matière de sécurité des SI de santé ?

Marguerite Brac de La Perrière, directrice du  département Droit de la santé numérique du cabinet Lexing Alain Bensoussan Avocats,  évoque pour  l’APSSIS (Association pour la sécurité des systèmes d’information de santé) les récentes évolutions réglementaires, leur dynamique, et les bonnes pratiques en matière de sécurité des systèmes d’information de santé.

Elle est interrogée par le Président de l’APSSIS Vincent Trely, en compagnie de son confrère Omar Yahia, Avocat au Barreau de Paris.

sécurité des

En ce qui concerne les systèmes d’information hospitaliers, on voit une évolution depuis la certification des hébergeurs de données de santé qui suivait elle-même l’agrément des hébergeurs, puis l’arrivée du RGPD jusqu’à la certification des systèmes d’information hospitaliers dont on parle pour l’année 2020…

La sécurité des SI de santé en pleine évolution

Pour Marguerite Brac de La Perrière, « il est intéressant de constater que toutes ces strates de réglementations convergent vers des objectifs communs de sécurité ». Par exemple, dans le programme HOP’EN pour « Hôpital numérique ouvert sur son environnement » (1) et dans le programme e-Parcours sur la transformation numérique du parcours de santé de l’usager, sont intégrées des obligations issues du RGPD :

  • avoir un DPO ;
  • respecter les droits des personnes, etc.

mais également des objectifs en termes de partage et d’échange des données de santé et de confidentialité des données.

Cela offre aux acteurs de la santé une homogénéité et une meilleure lisibilité des obligations de sécurité que l’on retrouve dans différents contextes ».

Par ailleurs, les nombreux débats qui ont pu avoir lieu notamment autour du périmètre des activités d’hébergement de données de santé relevant de la certification (activité numéro 5 de la certification HDS) (2) ont abouti à englober l’administration et l’exploitation du système d’information contenant les données de santé.

A travers les différentes certifications ainsi mises en place en matière de sécurité des SI de santé,

Il se profile une autre manière d’encadrer les diverses activités qui vont de la maintenance à l’infogérance complète ». (…)

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

(1) Voir notre post du 25 avril 2019, « Santé numérique: les enjeux du programme Hop’EN« .
(2) Voir notre post du 3 juin 2019, « Le retrait annoncé de l’activité numéro 5 de la certification HDS« .

Avec l’aimable autorisation de l’APSSIS, Voir la vidéo « Conversation avec Maîtres Marguerite Brac de la Perrière et Omar Yahia » sur notre chaîne YouTube Lexing Alain Bensoussan – Avocats.




Covid-19 et télésanté

Covid-19 et télésantéCovid-19 et télésanté : un ensemble de textes généralisent la télésanté et adaptent les conditions de prise en charge pour les personnes exposées au covid-19 (téléconsultation, téléexpertise, télésoin, etc.).

Des dérogations aux dispositions organisant le remboursement des actes de téléconsultation sont prévues par le décret du 31 janvier 2020 et l’arrêté du 23 mars 2020 (1), modifiés : Concrètement, quels sont les assouplissements prévus ?

La téléconsultation : Rappel du cadre initial de prise en charge

Pour rappel, la convention nationale organisant les rapports entre médecins libéraux et Assurance maladie (avenant n°6) détaille les conditions de prise en charge de tels actes (2).

Premièrement, le médecin téléconsultant connaît le patient avant de pouvoir réaliser des prestations de téléconsultation. Pour cela, le patient doit avoir bénéficié au moins d’une consultation avec lui en présentiel dans les douze mois précédents.

Deuxièmement, la téléconsultation doit, en principe, s’inscrire dans le respect du parcours de soins. Elle doit donc résulter de l’orientation initiale du médecin traitant, à l’exception des hypothèses suivantes :

  • le patient est âgé de moins de 16 ans ;
  • la consultation en accès direct est possible pour certaines spécialités (3) ;
  • le patient n’a pas de médecin traitant désigné ; ou
  • le médecin traitant n’est pas disponible dans un délai compatible avec l’état de santé du patient.

Dans ces deux dernières hypothèses, l’obligation de connaissance préalable du patient par le médecin téléconsultant ne s’applique pas.

Enfin, dans les situations dérogatoires au parcours de soins coordonné, l’organisation territoriale permet d’assurer le recours aux téléconsultations.

Surtout, une application stricte de ces modalités s’impose. Le Conseil d’Etat a déjà eut à se prononcer. Il a refusé le remboursement de tels actes réalisés par une plateforme nationale en dehors du parcours de soins (4).

La téléconsultation : Les dérogations apportées par le décret du 9 mars 2020

Lorsque le patient n’est pas en mesure de bénéficier d’une téléconsultation dans les conditions de droit commun :

  • il peut déroger au respect du parcours de soins coordonné ;
  • la même dérogation s’applique au médecin en ce qui concerne la connaissance préalable du patient.

En outre, le cas des personnes atteintes ou potentiellement infectées par le covid-19 est également pris en compte.

Elles peuvent bénéficier d’actes de téléconsultation pris en charge par l’Assurance maladie ; et ceux « même si elles n’ont pas de médecin traitant pratiquant la téléconsultation ni été orientées par lui ni été connues du médecin téléconsultant » (5).

