Les Echos : cinq avocats avec lesquels il faudra compter

Les Echos

Jérémy Bensoussan figure parmi les cinq avocats choisis par Les Echos dans les domaines notamment du droit de la data et de la protection des données personnelles.

A l’occasion de la publication par Chambers & Partners de son palmarès 2020 des acteurs incontournables du marché du droit français, Les Echos consacrent dans leur édition du mardi 24 mars un Focus sur cinq spécialités parmi les cinquante et une que compte le classement, et sur cinq avocats avec lesquels il faudra compter à l’avenir.

Comme le souligne la journaliste Delphine Iweins dans son article, « la compliance, la protection des données personnelles et l’environnement sont des matières devenues primordiales. Des avocats qui en ont fait une spécialité sortent du lot ».

Il s’agit pour le quotidien économique de :

  • Compliance Enquêtes : Jonathan Mattout (Herbert Smith Freehills)
  • Environnement : Marie-Laetitia de La Ville-Baugé (LPA-CGR)
  • Fusions-Acquisitions : Clémence Fallet (Bredin Prat)
  • Droit de la data et Protection des données personnelles : Jérémy Bensoussan (Lexing Alain Bensoussan Avocats)
  • Entreprises en difficultés: Anne-Sophie Noury (Weil Gotshal & Manges)

Jérémy BensoussanAvocat et ingénieur (ESTP), Jérémy Bensoussan dirige l’activité « Compliance » de l’intelligence artificielle (IA) et Contentieux technologiques du cabinet Lexing Alain Bensoussan Avocats : « Jérémy Bensoussan conseille les entreprises dans leur projet de création de valeur fondé sur la donnée industrielle et personnelle pour en pérenniser la conformité et en piloter les risques par des instruments juridiques et de gouvernance. Il traite aussi de contentieux impliquant de la data ou des projets d’intelligence artificielle.

En 2019, il a accompagné la Fédération des entreprises de propreté (FEP) dans la transition digitale des acteurs du secteur et l’optimisation de leur processus métier.

Diplômé du Master 2 Contentieux et Arbitrage de l’Université Paris II, il intervient également devant le régulateur de la donnée et les juridictions en matière contractuelle et expertale ».

Rappelons également que Jérémy Bensoussan est nommé « Best Lawyer » dans la catégorie « Technology Law » de l’édition 2020 du classement de la revue américaine Best Lawyers.

Il préside la Commission Vie privée et droits de l’homme numérique (Data Privacy) de l’Union international des avocats (UIA). Il est coauteur de plusieurs ouvrages consacrés au droit des technologies (« Legal Aspects of Artificial Intelligence », LexisNexis UIA, 2019 ; « Robot, IA et Droit », Éditions Bruylant Larcier, 2019 ; « Informatique, Télécoms, Internet », Editions Francis Lefebvre, 6e édition, 2017). Il enseigne le droit de l’IA et des technologies émergentes à CentraleSupélec et Télécom Paris.

Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique




Covid-19 et données personnelles

Covid-19 et

Covid-19 et données personnelles : la collecte et le traitement des données personnelles pour endiguer la pandémie du Covid-19 sont particulièrement encadrés.

Covid-19 et données personnelles : le cadre légal

Les moyens de lutter contre la pandémie reposent sur certains outils susceptibles de collecter de nombreuses données personnelles, pour la plupart, « sensibles » :

  • traitements à des fins d’investigation par les autorités sanitaires (1) ;
  • questionnaires médicaux à des fins de gestion des suspicions d’exposition au virus par les employeurs (2) ;
  • jusqu’au « document » permettant de justifier d’un déplacement dérogatoire qui avait initialement été accepté en format numérique sur smartphone avant d’être finalement refusé, la Cnil ayant mis en garde contre les risques de phishing ou d’hameçonnage face aux nombreux sites non officiels proposant des solutions sans sécurisation du processus numérique…

La collecte et le traitement des données personnelles pour endiguer le virus pose de nombreuses questions liées à la sécurité et la confidentialité des données mais également au respect de la vie privée.

Ces données font par ailleurs l’objet d’une protection toute particulière par les dispositions du Code de la santé publique, le Code du travail ou encore le Code des postes et communications électroniques.

La collecte et le traitement des données

L’une des principales conditions à la licéité de la collecte des données et de leur traitement est le consentement des personnes concernées.

Il est l’une des six bases légales posées par le RGPD pour considérer qu’un traitement est licite. C’est même l’une des clés de voûte de la protection des données à caractère personnel.

Ce principe fait toutefois l’objet de dérogations. Ainsi, il est possible de traiter légalement des données personnelles malgré l’absence de consentement des personnes, notamment si le traitement est nécessaire

  • « à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne » ou
  • « à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement » (RGPD, art. 6, 1 d et e).

La collecte et le traitement de données dans le contexte de lutte contre la propagation du coronavirus, s’inscrit clairement dans ce cadre dérogatoire.

Néanmoins, il ne doit pas être porté atteinte au respect de la vie privée des personnes, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.

Face aux interrogations des salariés et des employeurs, la Cnil a fait le point dans un communiqué daté du 6 mars dans lequel est abordé tout ce qui est interdit et autorisé en matière de collecte de données personnelles relatives à la gestion du Covid-19.

La sécurité des données

La loi Informatique et libertés met à la charge de toute personne qui traite des données à caractère personnel (responsable du traitement et sous-traitant), l’obligation d’en assurer la sécurité et la confidentialité, afin de garantir le respect de la vie privée des personnes au sujet desquelles ces informations sont enregistrées.

En outre, la loi applique deux principes nouvellement consacrés par le RGPD : la confidentialité des données personnelles dès la conception et par défaut.

Ces principes impliquent notamment que les données traitées soient limitées à ce qui est strictement nécessaire à la finalité du traitement, que des durées de conservation aient été fixées, qu’il existe des règles de suppression automatique des données et qu’un processus d’habilitation soit mis en place pour l’accès aux données personnelles au bénéfice des seules personnes ayant à en connaître.

Le contexte lié à la pandémie ne doit pas faire oublier qu’en tant que données sensibles des mesures particulières de sécurité doivent être mises en place à l’égard de ces données.

La sécurité des personnes

Dans son communiqué du 6 mars, la Cnil rappelle les obligations de l’employeur à l’égard des salariés et agents en matière de prévention des risques professionnels.

L’employeur doit prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale de ses salariés (C. du travail, art. L. 4121-1).

Les mesures de sécurité s’appliquent aux travailleurs au sens de salariés, y compris temporaires, et les stagiaires, ainsi que toute personne placée à quelque titre que ce soit sous l’autorité de l’employeur (C. du travail, art. L. 4111-5).

La Cnil indique que les mesures de sécurité que doit prendre l’employeur concernant la prévention des risques professionnels en matière de de pandémie, sont « L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relevant de la responsabilité de ces autorités publiques ».

De son côté, « chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même : il doit informer son employeur en cas de suspicion de contact avec le virus ».

Nombreuses sont les entreprises à avoir pris des mesures organisationnelles (plan de continuité d’activité, confinement, télétravail, etc.).

La sécurité sanitaire et les messages d’alerte

Un message officiel du gouvernement adressé par SMS à des millions de Français le 17 mars pour les informer des règles de confinement a fait polémique.

Le Code des postes et des télécommunications électroniques autorise les autorités à saisir les opérateurs pour « l’acheminement des communications des pouvoirs publics destinées au public pour l’avertir de dangers imminents ou atténuer les effets de catastrophes majeures » (CPCE, Art. L. 33-1, f bis).

Les opérateurs doivent être en mesure d’assurer la transmission de messages d’alerte demandés par les autorités publiques en utilisant leurs infrastructures et listes d’abonnés pour en maximiser la diffusion.

Ces dispositions permettent aux autorités d’alerter facilement et rapidement la population via les téléphones portables par l’intermédiaire des opérateurs ainsi que l’y autorise le Code des communications électroniques européen en cas notamment de menace imminente d’attentat, d’incendie ou de catastrophe naturelle (3).

Aucun numéro de téléphone – donnée considéré comme personnelle-, n’est donc transmis à l’Etat qui ne détient pas de base de données regroupant l’ensemble des numéros de téléphone des abonnés.

La possibilité de traiter de telles données personnelles sans le consentement de l’intéressé entre dans les dérogations précédemment analysées pour assurer la sauvegarde des intérêts vitaux d’un État (RGPD, art. 6, 1 d et e).

Alain Bensoussan,
Mél : alain-bensoussan@lexing.law
L.D. : +33 (0)6 19 13 44 46

(1) Santé publique France, « Traitement de données à caractère personnel – Investigation relatives au nouveau Coronavirus (SARS-CoV-2) – COVID-19 », Suivi des cas possibles, des cas confirmés et des personnes contact par les ARS et Santé publique France.
(2) Cnil, « Coronavirus (Covid-19) : les rappels de la Cnil sur la collecte de données personnelles», 6 mars 2020.
(3) Directive (UE) 2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen (refonte).




Lexing Alain Bensoussan à la Nuit des Legaltechs : Data et algorithmes

Nuit des legaltechsLe cabinet Lexing Alain Bensoussan a largement participé à la Nuit des Legaltechs 2019, organisée par l’Incubateur du Barreau de Paris et le Barreau entrepreneurial.

La soirée qui a débuté par une intervention de Marie Aimée Peyron, Bâtonnier de Paris et une présentation des activités de l’incubateur ainsi que des projets incubés dans le cadre du programme d’incubation physique mené par l’incubateur, s’est déroulée le 19 novembre au Cloud Business Center.