Dans ce cadre dérogatoire, les téléconsultations doivent s’inscrire prioritairement dans le cadre d’organisations territoriales coordonnées.

La téléconsultation : Les conditions de réalisation des actes de téléconsultation

Les autres conditions de réalisation des actes de téléconsultation demeurent en vigueur, notamment concernant :

  • l’information et le recueil du consentement du patient ;
  • la réalisation d’un compte rendu porté au dossier patient du médecin téléconsultant et
  • la transmission d’une copie au médecin traitant ainsi qu’au DMP le cas échéant ;
  • la réalisation des actes par vidéotransmission dans les conditions définies par la convention médicale.

En principe, les autres conditions de réalisation des actes de téléconsultation ne sont donc pas assouplies par le décret. En conséquence, il appartient à chaque téléconsultant de mettre en œuvre la téléconsultation dans des :

  • lieux permettant la confidentialité des échanges entre le patient et le médecin consultant ;
  • conditions permettant de garantir la sécurité des données transmises (confidentialité, protection des données personnelles, etc.) ;
  • conditions permettant de garantir la traçabilité de la facturation des actes réalisés, dans les conditions respectueuses des référentiels de sécurité et d’interopérabilité concernant la transmission et les échanges de données.

A ce titre, la notice du décret précise que les téléconsultations « peuvent être réalisées en utilisant n’importe lequel des moyens technologiques actuellement disponibles pour réaliser une vidéotransmission (lieu dédié équipé mais aussi site ou application sécurisé via un ordinateur, une tablette ou un smartphone, équipé d’une webcam et relié à internet) ».

Les conditions d’utilisation d’outils numériques respectant la PGSSI-S et la réglementation relative à l’hébergement des données de santé sont rappelées par l’arrêté du 19 mars 2020, repris par l’article 8 de l’arrêté du 23 mars 2020.

Cet arrêté prévoit également que, par dérogation, « pour faire face à la crise sanitaire », « tout autre outil numérique » peut être utilisé.

La prise en charge des téléconsultations réalisées par des sages-femmes

De même, l’arrêté du 23 mars précité prévoit que les téléconsultations de sages-femmes sont « valorisées à hauteur d’une téléconsultation simple (code TCG) » (art. 8).

Covid-19 et télésanté : les actes de téléexpertise

La téléexpertise concerne l’expertise sollicitée par un médecin dit « médecin requérant » et donnée par un médecin dit « médecin requis », en raison de sa formation ou de sa compétence particulière, sur la base d’informations ou d’éléments médicaux liés à la prise en charge d’un patient, et ce, hors de la présence de ce dernier (6).

De la même manière, le décret prévoit des dérogations aux dispositions conventionnelle organisant le remboursement des actes de téléexpertise, s’agissant :

  • du champ de prise en charge : le décret élargit les situations dans lesquelles les actes de télé expertises peuvent être pris en charge (ALD, maladies rares, zones sous denses, EHPAD, détenus) aux actes de télé expertises concernant des personnes exposées au covid-19 et
  • de la limitation du nombre de téléexpertises annuel : en principe, les actes de téléexpertises remboursés sont effectués de manière ponctuelle et le nombre d’acte facturé par an est limité. Cette limitation ne s’appliquera pas aux actes de téléexpertise concernant des personnes exposées au covid-19, lesquels pourront être facturés sans limitation du nombre d’actes de téléexpertise réalisés.

La télésurveillance des patients insuffisants cardiaques

L’article 8 de l’arrêté du 23 mars 2020 précité assouplit les conditions d’éligibilité des patients souffrant d’insuffisance cardiaque chronique à un projet de télésurveillance dans le cadre des expérimentations relatives à la prise en charge par télésurveillance.

Covid-19 et télésanté : les activités de télésoin

Intégré au Code la santé publique par la loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, le télésoin est défini comme une forme de pratique de soins à distance utilisant les technologies de l’information et de la communication qui met en rapport un patient avec un ou plusieurs pharmaciens ou auxiliaires médicaux (dont les professions sont réglementées par le livre III de la quatrième partie du Code de la santé publique, notamment : infirmier, orthophoniste, orthoptiste, diététicien, etc.).

Les activités de télésoin ont vocation à être définies par arrêté du ministre de la santé pris après avis de la Haute Autorité de Santé (HAS). Les conditions de mise en œuvre des activités de télésoin ainsi que les conditions de prise en charge des activités de télésoin doivent être fixées par décret en Conseil d’Etat.

En principe, la prise en charge des activités de télésoin par l’assurance maladie est conditionnée par :

  • l’utilisation d’une vidéotransmission ;
  • la réalisation préalable, en présence du patient, d’un premier soin par un pharmacien ou un auxiliaire médical de la même profession que celle du professionnel assurant le télésoin.

En revanche, l’activité du professionnel de santé accompagnant le cas échéant le patient n’est pas prise en charge dans le cadre du télésoin.

Le télésoin par les infirmiers diplômés d’Etat

Conformément à l’article 8 de l’arrêté du 23 mars 2020, le télésuivi des patients dont le diagnostic d’infection à covid-19 a été posé cliniquement ou biologiquement peut être assuré par des infirmiers diplômés d’Etat, libéraux ou salariés auprès d’un autre professionnel de santé libéral.

Il peut être assuré en centre de santé, en maison de santé ou dans un établissement ou un service médico-social, ainsi que dans un établissement de santé :

  • sur prescription médicale, pour la surveillance clinique des patients suspectés d’infection ou reconnus atteints du covid-19 ;
  • de préférence par vidéotransmission, ou par téléphone si les équipements du patient ou de l’infirmier ne le permettent pas.

Plusieurs fiches d’information sur le télésuivi infirmier sont en ligne :

En application du décret du 31 janvier 2020, issu du décret du 19 mars 2020 et de l’arrêté susvisé, la prise en charge par l’assurance maladie des actes de télésuivi réalisée par des infirmiers diplômés d’Etat concerne les patients dont le diagnostic d’infection à covid-19 a été posé, cliniquement ou biologiquement, dans les conditions prévues par la HAS par un avis du 16 mars 2020 (arrêté du 23 mars 2020 susvisé).

Les actes de télésuivi sont valorisés à hauteur d’un AMI 3.2.

Par dérogation, les conditions suivantes ne sont pas requises :

  • condition de connaissance préalable du patient par l’infirmier ;
  • condition d’utilisation de la vidéotransmission, lorsque le patient ne dispose pas du matériel nécessaire.

Dans ce dernier cas, le télésoin peut être effectué par téléphone.

Le télésoin par les orthophonistes

L’article 8, de l’arrêté du 23 mars 2020 précité, autorise les orthophonistes à réaliser des actes de télésoin :

  • « à l’exclusion des bilans initiaux et des renouvellements de bilan » ;
  • les actes sont listés à l’annexe du VI de l’article 8 dudit arrêté ;
  • « la pertinence du recours au télésoin est déterminée par l’orthophoniste » ;
  • « ces actes de télésoin sont réalisés par vidéotransmission » ;
  • les actes sont « conditionnés à la réalisation préalable, en présence du patient, d’un premier soin par l’orthophoniste » ;
  • Accompagnement :
    • « pour les mineurs de 18 ans, la présence d’un des parents majeurs ou d’un majeur autorisé est nécessaire » ;
    • « pour les patients présentant une perte d’autonomie, la présence d’un aidant est requise ».

Ainsi, les orthophonistes peuvent facturer les actes remplissant les conditions susvisées à l’assurance maladie.

Covid-19 et télésanté : un assouplissement limité dans le temps

Enfin, les dispositions du décret peuvent être mises en œuvre jusqu’au 31 mai 2020.

L’article 8 de l’arrêté du 23 mars relatif à la télésurveillance et au télésoin s’applique jusqu’au 15 avril 2020 .

Marguerite Brac de la Perrière
Chloé Gaveau
Lexing Santé numérique

(1) Pris sur la fondement de l’article L. 3131-16 du Code de la santé publique, concernant l’état d’urgence sanitaire ;
(2) Arrêté du 1er août 2018 portant approbation de l’avenant n° 6 à la convention nationale organisant les rapports entre les médecins libéraux et l’assurance maladie signée le 25 août 2016.
(3) Gynécologie, ophtalmologie, stomatologie, chirurgie orale ou en chirurgie maxillo-faciale, psychiatrie ou neuropsychiatrie et pédiatrie.
(4) Conseil d’État, Juge des référés, 29-05-2019, n°429188
(5) Décret n° 2020-227 du 9 mars 2020 adaptant les conditions du bénéfice des prestations en espèces d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au Covid-19, notice.
(6) Arrêté du 1er août 2018 précité.




Covid-19 et données personnelles

Covid-19 et

Covid-19 et données personnelles : la collecte et le traitement des données personnelles pour endiguer la pandémie du Covid-19 sont particulièrement encadrés.

Covid-19 et données personnelles : le cadre légal

Les moyens de lutter contre la pandémie reposent sur certains outils susceptibles de collecter de nombreuses données personnelles, pour la plupart, « sensibles » :

  • traitements à des fins d’investigation par les autorités sanitaires (1) ;
  • questionnaires médicaux à des fins de gestion des suspicions d’exposition au virus par les employeurs (2) ;
  • jusqu’au « document » permettant de justifier d’un déplacement dérogatoire qui avait initialement été accepté en format numérique sur smartphone avant d’être finalement refusé, la Cnil ayant mis en garde contre les risques de phishing ou d’hameçonnage face aux nombreux sites non officiels proposant des solutions sans sécurisation du processus numérique…

La collecte et le traitement des données personnelles pour endiguer le virus pose de nombreuses questions liées à la sécurité et la confidentialité des données mais également au respect de la vie privée.

Ces données font par ailleurs l’objet d’une protection toute particulière par les dispositions du Code de la santé publique, le Code du travail ou encore le Code des postes et communications électroniques.

La collecte et le traitement des données

L’une des principales conditions à la licéité de la collecte des données et de leur traitement est le consentement des personnes concernées.

Il est l’une des six bases légales posées par le RGPD pour considérer qu’un traitement est licite. C’est même l’une des clés de voûte de la protection des données à caractère personnel.

Ce principe fait toutefois l’objet de dérogations. Ainsi, il est possible de traiter légalement des données personnelles malgré l’absence de consentement des personnes, notamment si le traitement est nécessaire

  • « à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne » ou
  • « à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement » (RGPD, art. 6, 1 d et e).