La Nuit des Legaltechs 2019 : Data et algorithmes

La conférence sur « La data, levier de développement de vos cabinets », était animée par Nathalie Attias et Arnaud Touati. Alain Bensoussan, Jean-Luc Sauron, Thierry Wickers et Grégory Lewkowicz.

La conférence était suivie de tables rondes sous forme de speed coaching (12 tables de 10 personnes dont 2 intervenants avec 4 tours de 20 minutes soit 80 minutes).

 

Tables rondes de la Nuit des Legaltechs 2019

Déontologie et legaltech

  • Nathalie Attias, Avocat
  • Zakia Baki, Avocat

L’incubateur répond à vos questions

  • Mathieu Bui, Avocat
  • Eva Moral, Avocat
  • Melhik Boudemagh, Président d’Hercule

Comment trouver des clients avec les plates-formes de mise en relation ?

  • Mathieu Davy, Avocat, (Call a lawyer)
  • Julien Latouche (Votre Robin)
  • Pierre-Xavier Chomiac de Sas, Avocat

Publicité, notation et avocats

  • Louis Degos, Avocat
  • Frédérique Bonaventura, Lexposia

RGPD : suis-je en conformité ?

  • Jérôme Deroulez, Avocat
  • Pierre-Emmanuel Frogé, Avocat

Comment apprivoiser l’intelligence artificielle ?

  • Thierry Wickers, Avocat
  • Jacques Lévy Vehel, Case law analytics

Exploiter ses data

  • Pierre-Igor Legrand, Avocat
  • Pierre Affagard, Avocat

Le legal design

  • Caroline Laverdet, Avocat

Comment créer une legaltech ?

  • Alexis Deborde, Consultant, responsable du programme incubation de l’incubateur
  • Harry Allouche, Avocat

Justice prédictive retours d’expériences et nouveaux usages

Prendre le contrôle de ses données : enjeux de sécurité, confidentialité et secret pro

Productivité et avocat de demain

  • Arnaud Touati, Avocat
  • Léo Régoli, Chef de projet Legaltech chez Hercule
  • Justine Menu, Judi’predis




Un nouveau décret sur l’utilisation du NIR comme INS

utilisation du NIRLes conclusions de la Cnil, en date du 20 février 2007, sur l’utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) comme identifiant de santé, prévoyaient la restriction de l’utilisation du NIR, plus communément appelé numéro de sécurité sociale, à la sphère sociale, et interdisait son utilisation en tant qu’identifiant de santé.

Neuf ans plus tard, la loi de modernisation de notre système de santé du 26 janvier 2016 a modifié l’article L.1111-8-1 du Code de la Santé Publique (CSP). Les dispositions de ce texte ont été modifiées par l’Ordonnance du 12 décembre 2018, mais le principe reste le même : le NIR, et à défaut le Numéro Identifiant d’Attente (NIA), est utilisé comme Identifiant National de Santé (INS) des personnes pour leur prise en charge à des fins sanitaires et médico-sociales, dans les conditions prévues à l’article L.1110-4 du CSP relatif au secret médical, à l’échange et au partage des données de santé.

Conformément aux dispositions de cet article L.1111-8-1 du CSP, le dispositif a été complété par un décret n°2017-412 du 27 mars 2017.

Ce décret a été modifié très récemment par le décret n°2019-1036 du 8 octobre 2019, comme évoqué ci-après.

Référencement des données de santé

Caractéristiques du NIR

Le NIR est composé de treize chiffres et d’une clé de contrôle de deux chiffres. Il est attribué aux personnes nées en France, y travaillant ou y habitant de façon stable.

Comme le souligne la Cnil dans ses conclusions sur l’utilisation du NIR comme identifiant de santé, le NIR constitue un numéro particulier dans la mesure où il est :

  • « signifiant : il est composé d’une chaîne de caractères qui permettent de déterminer le sexe, le mois et l’année de naissance, et dans la majorité des cas, le département et la commune de naissance en France ou l’indication d’une naissance à l’étranger ;
  • unique et pérenne : un seul numéro est attribué à chaque individu dès sa naissance ;
  • a priori fiable : il est certifié par l’Institut National de la Statistique et des Études Économiques (INSEE), à partir des données d’état civil transmises par les mairies ».

Modalités d’utilisation du NIR comme INS

Les modalités d’utilisation du NIR comme INS afin de référencer les données de santé, notamment afin d’en empêcher l’utilisation à des fins autres que sanitaires et médico-sociales ont été définies par le décret du 27 mars 2017 ; elles ont été codifiées aux articles R.1111-8-1 et suivants du CSP.

Ainsi, l’article R.1111-8-2 du CSP dispose : « l’INS est utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes ».

Il est précisé à l’article R.1111-8-3 du CSP : « le référencement de données mentionnées à l’article R. 1111-8-2 à l’aide de l’INS ne peut être réalisé que par des professionnels, établissements, services et organismes mentionnés à l’article L. 1110-4 et des professionnels constituant une équipe de soins en application de l’article L. 1110-12 et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée ».

L’article R.1111-8-4 du CSP limite l’utilisation de données de santé et de données administratives référencées avec l’INS, dans le cadre d’un traitement de données à caractère personnel, aux seuls traitements ayant une finalité exclusivement sanitaire ou médico-sociale, y compris les fonctions nécessaires pour assurer le suivi social ou la gestion administrative des personnes prises en charge, et mis en œuvre dans le respect des dispositions de la loi informatique et libertés.

Le décret du 27 mars 2017 avait prévu une mise en conformité des acteurs concerné avec les nouvelles règles avant le 1er janvier 2020, date qui a été reportée au 1er janvier 2021 par le décret n° 2019-1036 du 8 octobre 2019.

Précisions sur l’utilisation du NIR comme INS

Nouveautés apportées par le décret du 8 octobre 2019

Le décret n° 2019-1036 du 8 octobre 2019 apporte des modifications au décret du 27 mars 2017 relatif à l’utilisation du NIR comme INS et aux articles R.1111-8-1 à R.1111-8-7 du CSP.

Il est précisé dans la notice même du décret que « le décret modifie les dispositions relatives à l’utilisation du NIR en tant qu’INS pour les mettre en conformité avec la loi Informatique et libertés, dans sa rédaction résultant de l’ordonnance n° 2018-1125 du 12 décembre 2018. Le décret adapte le calendrier de mise en œuvre de l’INS et renforce les règles de sécurité dans la prise en charge et la protection des données personnelles ».

En premier lieu, le décret ajoute à l’article R.1111-8-2 du CSP un alinéa prévoyant la possibilité d’avoir recours à l’INS à des fins de recherche autorisée dans les conditions prévues au titre II, chapitre III, section 3 de la loi Informatique et libertés relatif aux traitements de données à caractère personnel dans le domaine de la santé (et plus particulièrement aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé présentant une finalité d’intérêt public).

En outre, le décret modifie intégralement l’article R.1111-8-6 du CSP, dont le premier alinéa dispose désormais : « des téléservices permettent aux professionnels, établissements, services ou organismes mentionnés à l’article R.1111-8-3 d’accéder au NIR et de vérifier son exactitude dans le respect du référentiel mentionné à l’article R.1111-8-7. Ils sont mis en œuvre par la Caisse nationale de l’assurance maladie ».

L’article susvisé précise que le recours à ces téléservices est obligatoire sauf en cas d’indisponibilité des téléservices ou de motif légitime invoqué par les professionnels. Ce recours n’exonère pas de « mettre en place toute procédure de surveillance, de correction et de prévention des erreurs relevant de l’organisation de la prise en charge des personnes et concourant à la maîtrise du risque d’erreur dans l’identification des personnes ».

Enfin, le décret reporte au 1er janvier 2021 l’obligation de se conformer à l’ensemble des règles relatives à l’utilisation du NIR comme INS.

Attente de publication du référentiel INS définitif

Aux termes de l’article R.1111-8-7 du CSP, un référentiel doit définir les modalités de mise en œuvre de l’obligation de référencement des données de santé avec l’INS. Il doit préciser les procédures de surveillance et de gestion des risques et erreurs liés à l’identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes habilités à l’utiliser, ainsi que les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel mentionnées au même article.

En application de l’article L.1110-4-1 du CSP, ce référentiel doit être élaboré par l’ASIP Santé, en concertation avec les acteurs du secteur santé et médico-social, et approuvé par arrêté du ministre de la Santé.

À ce jour, le projet de référentiel INS a été publié par l’ASIP Santé sur son site.

La Cnil doit être saisie pour rendre un avis sur ce projet de référentiel, lequel devra ensuite être approuvé par arrêté, afin d’être publié dans sa version définitive et être opposable aux acteurs concernés.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Petit-déjeuner : Le droit des contrats à l’épreuve du RGPD

contrats à l'épreuve du RGPDLe cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

Le droit des contrats à l’épreuve du RGPD

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




Projet de loi bioéthique : patients et examens génétiques

examens génétiquesUn nouvel encadrement de la transmission des résultats d’examens génétiques qui diffère selon que les dits résultats ont été découverts de manière incidente ou dans le cadre d’une recherche, fait partie des dispositions envisagées par le projet de loi sur la révision des lois de bioéthique. Présenté au Conseil des Ministres du 24 juillet 2019, il sera débattu au Parlement en septembre 2019, il s’agira de la 3ème révision des lois bioéthique en 25 ans.

Selon le compte-rendu du Conseil des Ministres, « cette révision des lois de bioéthique s’inscrit dans un contexte de sauts technologiques inédits, auxquels s’ajoutent des attentes sociétales fortes ».