La collecte et le traitement de données dans le contexte de lutte contre la propagation du coronavirus, s’inscrit clairement dans ce cadre dérogatoire.

Néanmoins, il ne doit pas être porté atteinte au respect de la vie privée des personnes, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.

Face aux interrogations des salariés et des employeurs, la Cnil a fait le point dans un communiqué daté du 6 mars dans lequel est abordé tout ce qui est interdit et autorisé en matière de collecte de données personnelles relatives à la gestion du Covid-19.

La sécurité des données

La loi Informatique et libertés met à la charge de toute personne qui traite des données à caractère personnel (responsable du traitement et sous-traitant), l’obligation d’en assurer la sécurité et la confidentialité, afin de garantir le respect de la vie privée des personnes au sujet desquelles ces informations sont enregistrées.

En outre, la loi applique deux principes nouvellement consacrés par le RGPD : la confidentialité des données personnelles dès la conception et par défaut.

Ces principes impliquent notamment que les données traitées soient limitées à ce qui est strictement nécessaire à la finalité du traitement, que des durées de conservation aient été fixées, qu’il existe des règles de suppression automatique des données et qu’un processus d’habilitation soit mis en place pour l’accès aux données personnelles au bénéfice des seules personnes ayant à en connaître.

Le contexte lié à la pandémie ne doit pas faire oublier qu’en tant que données sensibles des mesures particulières de sécurité doivent être mises en place à l’égard de ces données.

La sécurité des personnes

Dans son communiqué du 6 mars, la Cnil rappelle les obligations de l’employeur à l’égard des salariés et agents en matière de prévention des risques professionnels.

L’employeur doit prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale de ses salariés (C. du travail, art. L. 4121-1).

Les mesures de sécurité s’appliquent aux travailleurs au sens de salariés, y compris temporaires, et les stagiaires, ainsi que toute personne placée à quelque titre que ce soit sous l’autorité de l’employeur (C. du travail, art. L. 4111-5).

La Cnil indique que les mesures de sécurité que doit prendre l’employeur concernant la prévention des risques professionnels en matière de de pandémie, sont « L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relevant de la responsabilité de ces autorités publiques ».

De son côté, « chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même : il doit informer son employeur en cas de suspicion de contact avec le virus ».

Nombreuses sont les entreprises à avoir pris des mesures organisationnelles (plan de continuité d’activité, confinement, télétravail, etc.).

La sécurité sanitaire et les messages d’alerte

Un message officiel du gouvernement adressé par SMS à des millions de Français le 17 mars pour les informer des règles de confinement a fait polémique.

Le Code des postes et des télécommunications électroniques autorise les autorités à saisir les opérateurs pour « l’acheminement des communications des pouvoirs publics destinées au public pour l’avertir de dangers imminents ou atténuer les effets de catastrophes majeures » (CPCE, Art. L. 33-1, f bis).

Les opérateurs doivent être en mesure d’assurer la transmission de messages d’alerte demandés par les autorités publiques en utilisant leurs infrastructures et listes d’abonnés pour en maximiser la diffusion.

Ces dispositions permettent aux autorités d’alerter facilement et rapidement la population via les téléphones portables par l’intermédiaire des opérateurs ainsi que l’y autorise le Code des communications électroniques européen en cas notamment de menace imminente d’attentat, d’incendie ou de catastrophe naturelle (3).

Aucun numéro de téléphone – donnée considéré comme personnelle-, n’est donc transmis à l’Etat qui ne détient pas de base de données regroupant l’ensemble des numéros de téléphone des abonnés.

La possibilité de traiter de telles données personnelles sans le consentement de l’intéressé entre dans les dérogations précédemment analysées pour assurer la sauvegarde des intérêts vitaux d’un État (RGPD, art. 6, 1 d et e).

Alain Bensoussan,
Mél : alain-bensoussan@lexing.law
L.D. : +33 (0)6 19 13 44 46

(1) Santé publique France, « Traitement de données à caractère personnel – Investigation relatives au nouveau Coronavirus (SARS-CoV-2) – COVID-19 », Suivi des cas possibles, des cas confirmés et des personnes contact par les ARS et Santé publique France.
(2) Cnil, « Coronavirus (Covid-19) : les rappels de la Cnil sur la collecte de données personnelles», 6 mars 2020.
(3) Directive (UE) 2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen (refonte).




Covid-19 Disponibilité et continuité d’activité

covid-19 disponibilité et continuitéDès l’annonce des mesures de confinement, le cabinet est passé en mode virtuel afin d’assurer la continuité de ses activités.

Face à la crise sanitaire sans précédent que nous traversons, le cabinet Lexing Alain Bensoussan Avocats est passé en mode totalement virtuel, permettant d’assurer le maintien en condition opérationnelle de ses activités afin de pouvoir assister ses clients comme en situation normale.

Covid-19 Disponibilité et continuité d’activité

L’objectif : être en mesure de fournir à ceux-ci une assistance sans interruption pour leur permettre de minimiser l’impact de ces circonstances exceptionnelles que nous traversons et d’assurer le suivi et la sécurisation de leurs projets en cours et des procédures contentieuses dans lesquels ils sont engagés. Nos actions s’inscrivent dans les principes qui fondent depuis plus de 40 ans notre action, auxquels s’adjoint solidarité sur le plan interne mais également vis-à-vis de nos clients, pour nous permettre de faire face ensemble à cette crise inédite.

Conscient des difficultés auxquelles chacun d’entre nous est confronté, nous tenons à vous assurer personnellement de notre soutien et de notre disponibilité sans faille pour relever le défi humain et économique qui nous est lancé.
Entreprise virtuelle



Petit-déjeuner « Intelligence artificielle et santé »

Intelligence artificielle et santéL’intelligence artificielle (IA) révolutionne le secteur de la santé, offrant de formidables avancées et perspectives en matière de prévention, de prédiction, d’aide à la décision, de médecine de précision.

Marguerite Brac de La Perrière avocate, directrice du département Santé numérique qu’elle a créé il y a près de 10 ans au sein du cabinet Lexing Alain Bensoussan Avocats animera un petit-déjeuner débat le mercredi 15 janvier 2020 sur le thème « Intelligence artificielle et santé ».

Dans sa résolution du 12 février 2019 sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique, le Parlement européen note « l’incidence que l’IA a déjà eue sur le bien-être, la prévention, les diagnostics, la recherche ainsi que son potentiel considérable en matière de conception de soins personnalisés ».

Dans son rapport sur l’IA et les données de santé, Cédric Villani appelait de ses vœux un « système de données ouvert », considérant que toutes les données qui aujourd’hui existent de façon disséminée n’ont pas vocation à être utilisées seulement par l’équipe de recherche qui les a recueillies. Elles doivent être mises à disposition de l’ensemble du monde de la recherche et, au-delà, des gestionnaires du système de santé et des start-up susceptibles de proposer des services nouveaux.

Dans cette logique, la loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé (Ma santé 2022) a créé le Health Data Hub, lancé le 1er décembre 2019. Il s’agit d’une plateforme de données de santé complétant le Système National de Données de Santé créé en 2016, permettant à des centres de recherche mais aussi à des industriels de réaliser des demandes d’accès aux données nécessaires à un projet d’intérêt général, après autorisation de la Cnil.

Pour l’heure, plusieurs projets ont été sélectionnés comme « préconfigurateurs ».

Dans ce contexte, il devient nécessaire d’appréhender les conditions de traitement des données massives, d’anticiper sur les conditions d’accès au Healh Data Hub et de contractualisation à cette fin.

Venez en débattre avec Marguerite Brac de La Perrière le 15 janvier 2020 autour d’un petit-déjeuner, de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.




Le référentiel Cnil de gestion des vigilances sanitaires

gestion des vigilances sanitairesLes traitements de gestion des vigilances sanitaires peuvent être mis en oeuvre après une déclaration de conformité à la Cnil.

Ce régime est issu du référentiel de gestion des vigilances sanitaires élaboré par la Cnil pour encadrer leur traitement conformément aux principes du RGPD (délibération du 9 mai 2019) .

Contexte applicable aux référentiels publiés par le Cnil

Certains traitements de données de santé à caractère personnel visés à l’article 65 de la loi Informatique et libertés sont régis par des dispositions spécifiques.

Il s’agit notamment, sauf exceptions visées au même article, des traitements de données de santé à caractère personnel nécessaires :

  • pour des motifs d’intérêt public important (RGPD, art. 9, 2) g) ;
  • pour ces mêmes motifs dans le domaine de la santé (RGPD, art. 9, 2) i) ;
  • à des fins de recherche scientifique ou historique ou à des fins statistiques (RGPD, art. 9, 2) j) ;
  • aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable de traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale (RGPD, art. 9, 2) b).

Ces traitements ne peuvent être mis en œuvre que s’ils sont conformes à des référentiels. Le responsable du traitement doit adresser préalablement à la Cnil une déclaration attestant de cette conformité.

A défaut de se conformer à ces référentiels, ces traitements ne peuvent être mis en œuvre qu’après autorisation de la Cnil.

C’est donc dans ce cadre que s’inscrit le présent référentiel, accompagné de sa FAQ publiée par la Cnil.

Distinction avec les autres référentiels visés par la loi Informatique et libertés

Bien que la terminologie soit identique, la notion de référentiel, selon la loi de 78, apparaît polyforme et comprend :

  • des référentiels visés à l’article 8 de la loi Informatique et libertés. Ils sont établis et publiés par la Cnil pour faciliter la mise en conformité des traitements de données à la loi. Ils permettent aux responsables de traitement et sous-traitants d’évaluer les éventuels risques ;
  • des référentiels de certification de personnes, de produits, de systèmes de données et de procédures. Le but est de reconnaître leur conformité au RGPD et à la loi Informatique et libertés. Il existe aussi des référentiels d’agrément des organismes certificateurs (Loi IetL, art. 8) ;
  • ceux comme le présent référentiel auquel il convient de se conformer en application du contexte susvisé.