Les résultats d’examens génétiques découverts de manière incidente

Information de la personne et recueil de son consentement à l’examen de ses caractéristiques génétiques

Le titre III du projet de loi relatif à la bioéthique est intitulé « appuyer la diffusion des progrès scientifiques et technologiques dans le respect des principes éthiques ».

L’article 10, premier article de ce titre III, porte sur le consentement à un examen de génétique et sur la possibilité de refuser la révélation de ses résultats.

Cet article modifiera l’article 16-10 du Code civil en ajoutant des informations à fournir au patient, préalablement au recueil de son consentement, en plus de l’information sur la nature de l’examen, et sur son indication (s’il s’agit de finalités médicales) ou sur son objectif (s’il s’agit de recherche scientifique) :

  • le cas échéant, l’information sur « la possibilité que l’examen révèle incidemment des caractéristiques génétiques sans relation avec son indication initiale ou avec son objectif initial mais dont la connaissance permettrait à la personne ou aux membres de sa famille de bénéficier de mesures de prévention, y compris de conseil en génétique, ou de soins » ;
  • « l’information sur la possibilité de refuser la révélation des résultats de l’examen de caractéristiques génétiques sans relation avec l’indication initiale ou l’objectif initial de l’examen ainsi que sur les risques qu’un refus ferait courir aux membres de sa famille potentiellement concernés dans le cas où une anomalie génétique pouvant être responsable d’une affection grave justifiant de mesures de prévention, y compris de conseil génétique, ou de soins serait diagnostiquée ».

A la suite de la transmission de ces informations, le consentement exprès de la personne devra être recueilli par écrit, préalablement à la réalisation de l’examen. Ce consentement devra mentionner l’indication ou l’objectif de l’examen.

L’article ajoute que le consentement de la personne sera révocable sans exigence de forme à tout moment.

Concernant les examens de recherche scientifique, l’article L.1122-1-1 du Code de la santé publique dispose : « dans le cas où la personne se prêtant à une recherche a retiré son consentement, ce retrait n’a pas d’incidence sur les activités menées et sur l’utilisation des données obtenues sur la base du consentement éclairé exprimé avant que celui-ci n’ait été retiré ».

En tout état de cause, il y a lieu de rappeler qu’est puni d’un an d’emprisonnement et de 15.000 euros d’amende, le fait de procéder à l’étude des caractéristiques génétiques d’une personne à des fins autres que médicales ou de recherche scientifique, ou à des fins médicales ou de recherche scientifique, sans avoir préalablement recueilli son consentement (article L.1133-1 du CSP et 226-25 du Code pénal).

Absence de refus de la révélation des résultats des examens des caractéristiques génétiques

Conformément aux dispositions de l’article 10 du projet de loi relatif à la bioéthique, les résultats révélés incidemment lors de l’examen des caractéristiques génétiques, sans relation avec l’indication initiale ou avec l’objectif initial de cet examen, ne pourront être révélés à la personne qu’à condition que l’information complète susvisée lui ait été transmise au préalable et qu’elle n’ait pas refusé la révélation de ces résultats incidents.

La communication des résultats incidents sera assurée dans le respect des conditions :

  • du titre II du livre Ier de la première partie du CSP, quand les finalités de l’examen relèvent d’une recherche scientifique ;
  • du titre III du livre Ier de la première partie du CSP, quand les finalités de l’examen sont médicales.

S’agissant des recherches scientifiques, « la personne dont la participation est sollicitée est informée de son droit d’avoir communication, au cours ou à l’issue de la recherche, des informations concernant sa santé » (art. L.1122-1 CSP).

S’agissant des examens médicaux, « en cas de diagnostic d’une anomalie génétique grave, sauf si la personne a exprimé par écrit sa volonté d’être tenue dans l’ignorance du diagnostic, l’information médicale communiquée est résumée dans un document rédigé de manière loyale, claire et appropriée, signé et remis par le médecin. La personne atteste de cette remise. Lors de l’annonce de ce diagnostic, le médecin informe la personne de l’existence d’une ou plusieurs associations de malades susceptibles d’apporter des renseignements complémentaires sur l’anomalie génétique diagnostiquée. Si la personne le demande, il lui remet la liste des associations agréées » (art. L.1131-1-2 CSP).

Concernant la famille de la personne concernée, le médecin prescripteur prévoit avec la personne « dans un document écrit qui peut, le cas échéant, être complété après le diagnostic, les modalités de l’information destinée aux membres de la famille potentiellement concernés afin d’en préparer l’éventuelle transmission. Si la personne a exprimé par écrit sa volonté d’être tenue dans l’ignorance du diagnostic, elle peut autoriser le médecin prescripteur à procéder à l’information des intéressés » (art. L.1131-1-2 CSP).

En outre, « la personne est tenue d’informer les membres de sa famille potentiellement concernés dont elle ou, le cas échéant, son représentant légal possède ou peut obtenir les coordonnées, dès lors que des mesures de prévention ou de soins peuvent leur être proposées ». « Si la personne ne souhaite pas informer elle-même les membres de sa famille potentiellement concernés, elle peut demander par un document écrit au médecin prescripteur, qui atteste de cette demande, de procéder à cette information. Elle lui communique à cette fin les coordonnées des intéressés dont elle dispose. Le médecin porte alors à leur connaissance l’existence d’une information médicale à caractère familial susceptible de les concerner et les invite à se rendre à une consultation de génétique, sans dévoiler ni le nom de la personne ayant fait l’objet de l’examen, ni l’anomalie génétique, ni les risques qui lui sont associés » (art. L.1131-1-2 CSP).

Les résultats d’examens génétiques issus de la recherche

L’article 18 du projet de loi relatif à la bioéthique a pour objet de faciliter la recherche nécessitant des examens de génétique sur des collections d’échantillons biologiques conservés à l’issue de soins médicaux ou de recherches cliniques.

Régime général des examens génétiques à fins de recherche d’échantillons prélevés à d’autres fins

Il sera introduit un nouvel article L.1130-5 dans le Code de la santé publique, rappelant que l’examen des caractéristiques génétiques d’une personne à des fins de recherche scientifique peut être réalisé à partir d’éléments du corps de cette personne prélevés à d’autres fins :

  • lorsque cette personne a été informée du programme de recherche ; et
  • lorsqu’elle n’a pas exprimé son opposition.

L’opposition à l’examen « peut être exprimée sans forme, tant qu’il n’y a pas eu d’intervention sur l’élément concerné dans le cadre de la recherche ».

En cas de découverte de caractéristiques génétiques pouvant entraîner une affection justifiant des mesures de prévention ou de soins, la personne en est informée sauf si elle s’y est préalablement opposée.

Si de telles caractéristiques génétiques sont découvertes en cours de recherche et confirmées le cas échéant en laboratoire, la personne concernée est informée, si elle ne s’y est pas opposée, de l’existence d’une information médicale la concernant et invitée à se rendre chez un médecin qualifié en génétique afin de recevoir les informations complètes et de bénéficier d’une prise en charge. La personne peut s’opposer, sans exigence de forme et à tout moment ,à être informée de telles découvertes.

Il est précisé que les recherches visées dans ce nouvel article sont exclues du champ d’application de l’article 75 de la loi Informatique et libertés, selon lequel « dans le cas où la recherche nécessite l’examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données ».

Régimes particuliers des examens génétiques à fins de recherche d’échantillons prélevés à d’autres fins

Si la personne est mineure, ce seront les parents investis de l’exercice de l’autorité parentale ou le tuteur qui exprimeront leur opposition.

En revanche, si la personne fait l’objet d’une mesure de protection juridique avec représentation à la personne, elle exprime elle-même son opinion, le cas échéant assistée de la personne chargée de la mesure de protection.

Enfin, dans les cas où il est impossible d’informer la personne (personne décédée, ou hors d’état d’exprimer sa volonté, ou encore impossible à retrouver), le Comité de protection des personnes est saisi par le responsable du programme de recherche afin qu’il se prononce notamment sur l’opportunité de l’examen des caractéristiques génétiques de la personne ainsi que sur la pertinence éthique et scientifique de la recherche.

Il est précisé que ce nouvel article ne s’applique pas aux recherches dont la publication des résultats est susceptible de permettre la levée de l’anonymat des personnes.

Des dispositions à préciser

Un décret devra fixer :

  • les modalités d’information des personnes concernées ;
  • les modalités permettant l’expression de leur opposition.

Ainsi, les modèles de mentions d’information des personnes devront respecter les exigences du décret à venir, tout en étant adaptés aux particularités de chaque recherche.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Quelle gestion post mortem des données à caractère personnel ?

gestion post mortemSolution Notaire Hebdo (EFL) revient sur la conférence dédiée à la gestion post mortem des données personnelles à laquelle participait le cabinet le 14 mai 2019.

L’impact de la digitalisation sur le droit des successions à l’ère du tout numérique, des algorithmes et des réseaux sociaux : tel était le thème retenu par la Commission Fiducie et Patrimoine de l’Ordre des Avocats de Paris pour sa réunion du mardi 14 mai 2019.

L’occasion pour Virginie Bensoussan-Brulé, directrice du Pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, d’évoquer le sort post mortem des données personnelles du défunt, en le confrontant notamment aux réseaux sociaux.

De façon générale, les demandes de droit d’accès par les ayants-droit aux données des défunts se multiplient auprès des entreprises privées et organismes publics, principalement employeurs, donnant lieu à une jurisprudence de plus en plus fournie.

Comme le souligne justement Alexandra Deschamps dans l’article qu’elle consacre à ce sujet (Solution Notaire Hebdo du 6 juin 2019), « le sort des données personnelles du défunt présente des enjeux juridiques et éthiques sans précédent, au premier rang desquelles l’impact de la digitalisation sur le droit des successions et le risque d’une forme d’immortalité numérique. Comment traiter l’héritage digital à l’heure des réseaux sociaux et de l’intelligence artificielle ? »

Quant aux réseaux sociaux, à titre d’exemple, selon la Cnil, un profil Facebook sur cent serait celui d’une personne décédée, soit environ 23 millions de profils.

Surtout, chaque minute, trois personnes inscrites sur Facebook meurent dans le monde, ce qui à terme ne manquera pas de poser des questions juridiques et éthiques sans précédent.

Éric Bonnet, Directeur de la Communication juridique du cabinet Lexing Alain Bensoussan Avocats, a évoqué de son côté la nouvelle politique de Facebook annoncée le 9 avril dernier visant à rendre ses algorithmes plus respectueux du deuil en permettant notamment de détecter le décès d’un utilisateur afin d’éviter d’envoyer à ses proches certaines notifications, comme les rappels d’anniversaire.




Projet de loi des mobilités et accès aux données des véhicules connectés

projet de loi des mobilitésLe projet de loi d’orientation des mobilités (1) prévoit certaines dispositions permettant l’accès aux données des utilisateurs.

Alors que la totalité des nouveaux modèles de véhicules proposés en Europe, aux Etats-Unis et en Chine seront connectés à Internet en 2022, notamment à l’aide de boitiers télématiques, intégrés ou non au véhicule, l’essor des véhicules connectés pose la question de l’encadrement des données qu’ils produisent. La nouvelle réglementation relative à la généralisation des enregistreurs de données en cas d’accident et d’état de délégation (2) devrait également accroître le volume de données disponibles.

Dans ce contexte, le gouvernement a souhaité intégrer des dispositions relatives à l’accès à ces données dans le cadre du projet de loi des mobilités, actuellement en cours d’examen à l’Assemblée nationale.

Les enjeux

L’étude d’impact relative à ce projet de loi fait état d’enjeux d’ordre :

  • technique, notamment s’agissant de questions d’interopérabilité ou de cybersécurité ;
  • économique : les données des véhicules connectés pouvant être considérées comme des infrastructures essentielles, l’accès à ces données doit être permis dans des conditions non discriminatoires pour éviter que ne se constituent des barrières à l’entrée anti-concurrentielles ;
  • juridique dans la mesure où il s’agit de données à caractère personnel.

Les dispositions du projet de loi des mobilités

L’article 13 du projet prévoit la possibilité pour le Gouvernement de prendre par voie d’ordonnance dans un délai de dix-huit mois à compter de la publication de la loi toute mesure afin de :

  • rendre accessible aux forces de l’ordre et aux services d’incendie et de secours, certaines données des véhicules connectés, y compris des systèmes d’aide à la conduite ou de navigation intégrés au véhicule, nécessaires à l’exercice de leurs missions;
  • rendre accessibles certaines données événementielles ou d’état de délégation de conduite enregistrées, en cas d’accident de la route, aux officiers et agents de police judiciaire ainsi qu’aux organismes chargés des enquêtes accidents ;
  • permettre la correction télématique des défauts de sécurité et l’amélioration de la sécurité des systèmes d’automatisation, par des modalités appropriées d’accès aux données pertinentes de ces véhicules.

L’accès aux données de la part des forces de l’ordre et des services d’incendie et de secours (SDIS)

Au-delà du fait que la notion de véhicule connectée n’est pas clairement définie, le texte est assez imprécis sur la nature des données qui seraient concernées. Il évoque en effet « certaines données des véhicules routiers connectés » ce qui semble assez imprécis. Il s’agirait cependant des données « nécessaires à l’exercice » des missions des forces de l’ordre et des SDIS. Par ailleurs, la finalité de cette collecte n’est pas précisée, ni le moment de cette collecte : s’agit-il d’un accès en continu ou ponctuel en cas d’accident ? Enfin, la plus-value de cette disposition n’est pas évidente dans la mesure où les services de police et de gendarmerie peuvent déjà avoir accès à ces données sur réquisition judiciaire.

L’accès aux données d’EDR et d’ADDR

Les mêmes remarques que précédemment peuvent être faites. Dès lors, la nécessité de prévoir une disposition spécifique pour l’accès à ces données n’apparait pas clairement.

La correction télématique des défauts de sécurité et l’amélioration de la sécurité des systèmes d’automatisation

Il s’agit de permettre aux constructeurs de modifier par voie télématique les paramètres de fonctionnement du véhicule connecté lorsqu’ils « présentent des enjeux critiques de sécurité routière » (analyse d’impact). Ce projet de disposition ne mentionne pas qui serait habilité à accéder à ces paramètres et ne précise pas non plus comment la personne concernée serait informée de cet accès, voir si celui-ci devrait donner son consentement à toute intervention.

Dans le cadre de l’examen du projet de loi au Sénat, la Commission des lois et le rapporteur ont conclu au fait que la nécessité de recourir à une ordonnance n’apparaissait pas évidente – en l’absence d’urgence – et que l’habilitation apparaissait trop imprécise. Le rapporteur a donc sollicité la suppression de cette disposition. Il regrette en particulier que le Gouvernement souhaite agir sur des sujets relevant de la protection des données personnelles sans soumettre ce travail à la discussion du Parlement. Il a donc été proposé de supprimer cette disposition.

Cependant, partageant les objectifs du Gouvernement quant à la nécessité d’apporter des « réponses juridiques aux questions posées par le recueil, le traitement et l’exploitation des véhicules connectés », le rapporteur a invité le Gouvernement à proposer une nouvelle rédaction plus satisfaisante en vue de sa discussion en séance publique.

Réécriture lors des débats au Sénat

Lors des débats en première lecture au Sénat, le Gouvernement a proposé par voie d’amendement une réécriture de cette disposition.

La nouvelle rédaction proposée lors des débats au Sénat le 21 mars 2019 prévoit désormais six cas dans lesquelles les données relatives aux véhicules connectées seraient accessibles.

Elle prévoit notamment de « rendre accessibles, sans consentement du conducteur et gratuitement, en cas d’accident de la route, les données des dispositifs d’enregistrement de données d’accident et les données d’état de délégation de conduite enregistrées dans la période qui a précédé l’accident, aux officiers et agents de police judiciaire aux fins de détermination des responsabilités ainsi qu’aux organismes chargés de l’enquête technique et de l’enquête de sécurité prévues à l’article L. 1621-2 du code des transports ».

Elle précise également que l’accès « aux données pertinentes des véhicules » doit être permis afin de permettre la correction télématique des défauts de sécurité et l’amélioration de la sécurité des systèmes d’automatisation via « des modalités appropriées ».

Enfin, des mesures devront être adoptées afin de « permettre un accès non discriminatoire aux données pertinentes des véhicules pour le développement des services liés au véhicule de réparation, de maintenance et de contrôle technique automobiles, d’assurance et d’expertise automobiles, etc. »

Si cette seconde rédaction apparaît plus précise, la notion de « données pertinentes » ne fait cependant l’objet d’aucune définition.

Ce texte, voté au Sénat le 2 avril, a été transmis à l’Assemblée nationale. Il fait l’objet d’une procédure législative accélérée.

L’accès aux données des véhicules connectés est un enjeu majeur qu’il s’agisse de faire bénéficier la collectivité des données de mobilité, de protéger les données personnelles des utilisateurs (parfois susceptibles de révéler des informations sensibles) et le secret des affaires des constructeurs ou encore la sécurité des transports routiers (qu’en est-il si l’accès aux données télématiques est détourné à des fins malveillantes et non pour corriger des paramètres de sécurité, etc.). Dès lors, ce projet apparaît comme crucial dans le paysage législatif.

Aurélie Banck
Lexing Conformité RGPD Banque et Assurance

(1) Projet de loi d’orientation des mobilités. Texte n° 157 (2018-2019) de M. François DE RUGY, ministre d’État, ministre de la transition écologique et solidaire et Mme Élisabeth BORNE, ministre chargée des Transports, déposé au Sénat le 26 novembre 2018.
(2) Dans le cadre du projet de révision du règlement sur la sécurité des véhicules, la Commission européenne a proposé que les nouveaux véhicules particuliers soient obligatoirement équipés d’un enregistreur de données d’évènement (d’accident) également appelé Event Data Recorder (pour EDR).




Données personnelles : la DSP 2 et le RGDP sont-ils alignés ?

la DSP 2 et le RGDPComment concilier l’ouverture des données de paiement et le RGPD ? Aurélie Banck nous livre son analyse dans un numéro spécial « DSP 2 : Un nouvel univers de business » publié par la Revue Banque & Stratégie.

La DSP 2 et le RGDP : une philosophie opposée …

La philosophie de la DSP 2 est souvent opposée à celle du RGPD, l’ouverture des données de paiement étant pour certains difficilement conciliable avec la protection des données personnelles. Qu’en est-il vraiment ?

L’ouverture des données de paiement est au centre de l’open banking.  Elle permet à de nouveaux acteurs d’accéder à ces données, et place donc l’interaction entre la directive sur les services de paiement (DSP 2) et le Règlement général sur la protection des données (RGPD) au cœur du débat.

La DSP 2 a été adoptée le 25 novembre 2015 et le Règlement général sur la protection des données date du 14 avril 2016, avec une entrée en application au 25 mai 2018. Ces deux textes ont donc été adoptés dans un cadre temporel très proche.

Dès lors, même si la DSP 2 a été adoptée alors que la Directive 95/46/CE sur la protection des données personnelles était encore en vigueur, on aurait pu légitimement supposer que le législateur veillerait à la cohérence de ce texte avec la réforme en cours relative à la protection des données…

Aurélie  Banck, « La DSP2 et le RGPD sont-ils alignés ou orthogonaux ? » Revue Banque & Stratégie n°379, avril 2019.