Champ d’application du référentiel de gestion des vigilances sanitaires

Tout d’abord, ce référentiel concerne :

  • les traitements de données de santé à caractère personnel liés à l’ensemble des vigilances sanitaires. Par exemple, pharmacovigilance, addictovigilance, biovigilance, cosmétovigilance, hémovigilance ; mais aussi toute autre vigilance figurant dans l’arrêté du 27 février 2017 qui nécessite une déclaration ou un signalement.  Il peut s’effectuer au moyen du portail de signalement des événements sanitaires indésirables ;
  • mis en œuvre par les acteurs suivants : fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit.

« Les professionnels et les systèmes ou services de soins de santé (établissement de santé, maisons de santé, centres de santé, agences sanitaires, etc.) ne sont pas concernés » par ce référentiel. En effet, ils ne sont pas concernés par les dispositions des articles 65 et suivants de la loi de 78 et ne requièrent, en principe, aucune formalité préalable (Cnil, FAQ, Le référentiel « vigilances sanitaires » en questions, 18 juillet 2019).

Traitements concernés par le référentiel de gestion des vigilances sanitaires

Ensuite, le référentiel énonce les finalités des traitements de gestion des vigilances sanitaires et leurs bases légales :

  • le traitement est nécessaire au respect des obligations légales imposées par les dispositifs de vigilance sanitaire (RGPD, art. 6, 1) c)) ;
  • le traitement est nécessaire pour des motifs d’intérêt public (RGPD, art. 9, 2) i)).

Les données personnelles concernées par le traitement, les destinataires et les durées de conservation des données sont aussi précisées.

Cela signifie que le responsable du traitement ne peut en bénéficier dans les hypothèses où :

  • un traitement aux fins de vigilance sanitaire comporte d’autres données que celles listées,
  • les données sont transmises à d’autres destinataires ou
  • des durées de conservation non conformes au référentiel sont prévues,

En pareils cas, il ne peut donc les mettre en œuvre qu’après autorisation de la Cnil.

Information des personnes concernées

Les personnes concernées doivent être informées dès la collecte des données des modalités de leur traitement (RGPD, art. 13 et 14).

Il s’agit des :

  • personnes exposées à l’événement sanitaire indésirable,
  • personnes ayant notifié l’événement sanitaire indésirable et
  • professionnels de santé ayant suivi la personne concernée par l’événement

Surtout, le référentiel relatif à la gestion des vigilances sanitaires précise :

  • qu’en cas de notification de l’événement sanitaire indésirable par la personne qui y est exposée, une information particulière doit lui être fournie préalablement, afin de l’informer que le secret de son identité ne sera pas préservé ;
  • que l’information doit également préciser la manière d’exercer les droits des personnes concernées.

Le support de l’information est libre et l’information peut être fournie par écrit ou à l’oral. Dans cette dernière hypothèse, la personne concernée peut obtenir la mise à disposition d’un support écrit.

Lorsque la notification de l’évènement est réalisée par une personne différente de celle exposée, l’information est fournie par le notificateur sur la base des éléments d’information écrits que lui a remis par le responsable de traitement.

A ce titre, il appartient au responsable du traitement de recueillir la preuve, le cas échéant auprès du notificateur, que l’information a été fournie.

Droits des personnes concernées

Au regard de la base juridique du traitement (respect d’une obligation légale), les personnes concernées ne disposent pas du droit :

  • d’opposition,
  • d’effacement des données,
  • à la portabilité des données.

Ainsi, les personnes concernées disposent des droits suivants :

Sécurité et hébergement des données

Le référentiel relatif à la gestion des vigilances sanitaires prévoit une liste de mesures de sécurité à mettre en œuvre par le responsable du traitement.

A défaut, il doit être en mesure de justifier de mesures équivalentes ou du fait de ne pas avoir besoin ou de ne pas pouvoir y recourir.

Le responsable peut recourir à un prestataire extérieur pour le stockage et la conservation des données de santé. Ce dernier doit être agréé ou certifié hébergeur de données de santé.

Dans l’hypothèse où le responsable du traitement n’est pas établi en France, il doit démontrer que son prestataire présente des garanties de sécurité équivalentes.

A défaut, le responsable du traitement ne peut pas bénéficier du présent référentiel et le traitement doit donc faire l’objet d’une autorisation préalable de la Cnil.

Transfert de données hors de l’Union européenne

De même, seules certaines données peuvent faire l’objet d’un transfert hors de l’Union européenne. Il s’agit des données indirectement identifiantes des personnes exposées à un événement sanitaire indésirable ; ou encore des données indirectement identifiantes des personnes ayant notifié l’événement.

Ce transfert doit être strictement nécessaire à la mise en œuvre du dispositif de vigilance et être réalisé dans les conditions prévues aux articles 45 et suivants du RGPD.

Pour bénéficier des exceptions prévues à l’article 49 du RGPD (dérogations pour des situations particulières), le traitement ne doit être ni répétitif, ni massif, ni structuré.

Analyse d’impact

Enfin, pour bénéficier du référentiel relatif à la gestion des vigilances sanitaires, le responsable de traitement doit réaliser une analyse d’impact sur la vie privée.

La consultation de la Cnil s’impose si, à l’issue de l’analyse d’impact, il est difficile d’identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.