Successions : les héritiers face au compte Facebook du défunt

défuntVirginie Bensoussan Brulé évoquera le 14 mai prochain pour le Barreau de Paris le sort des données personnelles du défunt à travers notamment

la gestion post mortem des réseaux sociaux.

Selon la Cnil, un profil Facebook sur cent serait celui d’une personne décédée, soit environ 23 millions de profils.

Surtout, chaque minute, trois personnes inscrites sur Facebook meurent dans le monde, ce qui à terme ne manquera pas de poser des questions juridiques et éthiques sans précédent.

Par ailleurs, et de façon générale, les demandes de droit d’accès par les ayants-droit aux données des défunts se multiplient auprès des entreprises privées et organismes publics, principalement employeurs, donnant lieu à une jurisprudence de plus en plus fournie.

L’impact de la digitalisation sur le droit des successions

C’est tout l’enjeu, à l’ère du tout numérique, des algorithmes et des réseaux sociaux, de l’impact de la digitalisation sur le droit des successions, thème retenu par la Commission Fiducie et Patrimoine de l’Ordre des Avocats de Paris pour sa réunion du mardi 14 mai 2019.

Le législateur l’a bien compris, en posant par la loi pour un République numérique du 7 octobre 2016 la possibilité d’organiser le sort de ses données personnelles après la mort : l’article 40-1 de la loi Informatique et libertés permet ainsi aux utilisateurs de donner des directives relatives à la conservation, à l’effacement et à la communication de leurs données après leur décès, et notamment de désigner une personne pour exécuter ces directives.

  • Qui peut être désigné tiers de confiance ?
  • En l’absence de directives données de son vivant par le défunt, les héritiers ont-ils la possibilité d’exercer certains droits, et lesquels ?
  • Quid du droit d’accès des héritiers lorsqu’il est nécessaire pour le règlement de la succession du défunt ?

Autant de questions qu’évoquera à cette occasion Virginie Bensoussan Brulé, avocate, directrice du Pôle Contentieux Numérique du cabinet Lexing Alain Bensoussan Avocats, dans le cadre de son intervention qui portera sur la gestion post mortem des données personnelles.

La gestion post mortem des réseaux sociaux : l’exemple du compte Facebook

A ses côtés, Eric Bonnet, avocat, Directeur de la Communication juridique, Lexing Alain Bensoussan Avocats, évoquera la nouvelle politique de Facebook annoncée le 9 avril dernier visant à rendre ses algorithmes plus respectueux du deuil en permettant notamment de détecter le décès d’un utilisateur afin d’éviter d’envoyer à ses proches certaines notifications, comme les rappels d’anniversaire.

Commission ouverte Fiducie et Patrimoine
Co-responsables : Hugues Letellier, AMCO, Didier Poulmaire et Yves-Marie Ravet, avocats à la Cour

  • Lieu :

Salle Gaston Monnerville
Maison du Barreau
2 rue de Harlay 75001 Paris

  • Horaires :

18h30-20h30

  • Inscriptions :

Avocats : inscrivez-vous
Non-avocats : formationcontinue@avocatparis.org

Contact :
Tél.: 01 44 32 48 08
E-mail : formationcontinue@avocatparis.org




Santé numérique: les enjeux du programme Hop’EN

Le programme Hop’ENLe programme Hop’EN, « Hôpital numérique ouvert sur son environnement », poursuit la politique du numérique en santé initiée par le Programme Hôpital Numérique (2012-2018).

Lancé par la DGOS et encadré par son instruction du 12 février 2019, il s’inscrit dans le cadre de la stratégie de transformation du système de santé (STSS) « Ma santé 2022 » et de son volet numérique. Il a pour objectif une modernisation nationale des systèmes d’information hospitaliers à cinq ans.

Il mobilise un budget de 420 millions d’euros dans le cadre du grand plan d’investissement (GPI).

Objectifs du programme Hop’EN

Les objectifs du programme Hop’EN sont les suivants :

  • capitaliser et poursuivre les efforts engagés dans le cadre du programme Hôpital Numérique ;
  • renforcer la structuration des données hospitalières pour en faciliter le partage ;
  • le programme Hop’EN, « Hôpital numérique ouvert sur son environnement », poursuit la politique du numérique en santé initiée par le Programme Hôpital Numérique (2012-2018).Lancé par la DGOS et encadré par son instruction du 12 février 2019, il s’inscrit dans le cadre de la stratégie de transformation du système de santé (STSS) « Ma santé 2022 » et de son volet numérique. Il a pour objectif une modernisation nationale des systèmes d’information hospitaliers à cinq ans.Il mobilise un budget de 420 millions d’euros dans le cadre du grand plan d’investissement (GPI).

Objectifs du programme Hop’EN

Les objectifs du programme Hop’EN sont les suivants :

  • capitaliser et poursuivre les efforts engagés dans le cadre du programme Hôpital Numérique ;
  • renforcer la structuration des données hospitalières pour en faciliter le partage ;
  • développer et simplifier les liens entre l’hôpital et ses partenaires, notamment la ville et le médico-social dans une logique de prise en charge décloisonnée, via le développement de la MS Santé, du DMP, et d’autres outils territoriaux appuyés par le niveau national (via le programme e-parcours notamment) ;
  • accélérer la transformation numérique des établissements de santé pour rapprocher les hôpitaux de leurs patients en offrant des services numériques adaptés et sécurisés (prise de rendez-vous, paiement en ligne, …) dans le cadre de la mise en place de l’espace numérique de santé ;
  • harmoniser les services numériques des hôpitaux sur un même territoire pour que le patient vive avec plus de facilité le passage d’un établissement à l’autre et bénéficie d’un même niveau de services (dans le contexte GHT notamment).

Le programme s’appuie sur plusieurs leviers opérationnels pour atteindre ces objectifs : la gouvernance, les compétences, les partenaires, le financement, l’accompagnement, le pilotage et la communication, la recherche et l’évaluation. Ces leviers doivent aider les établissements à atteindre le palier de maturité nécessaire pour permettre aux systèmes d’information hospitaliers (SIH) de répondre aux nouveaux enjeux de décloisonnement du système de santé et de rapprochement avec les patients.

Chaque ARS est tenue d’élaborer sa « feuille de route régionale » décrivant ses objectifs en matière d’informatisation ainsi que les modalités de déclinaison du programme Hop’EN sur son territoire. L’ARS gère l’enveloppe régionale de soutien financier qui lui a été déléguée pour le programme, sélectionne et instruit les dossiers des établissements, et rend compte de l’avancement des projets aux instances nationales.

Respect des prérequis et domaines fonctionnels

Le programme Hop’EN pose des prérequis et liste des domaines fonctionnels.

Les 4 prérequis sont :

  • identités – mouvements ;
  • sécurité ;
  • confidentialité ;
  • échange et partage ;

Les 7 domaines fonctionnels sont :

  • les résultats d’imagerie, de biologie et d’anatomo-pathologie ;
  • le dossier patient informatisé et interopérable ;
  • la prescription électronique alimentant le plan de soins ;
  • la programmation des ressources et l’agenda du patient ;
  • le pilotage médico-économique ;
  • la communication et l’échange avec les partenaires ;
  • les services aux patients ;

Pour chaque prérequis et chaque domaine fonctionnel, la DGOS a développé des indicateurs permettant de vérifier si l’objectif est atteint.

Par exemple, pour le prérequis « échange et partage », l’un des indicateurs est l’existence et l’utilisation dans l’établissement d’une messagerie intégrée à l’espace de confiance MS Santé.

De même, pour le domaine fonctionnel « informatiser la prescription alimentant le plan de soins », l’un des indicateurs est le taux de séjours disposant de prescriptions d’examens de biologie informatisées, sachant que le seuil d’éligibilité pour le programme Hop’EN est un taux de 80 % des séjours concernés.

L’ensemble des indicateurs, permettant aux établissements de vérifier leur conformité avec les prérequis et les domaines fonctionnels du programme, figurent à l’annexe 1 de l’instruction de la DGOS du 12 février 2019.

La dotation de 420 millions d’euros allouée au programme HOP’EN, sera distribuée du second semestre 2019 à l’année 2023 aux établissements ayant répondu aux exigences du programme, donc à ces indicateurs.

20 % de l’enveloppe est dédiée à l’amorçage soit 84 millions d’euros, et 80 % réservée à l’atteinte des domaines d’usage soit 336 millions d’euros.

Exigences relatives à la protection des données

Les indicateurs des prérequis intègrent des exigences issues du Règlement européen relatif à la protection des données (RGPD).

En effet, le 2ème prérequis porte sur la sécurité des systèmes d’information. Il s’agit évidemment d’une exigence au cœur du RGPD, figurant à son article 32 : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Le 3ème prérequis porte sur la confidentialité, laquelle constitue l’un des principes fondamentaux du RGPD (article 5.1.f)).

Parmi les indicateurs de ce prérequis se trouvent :

l’information des patients sur les traitements de leurs données (articles 13 et 14 du RGPD) ;

l’information des patients sur leurs droits à cet égard (articles 15 à 22 du RGPD) ;

à nouveau la sécurité des données (article 32 du RGPD) ;

l’existence d’une fonction DPO au sein de l’établissement (articles 37 à 39 du RGPD) ;

Ainsi, le financement alloué dans le cadre du programme Hop’EN est conditionné par la mise en conformité par les établissements de santé au RGPD.

Une date butoire au 30 juin 2019, sauf dérogation

Les établissements de santé ou GHT souhaitant soumettre un projet informatique à financer dans le cadre du programme Hop’EN doivent répondre à un appel à manifestation d’intérêt (AMI), ouvert jusqu’au 30 juin prochain, en renseignant un module de pré-candidature au sein de l’oSIS (observatoire des SI de santé).

Les établissements candidats doivent avoir atteint les prérequis Hop’EN avant le dépôt de leur dossier ou, de façon dérogatoire, avant le 1er janvier 2021, faute de quoi le montant alloué au titre de l’amorçage devra être remboursé.

Les ARS sont chargées de présélectionner les candidatures et de présenter à la DGOS leur programmation pluriannuelle prévisionnelle de financement au plus tard le 30 août 2019.

Les établissements et GHT seront informés de la sélection ou du rejet de leur candidature au plus tard le 30 septembre.

Exceptionnellement, les établissements qui n’auront pas fait part de leur souhait de candidater au cours de l’AMI pourront transmettre ultérieurement leur candidature jusqu’au 31 décembre 2021, si l’ARS et son enveloppe régionale le permettent.


M
arguerite Brac de la Perrière
Isabeau de Laage
Lexing Département Santé numérique




Tourisme, digital, expérience client : retour sur le To.te.c 2018

Alain Bensoussan est intervenu lors du To.te.c 2018 organisé par Eventiz Media Group et dédié cette année à « l’expérience client » dans le secteur du tourisme.

600 décideurs français et étrangers du tourisme, du voyage d’affaires et du digital étaient réunis le 11 décembre 2018 à Paris (Pavillon Cambon) dans le cadre de la 10ème édition du To.te.c (Tourisme Technology Conferences) organisée par Eventiz Media Group.

Au programme : des conférences et tables rondes sur le thème de « L’expérience client » portant sur l’impact des nouvelles technologies dans le secteur du Business Leisure Travel, ainsi qu’un déjeuner et un cocktail dédiés au networking entre les acteurs du tourisme, du voyage d’affaires et du digital.

A cette occasion, Alain Bensoussan a livré sa vision du voyage de demain et en particulier le concept de « double informationnel » qui transformera selon lui l’expérience du voyage.

Au-delà de cette transformation, Alain Bensoussan a présenté ce qui constituera une révolution majeure et un enjeu crucial pour le secteur du tourisme : la création, inéluctable à ses yeux d’un droit à la propriété – et partant à la monétarisation – sur ses propres données.

Tourisme, transition digitale et nouveaux facteurs de compétitivité

Le tourisme d’affaires et de loisirs est un secteur extrêmement compétitif et les acteurs sont sans cesse à la recherche de nouveaux facteurs de compétitivité.

Selon Alain Bensoussan, ceux qui ne se contenteront plus d’analyser les comportements des utilisateurs et d’« identifier des réalités fortes à partir de signaux faibles » mais qui feront la démarche de demander les données directement aux consommateurs auront pris la mesure d’une véritable révolution juridique, technologique et économique. Et deviendront de facto les plus compétitifs sur le marché.

Alain Bensoussan a également plaidé à cette occasion en faveur d’un droit de propriété sur les données, que vient de consacrer le législateur brésilien, et qui va transformer en profondeur le système actuel.

Selon lui, cela ne va qu’accélérer la généralisation du « scoring » dans le secteur du travel.

Si la méthode du scoring est d’ores et déjà largement utilisée dans le domaine bancaire et assurantiel, l’annonce de sa généralisation par la Chine à compter du 1er janvier 2019 ne manque pas d’interpeler et d’inquiéter. Une chose est sûre : son exploitation dans le secteur du voyage va se démocratiser, et ce sera « à la fois l’utilisateur et l’entreprise qui seront notés ».

Ce système de scoring social pourrait être mis en place grâce à une privatisation des bases de données et à la définition d’un statut de copropriétaire de données entre professionnel et client.

A partir de là, le scoring pourra être étendu à de nombreuses variables tels que la notation de l’empreinte écologique par exemple.

Selon Alain Bensoussan, « nous allons assister à la concentration des différents types de données personnelles détenus par les banques, assureurs et services de transports pour mener à la création d’un avatar numérique ».

Ce véritable double informationnel sera la clef d’hyperpersonnalisation de demain : les acteurs du secteur détiendront toutes les informations sur le voyageur afin de proposer une offre sur mesure.

Eric Bonnet
Audrey Cuenca
Lexing Tourisme numérique

(1) To.te.c (Tourisme Technology Conferences)




RGPD, gouvernance des données personnelles et analyse d’impact

données personnelles et analyse d'impactL’Académie de Sciences techniques, comptables et financières publie son guide « Gouvernance des données

 personnelles et analyse d’impact » mis à jour.

Nul besoin de rappeler que le Règlement général sur la protection des données personnelles (RGPD) est une réforme majeure qui impacte en profondeur l’environnement digital des entreprises, même si force est de constater qu’au 25 mai dernier, la prise de conscience de toutes les implications, notamment juridiques et opérationnelles, des changements induits par ce règlement n’était pas, loin s’en faut, générale au sein des entreprises et organisations.

S’ajoute à cette mise en conformité au RGPD, un enjeu de taille : la continuité de la protection au-delà du 25 mai.

Gouvernance des données personnelles et analyse d’impact

Dans ce cadre, l’analyse d’impact relative à la protection des données, conçue comme un outil de prise de conscience des risques que pourraient subir les données personnelles et des mesures à déployer afin d’amoindrir voire de supprimer les risques ainsi identifiés, sera au cœur des préoccupations des organisations dans les prochains mois.

Et ce même si la Cnil a, dès février 2018, décidé de repousser de trois ans leur réalisation, pourtant obligatoire au titre du RGPD pour tous les traitements pouvant présenter un risque pour les données à caractère personnel.

Mais le délai accordé est limité aux traitements existants et ayant fait l’objet d’une formalité auprès de la Cnil avant le 25 mai 2018 ou encore aux traitements ayant été consignés au registre d’un correspondant Informatique et libertés.

En revanche, l’étude d’impact doit être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé.

Les obligations de procéder à ces études d’impact, celle dite « d’accountability » ou obligation de « rendre des comptes », sont au cœur du RGPD et plus que jamais essentielles.

C’est ce qu’a bien compris le Groupe de travail G45 de l’Académie de Sciences techniques, comptables et financières « Gouvernance des données personnelles et analyse d’impact dans le cadre du RGPD » qui rendra public le 5 décembre 2018 à notre cabinet la seconde édition de son Livre blanc.

Données personnelles et analyse d’impact dans le cadre du RGPD

Réalisé par une équipe pluridisciplinaire comprenant des délégués aux données personnelles des plus grands groupes, des RSSI, des ingénieurs spécialisés, des juristes d’entreprises, des avocats et des commissaires aux comptes, ce Livre blanc se veut plus que jamais un guide pratique pour :

  • comprendre le cadre juridique de l’analyse de risques et de l’analyse d’impact ;
  • comprendre quand une analyse d’impact est obligatoire ;
  • comprendre comment conduire une analyse d’impact ;
  • démontrer par l’exemple le déroulement d’une analyse d’impact.

Au-delà du RGPD, l’analyse de risques et l’analyse d’impact relatives à la protection des données personnelles constituent autant de bonnes pratiques que les entreprises ont intérêt à appliquer pour montrer à leurs écosystèmes le respect qu’elles ont des personnes.

La présentation de ce Livre Blanc « Gouvernance des données personnelles et analyse d’impact dans le cadre du RGPD » se déroulera :

le mercredi 5 décembre 2018 de 17H30 à 19H30

 Accueil à partir de 17h00 – Conférence suivie d’un cocktail

Lieu : Cabinet Alain Bensoussan Avocats Lexing
Immeuble Cap Etoile – 58 boulevard Gouvion-Saint-Cyr
75017 Paris (Métro : Porte
Maillot)

 Cette conférence sera l’occasion de montrer qu’au-delà du seul RGPD, l’analyse de risques et l’analyse d’impact relative à la protection des données sont primordiales pour les organismes concernés qui ont tout intérêt à démontrer que leur écosystème respecte ce nouveau cadre juridique. Les intervenants s’attacheront à préciser le cadre juridique de l’analyse de risques et de l’analyse d’impact, quand une analyse d’impact est obligatoire, comment conduire une analyse d’impact, etc.

Intervenants :

  • Ingrid Nkouenjin, chef du service des outils de la conformité, CNIL
  • Florence Houdot, expert-comptable, commissaire aux comptes, CRISC, SYC Consultants
  • Hélène Legras, DPO Groupe Orano, vice-présidente ADPO
  • Anne Renard, avocat, directeur du département Conformité et certification, Alain Bensoussan Avocats Lexing
  • Emmanuelle Nahum, avocat associé, Quantic Avocats
  • Serge Yablonsky, expert-comptable, commissaire aux comptes, CISA, CGEIT, CRISC, SYC Consultants

Les intervenants s’appuieront notamment sur des cas concrets pour illustrer leurs propos.

Il y sera question du logiciel libre PIA de la Cnil : Emmanuelle Nahum, avocat à la Cour, et Florence Houdot, Expert-Comptable et Commissaire aux comptes, se livreront à cette occasion à l’analyse d’un cas pratique à partir de cet outil.

Eric Bonnet
Directeur du département Communication juridique




Pro Bono : le cabinet aux côtés de la Fondation Abbé Pierre

Fondation Abbé PierreLe cabinet assiste la Fondation Abbé Pierre dans la sécurisation de son système d’information et sa conformité au RGPD.