Marguerite Brac de la Perrière
Chloé Gaveau
Lexing Santé numérique




Un nouveau décret sur l’utilisation du NIR comme INS

utilisation du NIRLes conclusions de la Cnil, en date du 20 février 2007, sur l’utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) comme identifiant de santé, prévoyaient la restriction de l’utilisation du NIR, plus communément appelé numéro de sécurité sociale, à la sphère sociale, et interdisait son utilisation en tant qu’identifiant de santé.

Neuf ans plus tard, la loi de modernisation de notre système de santé du 26 janvier 2016 a modifié l’article L.1111-8-1 du Code de la Santé Publique (CSP). Les dispositions de ce texte ont été modifiées par l’Ordonnance du 12 décembre 2018, mais le principe reste le même : le NIR, et à défaut le Numéro Identifiant d’Attente (NIA), est utilisé comme Identifiant National de Santé (INS) des personnes pour leur prise en charge à des fins sanitaires et médico-sociales, dans les conditions prévues à l’article L.1110-4 du CSP relatif au secret médical, à l’échange et au partage des données de santé.

Conformément aux dispositions de cet article L.1111-8-1 du CSP, le dispositif a été complété par un décret n°2017-412 du 27 mars 2017.

Ce décret a été modifié très récemment par le décret n°2019-1036 du 8 octobre 2019, comme évoqué ci-après.

Référencement des données de santé

Caractéristiques du NIR

Le NIR est composé de treize chiffres et d’une clé de contrôle de deux chiffres. Il est attribué aux personnes nées en France, y travaillant ou y habitant de façon stable.

Comme le souligne la Cnil dans ses conclusions sur l’utilisation du NIR comme identifiant de santé, le NIR constitue un numéro particulier dans la mesure où il est :

  • « signifiant : il est composé d’une chaîne de caractères qui permettent de déterminer le sexe, le mois et l’année de naissance, et dans la majorité des cas, le département et la commune de naissance en France ou l’indication d’une naissance à l’étranger ;
  • unique et pérenne : un seul numéro est attribué à chaque individu dès sa naissance ;
  • a priori fiable : il est certifié par l’Institut National de la Statistique et des Études Économiques (INSEE), à partir des données d’état civil transmises par les mairies ».

Modalités d’utilisation du NIR comme INS

Les modalités d’utilisation du NIR comme INS afin de référencer les données de santé, notamment afin d’en empêcher l’utilisation à des fins autres que sanitaires et médico-sociales ont été définies par le décret du 27 mars 2017 ; elles ont été codifiées aux articles R.1111-8-1 et suivants du CSP.

Ainsi, l’article R.1111-8-2 du CSP dispose : « l’INS est utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes ».

Il est précisé à l’article R.1111-8-3 du CSP : « le référencement de données mentionnées à l’article R. 1111-8-2 à l’aide de l’INS ne peut être réalisé que par des professionnels, établissements, services et organismes mentionnés à l’article L. 1110-4 et des professionnels constituant une équipe de soins en application de l’article L. 1110-12 et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée ».

L’article R.1111-8-4 du CSP limite l’utilisation de données de santé et de données administratives référencées avec l’INS, dans le cadre d’un traitement de données à caractère personnel, aux seuls traitements ayant une finalité exclusivement sanitaire ou médico-sociale, y compris les fonctions nécessaires pour assurer le suivi social ou la gestion administrative des personnes prises en charge, et mis en œuvre dans le respect des dispositions de la loi informatique et libertés.

Le décret du 27 mars 2017 avait prévu une mise en conformité des acteurs concerné avec les nouvelles règles avant le 1er janvier 2020, date qui a été reportée au 1er janvier 2021 par le décret n° 2019-1036 du 8 octobre 2019.

Précisions sur l’utilisation du NIR comme INS

Nouveautés apportées par le décret du 8 octobre 2019

Le décret n° 2019-1036 du 8 octobre 2019 apporte des modifications au décret du 27 mars 2017 relatif à l’utilisation du NIR comme INS et aux articles R.1111-8-1 à R.1111-8-7 du CSP.

Il est précisé dans la notice même du décret que « le décret modifie les dispositions relatives à l’utilisation du NIR en tant qu’INS pour les mettre en conformité avec la loi Informatique et libertés, dans sa rédaction résultant de l’ordonnance n° 2018-1125 du 12 décembre 2018. Le décret adapte le calendrier de mise en œuvre de l’INS et renforce les règles de sécurité dans la prise en charge et la protection des données personnelles ».

En premier lieu, le décret ajoute à l’article R.1111-8-2 du CSP un alinéa prévoyant la possibilité d’avoir recours à l’INS à des fins de recherche autorisée dans les conditions prévues au titre II, chapitre III, section 3 de la loi Informatique et libertés relatif aux traitements de données à caractère personnel dans le domaine de la santé (et plus particulièrement aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé présentant une finalité d’intérêt public).

En outre, le décret modifie intégralement l’article R.1111-8-6 du CSP, dont le premier alinéa dispose désormais : « des téléservices permettent aux professionnels, établissements, services ou organismes mentionnés à l’article R.1111-8-3 d’accéder au NIR et de vérifier son exactitude dans le respect du référentiel mentionné à l’article R.1111-8-7. Ils sont mis en œuvre par la Caisse nationale de l’assurance maladie ».