Déjà actif de longue date dans le cadre de projets Pro Bono (v. notre post du 4-5-2017), le cabinet Lexing Alain Bensoussan Avocats vient de signer un partenariat avec la Fondation Abbé Pierre.

Objectifs du partenariat avec la Fondation Abbé Pierre

  • renforcer la sécurité du système d’information de la Fondation et la doter d’une charte informatique définissant les droits et obligations de ses utilisateurs ;
  • mettre en place les dispositions nouvelles issues du règlement européen sur la protection des données (RGPD), pour l’ensemble des données informatiques qu’elle est amenée à traiter.

Au regard des objectifs qu’elle poursuit, le cabinet a souhaité mettre son expertise au service de la Fondation en l’accompagnant dans ses démarches pour la conception et la réalisation des objectifs précités.

Les deux parties ont signé dans ce cadre une convention de mécénat de compétences ayant pour objet de définir les modalités et conditions d’intervention de la société Alain Bensoussan Avocats pour la Fondation à laquelle elle apporte son soutien.

Eric Bonnet
Directeur Département communication juridique




Classements Décideurs 2018 : Alain Bensoussan Avocats à l’honneur

Décideurs 2018Lexing Alain Bensoussan Avocats est incontournable dans les catégories Technologies, Internet & Télécommunications ainsi qu’en Santé électronique.

Comme chaque année, le Magazine Décideurs (groupe Leaders League) publie ses classements consacrés aux meilleurs cabinets d’avocats.

Nous sommes fiers d’annoncer que cette année encore, dans la catégorie Technologies, Internet & Télécommunications, le cabinet Lexing Alain Bensoussan Avocats est classé « Incontournable » :

  • en droit de l’internet ;
  • en droit des données personnelles ;
  • en droit de l’informatique.

Le cabinet est également classé incontournable, dans la catégorie Santé, Pharma & Biotechnologies, en Santé électronique.

Voici le détail des classements :

Décideurs 2018 : Droit de l’Internet

Leading partner : Alain Bensoussan
Décideurs 2018

Décideurs 2018 : Droit des données personnelles

Leading partner : Alain Bensoussan
Décideurs 2018

Décideurs 2018 : Droit de l’informatique

Leading partners : Alain Bensoussan, Jean-François Forgeron, Frédéric Forster et Benoit de Roquefeuil
Décideurs 2018

Décideurs 2018 : Santé électronique

Leading partners : Marguerite Brac de la Perrière et Alain Bensoussan

Cette nouvelle reconnaissance du cabinet fait suite à la désignation, au mois d’avril, comme « Top Tier Firm », du cabinet dans le cadre de l’édition 2018 de Legal 500 dans la catégorie IT, telecoms and the internet, et d’Alain Bensoussan comme « leading individual lawyer » dans la même catégorie.

Eric Bonnet
Directeur de la Communication juridique




Vers l’adoption prochaine d’un Cloud act européen ?

Cloud act européenBientôt un Cloud act européen dans le sillage américain pour rétablir l’égalité des armes dans les enquêtes internationales.

Le Clarifying Lawful Overseas Use of Data act, adopté en avril 2018, dont l’acronyme est Cloud act (1) a suscité un vif émoi en Europe. Désormais un prestataire hébergeant des données intéressant la justice américaine pour des infractions de droit commun est contraint de les fournir sur réquisition, même si les données se trouvent physiquement hors des Etats-Unis d’Amérique et sous le contrôle d’une société n’étant pas de droit américain.

Le Gouvernement français ne s’est pas encore prononcé sur l’impact du Cloud act en France (2). La Commission européenne, elle, a très rapidement réagi (3) et travaille à un projet de règlement et de directive qui institueraient un Cloud act européen (4).

Cloud act européen : le projet de règlement E-evidence

Comme pour le Cloud Act américain, c’est le constat de la lenteur et de la lourdeur des procédures de coopération judiciaire existantes qui justifie une révision profonde du droit.

Différents mécanismes d’injonction de communication et de conservation sont envisagés au sein de l’Union européenne.

Pour les prestataires hors Union européenne mais qui hébergeraient des données de citoyens européens, leur première obligation consisterait à nommer un représentant légal au sein de l’Union européenne (comme cela est déjà le cas dans le cadre de la directive NIS et du RGPD).

Ainsi, tous les prestataires seraient soumis aux mêmes obligations même si leur siège social est hors de l’Union et que leurs datacenters se trouvent «off-shore». Les décision et injonctions au cœur du projet de cloud act européen leur seraient directement opposables.

En cas de violation de ces injonctions ou non-déclaration d’un représentant, c’est leur activité sur le marché européen qui pourrait se voir compromise. A l’inverse, le prestataire européen avec représentant disposerait de garanties quant à son activité européenne et de voies de recours contre les injonctions.

Ce texte ambitieux ne pourra être utilement discuté qu’après les prochaines échéances électorales européennes de mai 2019.

Cloud act européen et US cloud act : un conflit de loi certain

Il apparaît cependant que le cloud act européen, s’il était adopté, porte intrinsèquement le risque d’un conflit de loi. Si un prestataire se voyait recevoir concomitamment ou successivement des injonctions contraires d’un juge américain et d’un juge d’un Etat européen (l’un demandant la suppression de données, l’autre sa conservation), plus aucun mécanisme de coopération judiciaire ne permettrait de surmonter ce type de difficultés.

Le prestataire concerné serait alors confronté à faire un choix cornélien :

  • user de recours coûteux pour faire valoir sa bonne foi et ne pas compromettre sa position vis-à-vis de chacun des deux juges mais dans la mesure où les prestataires les plus compétitifs sur le cloud sont américains, l’avantage est clairement pour ce juge ;
  • ou tout simplement quitter le marché européen. Suite à l’application du RGPD le 25 mai 2018, certains acteurs américains ont déjà fait ce choix avec leurs clients européens.

Le Cloud act européen fait sens à l’heure où coopération internationale et multilatéralisme font de plus de plus défaut. Il faut souhaiter que la liberté du commerce international ne sera pas mise à mal, alors que les champions du cloud public à bas coût restent américains et que le cloud souverain européen est toujours en construction.

Eric Le Quellenec
Lexing Informatique conseil

(1)  Les dispositions du Cloud Act (modifiant le Stored Communications Act (SCA) de 1986, codifié au chapitre 121, 1e Partie, Titre 18 de l’US Code) ont été adoptées avec le Consolidated Appropriations Act (Division V : Cloud Act), le 23 mars 2018.
(2) Question parlementaire n°9260, JO AN (Q) du 12 juin 2018, p. 4936.
(3) Le Cloud Act, booster du cloud Computing souverain, Post du 21 mai 2018.
(4) Union de la sécurité : la Commission facilite l’accès aux preuves électroniques, communiqué de presse, 17 avril 2018.




DataXDay : vers la propriété et la monétisation des données personnelles

DataXDayAlain Bensoussan est intervenu le 17 mai 2018 lors de la conférence DataXDay sur le thème de la propriété et de la monétisation des données personnelles.

Dans un monde hyperconnecté, la question de la propriété et de la monétisation des données personnelles est à l’ordre du jour.

Il s’agit d’une question majeure pour les data scientist et le monde de l’IA qui suscite aujourd’hui un débat international.

Selon Alain Bensoussan, le droit de chacun de fixer un prix sur ses propres informations semble inévitable à long terme. A cet effet, il donne des pistes de réflexion notamment grâce au droit des contrats.

DataXDay est une conférence technique autour du monde de la data, destinée aux passionnés et professionnels.

Big Data, Smart Data, machine learning, etc. autant de sujets abordés lors de cette conférence par des experts de renommée internationale qui travaillent sur l’exploitation des données et les technologies associées.

DataXDay Paris, 17 mai 2018.




Conservation des données du profil biologique des sportifs

profil biologique des sportifsUn décret modifie la durée de conservation des données médicales dans le profil biologique des sportifs géré par l’AFLD (agence française de lutte contre le dopage).

Rappel du dispositif concernant les traitements des données personnelles médicales des sportifs

Le décret n° 2018-373 du 18 mai 2018 s’inscrit dans le dispositif légal français visant à la prévention, la recherche, la constatation et la poursuite des infractions à la réglementation antidopage (1).

Pour mémoire, la loi n° 2012-348 du 12 mars 2012 a modifié le Code du sport en créant le profil biologique des sportifs (2).

L’article L.232-12-1 dudit Code dispose que :

« Les prélèvements biologiques mentionnés au premier alinéa de l’article L. 232-12 peuvent avoir pour objet d’établir le profil des paramètres pertinents dans l’urine ou le sang d’un sportif aux fins de mettre en évidence l’utilisation d’une substance ou d’une méthode interdite en vertu de l’article L. 232-9. Les renseignements ainsi recueillis peuvent faire l’objet, dans des conditions fixées par décret en Conseil d’Etat, d’un traitement informatisé par l’Agence française de lutte contre le dopage (AFLD) dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’information, aux fichiers et aux libertés. »

Les contrôles antidopage permettent donc d’établir le profil biologique des sportifs. Des profils, regroupant toutes les données personnelles médicales du sportif contrôlé, pour évaluer dans le temps les effets d’un produit spécifique sur son organisme et déceler d’éventuelles variations physiologiques anormales.

La loi n° 2012-348 du 12 mars 2012 précitée fut notamment complétée par un avis favorable de la Commission nationale de l’informatique et des libertés (Cnil), estimant que «ces finalités sont déterminées, explicites et légitimes» et que le «traitement créé par l’AFLD est justifié par la poursuite d’un intérêt public, à savoir garantir la santé publique et l’intégrité des compétitions sportives« .

Par décret n°2013-1317 du 27 décembre 2013, l’AFLD était autorisée à créer un traitement automatisé de données à caractère personnel visant à faciliter la mise en œuvre du profil biologique des sportifs (3).

Apport du décret du 18 mai 2018 : modification des durées de conservation des données personnelles médicales du profil biologique des sportifs

En principe, le profil biologique des sportifs, ainsi que tous les procès-verbaux de contrôle suite à un prélèvement sanguin (Art. R.232-67-1 du Code du sport) doivent indiquer si le sportif a participé à des stages en moyenne ou haute altitude ou a eu recours à un dispositif de simulation de l’altitude au cours des trois derniers mois (Art. R.232-41-3 du Code du sport).

Désormais, seuls les stages ou les simulations réalisées dans les deux semaines précédant le contrôle antidopage doivent être déclarés par le sportif.

Deuxièmement, toutes les données personnelles du sportif inscrites dans son profil biologique et relatives à :

  • l’état civil du sportif ;
  • l’activité du sportif ;
  • aux indications communiquées par le sportif sur un traitement médical en cours ou récent ;
  • aux données hématologiques mesurées ou calculées dans les échantillons de sang du sportif ;
  • aux données mesurées ou calculées dans les échantillons d’urine du sportif.

doivent être supprimées dans un délai de dix ans (au lieu de huit ans) à compter de leur enregistrement dans le profil biologique par l’ALFD (Art. R. 232-41-8 Code du sport).

Cet allongement de la durée de conservation des données personnelles médicales dans le profil biologique des sportifs permettra de détecter les variations physiologiques sur une période plus longue.

En conséquence, ce décret renforce le dispositif légal de lutte contre le dopage sportif.

Marie Soulez
Guillaume Paugam
Lexing Département Propriété intellectuelle contentieux

(1) Décret n° 2018-373 du 18 mai 2018 modifiant les dispositions de la partie réglementaire du code du sport relatives à l’établissement du profil biologique des sportifs et au traitement automatisé de données à caractère personnel résultant de sa mise en œuvre (JORF du 20-05-2018).
(2) Loi n° 2012-348 du 12 mars 2012 tendant à faciliter l’organisation des manifestations sportives et culturelles (JORF du 13-03-2012) : article L. 232-12-1 du code du sport.
(3) Décret n°2013-1317 du 27 décembre 2013 autorisant la création d’un traitement automatisé de données à caractère personnel visant à mettre en œuvre l’établissement du profil biologique des sportifs mentionnés à l’article L. 232-15 du code du sport (JORF du 31-12-2013).




La Cnil publie son guide sur la sécurité des données personnelles

sécurité des données personnellesLa Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.

Précautions élémentaires sur la sécurité des données personnelles

Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes

Le guide sur la sécurité des données personnelles a vocation à être utilisé dans le cadre d’une gestion des risques et se base sur quatre grandes étapes :

  • recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent ;
  • apprécier les risques engendrés pour chaque traitement grâce à l’identification
    – des impacts potentiels,
    – des sources de risque,
    – des menaces réalisables ;
  • mettre en œuvre et vérifier les mesures prévues ;
  • faire réaliser des audits de sécurité périodiques.

17 fiches pour aider à évaluer le niveau de sécurité des données personnelles

Le guide sur la sécurité des données personnelles prévoit dix-sept fiches pour aider les organismes à évaluer le niveau de sécurité des données personnelles.

Ces fiches décrivent les précautions élémentaires recommandées par la Cnil pour les dix-sept thèmes suivants :

1. Sensibiliser les utilisateurs

La Cnil préconise de rédiger une charte informatique et de lui donner une force contraignante (en l’annexant au règlement intérieur) et de prévoir la signature d’engagement de confidentialité ou d’insérer dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

2. Authentifier les utilisations

La Cnil recommande de définir un identifiant unique par utilisateur et d’interdire les comptes partagés. Elle précise qu’un mot de passe contient 12 caractères minimum de 4 types différents si l’authentification repose uniquement sur le mot de passe.

3. Gérer les habilitations

Il est conseillé de limiter les accès aux seules données dont un utilisateur a besoin en définissant des profils d’habilitation, de supprimer les permissions d’accès obsolètes et de réaliser une revue annuelle des habilitations.

4. Tracer les accès et gérer les incidents

La Cnil recommande de prévoir les procédures pour les notifications de violation de données.

5. Sécuriser les postes de travail

Afin de garantir la sécurité des données personnelles et de sécuriser convenablement les postes de travail, la Cnil préconise de mettre en place une procédure de verrouillage automatique de session, d’utiliser des antivirus régulièrement mis à jour, d’installer un pare-feu logiciel et de recueillir l’accès de l’utilisateur avant toute intervention sur son poste.

6. Sécuriser l’informatique mobile

La Cnil recommande, pour sécuriser l’informatique mobile, de prévoir des moyens de chiffrement des équipements mobiles et de sauvegarder les données.

7. Protéger le réseau informatique interne

La Cnil préconise de limiter les flux réseau au strict nécessaire et de sécuriser les accès distants des appareils informatiques nomades.

8. Sécuriser les serveurs

Concernant les outils et interfaces d’administration, la Cnil recommande de :

  • limiter l’accès aux seules personnes habilitées ;
  • installer sans délai les mises à jour critiques ;
  • assurer une disponibilité des données.

9. Sécuriser les sites web

La Cnil conseille de vérifier qu’aucun mot de passe ou identifiant ne passe par les URL ainsi que le contrôle des entrées des utilisateurs correspondant à ce qui est attendu.

10. Sauvegarder et prévoir la continuité d’activité

La Cnil recommande d’effectuer des sauvegardes régulières et de stocker les supports de sauvegarde dans un endroit sûr.

11. Archiver de manière sécurisée

La Cnil recommande, à minima, de mettre en œuvre des modalités d’accès spécifiques aux données archivées et détruire les archives obsolètes de manière sécurisée.

12. Encadrer la maintenance et la destruction de des données

La Cnil suggère d’enregistrer les interventions de maintenance dans une main courante et d’encadrer par un responsable de l’organisme les interventions par des tiers.

13. Gérer la sous-traitance

Il est recommandé de prévoir une clause spécifique dans les contrats des sous-traitants et d’assurer l’effectivité des garanties prévues (audits de sécurité, visites, etc.).

14. Sécuriser les échanges avec d’autres organismes

La Cnil préconise de chiffrer les données avant leur envoi et de s’assurer qu’il s’agisse du bon destinataire.

15. Protéger les locaux

Il apparaît nécessaire pour la protection des locaux de restreindre les accès au moyen de portes verrouillées et d’installer des alarmes anti-intrusion.

16. Encadrer les développements informatiques

Il est ainsi élémentaire pour la Cnil d’intégrer la protection de la vie privée, y compris des exigences de sécurité des données dès la conception d’un développement informatique.

17. Chiffrer, garantir l’intégrité ou signer

Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Le chiffrement permet de garantir également la confidentialité d’un message.

En conclusion, ce guide sur la sécurité des données personnelles permet aux organismes

  • de connaître les critères de niveau de sécurité élémentaires ;
  • d’instaurer une charte informatique, des modules de formation et des spécifications relatifs à la sécurité ;

et ce dès la conception de leurs produits et leurs services.

Polyanna Bigle
Lucie Antigny
Lexing Sécurité des systèmes d’information et dématérialisation

(1) Guide de la Cnil sur la sécurité des données personnelles.




Les jouets connectés : gare au risque d’espionnage

Les jouets connectésDans le numéro 50 de la revue PLANETE ROBOTS, Alain Bensoussan revient sur les jouets connectés et les risques d’espionnage.

Les robots jouets se développent de plus en plus. Ils ont des fonctionnalités plus ou moins larges allant du jouet éducatif au robot compagnon de jeu à forme animale.

S’agissant de produits utilisés par des enfants, une réglementation spécifique existe avec des obligations de sécurité et des restrictions d’importation essentiellement issues de la directive européenne 2009/48/CE du 18 juin 2009 relative à la sécurité des jouets.

Celle-ci impose le respect d’obligations préalables à sa mise sur le marché et des procédures de contrôle et de tests et prohibe un certain nombre de substances dans la composition du jouet.

Mais en plus de la réglementation relative à la sécurité, les jouets connectés posent d’autres questions comme l’émission de rayonnements qui expose les enfants aux radiofréquences ou encore la protection des données privées collectées et leur sécurité.

L’Agence nationale de sécurité sanitaire (Anses) a publié des recommandations en juin 2016. Elles visent à adapter les valeurs limites d’exposition réglementaires afin de réduire l’exposition des enfants aux champs électromagnétiques.

De son côté, la Cnil a dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 février 2017.

En novembre 2017, la Cnil a mis en demeure un fabricant de jouets de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE ». Cette mise en demeure ne constitue pas une sanction. Si la société se conforme sous deux mois, aucune suite ne sera donnée (1).

Cette affaire n’est pas sans rappeler la poupée qualifiée de « Barbie Stasi » par la presse allemande, avec son comportement mi-internet connecté, mi-robot en devenir.

Alain Bensoussan pour Planète Robots, « Les jouets connectés : gare au risque d’espionnage », n°50, Mars-Avril 2018.

(1) Décision n° MED-2017-073 publiée sur Legifrance.fr.




Remise du rapport sur l’open data des décisions de Justice

l'open data des décisions de JusticeLe professeur Loïc Cadiet a remis le 9 janvier à la Garde des Sceaux son rapport sur l’open data des décisions de Justice.

Loïc Cadiet, professeur à l’Ecole de droit de la Sorbonne (Université Paris-I), à qui Nicole Belloubet