L’article susvisé précise que le recours à ces téléservices est obligatoire sauf en cas d’indisponibilité des téléservices ou de motif légitime invoqué par les professionnels. Ce recours n’exonère pas de « mettre en place toute procédure de surveillance, de correction et de prévention des erreurs relevant de l’organisation de la prise en charge des personnes et concourant à la maîtrise du risque d’erreur dans l’identification des personnes ».

Enfin, le décret reporte au 1er janvier 2021 l’obligation de se conformer à l’ensemble des règles relatives à l’utilisation du NIR comme INS.

Attente de publication du référentiel INS définitif

Aux termes de l’article R.1111-8-7 du CSP, un référentiel doit définir les modalités de mise en œuvre de l’obligation de référencement des données de santé avec l’INS. Il doit préciser les procédures de surveillance et de gestion des risques et erreurs liés à l’identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes habilités à l’utiliser, ainsi que les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel mentionnées au même article.

En application de l’article L.1110-4-1 du CSP, ce référentiel doit être élaboré par l’ASIP Santé, en concertation avec les acteurs du secteur santé et médico-social, et approuvé par arrêté du ministre de la Santé.

À ce jour, le projet de référentiel INS a été publié par l’ASIP Santé sur son site.

La Cnil doit être saisie pour rendre un avis sur ce projet de référentiel, lequel devra ensuite être approuvé par arrêté, afin d’être publié dans sa version définitive et être opposable aux acteurs concernés.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Projet de loi bioéthique : IA et données massives des patients

données massivesDe nouvelles précisions s’agissant des traitements algorithmiques de données massives sont envisagées dans le projet de loi sur la révision des lois de bioéthique qui a été présenté en Conseil des Ministres le 24 juillet 2019 et sera débattu au Parlement en septembre 2019. Il s’agit de la 3ème révision des lois bioéthique en 25 ans.

Selon le compte-rendu du Conseil des Ministres, « cette révision des lois de bioéthique s’inscrit dans un contexte de sauts technologiques inédits, auxquels s’ajoutent des attentes sociétales fortes ».

Droits et garanties des patients en matière de données massives introduits par le projet de loi

L’article 11 du projet de loi relatif à la bioéthique entend sécuriser la bonne information du patient lorsqu’un traitement algorithmique de données massivesintelligence artificielle ») est utilisé à l’occasion d’un acte de soin.

Il introduit un nouvel article L.4001-3 dans le Code de la santé public, aux termes duquel le professionnel de santé devra informer le patient en cas d’utilisation d’un traitement algorithmique de données massives pour des actes à visée préventive, diagnostic ou thérapeutique, lorsqu’il communique les résultats de ces actes.

Il devra également informer le patient des « modalités d’action » du traitement de données.

L’article prévoit l’intervention du professionnel de santé pour réaliser l’adaptation des paramètres du traitement et rappelle ainsi l’importance de l’intervention humaine dans le fonctionnement de l’intelligence artificielle.

En outre, la traçabilité des actions d’un tel traitement algorithmique et des données utilisées dans le cadre de ce traitement sera assurée et les informations qui en résultent seront accessibles aux professionnels de santé concernés.

Ainsi, il s’agit de garantir la possibilité d’auditer les algorithmes, le respect des principes de transparence des algorithmes, de garantie humaine, et de traçabilité, lesquels constituent les garanties nécessaires au développement de l’intelligence artificielle.

Il faut « garantir que l’intelligence artificielle augmente l’homme plutôt qu’elle ne le supplante et participe à l’élaboration d’un modèle français de gouvernance éthique de l’intelligence artificielle. Nous devons collectivement faire en sorte que ces nouveaux outils soient à la main humaine, à son service, dans un rapport de transparence et de responsabilité », comme affirmé par Isabelle Falque-Pierrotin, ancienne présidente de la Cnil.

L’article 11 du projet de loi prend en compte les propositions du Comité consultatif national d’éthique (CCNE) dans son avis 130 adopté le 29 mai 2019 « Données massives et santé : une nouvelle approche des enjeux éthiques ». Dans cet avis, le CCNE formule notamment les propositions suivantes :

  • « toute personne a droit à une information compréhensible, précise et loyale sur le traitement et le devenir de ses données » ;
  • les résultats doivent être validés par une garantie humaine.

Droits des patients en matière de traitements exclusivement automatisés au titre du RGPD

Dans le cas où une décision individuelle automatisée serait fondée exclusivement sur le traitement automatisé de données massives, l’article 22 du Règlement européen sur la protection des données (RGPD) dispose : « la personne concernée a le droit de ne pas faire l’objet d’une [telle] décision […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Cette disposition ne s’applique pas lorsque la décision :

  • « est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
  • est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
  • est fondée sur le consentement explicite de la personne concernée ».

Dans la première et la dernière hypothèse, l’article 22 du RGPD prévoit l’obligation pour le responsable de traitement de mettre en œuvre « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision ».

Il est en outre précisé que les décisions correspondant aux trois hypothèses susvisées ne peuvent être fondées sur les catégories particulières de données visées à l’article 9 du RGPD, parmi lesquelles figurent les données de santé, sauf si des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place et que l’une des conditions suivantes est remplie :

  • la personne a donné son consentement explicite ;
  • le traitement est nécessaire pour des motifs d’intérêt public importants, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique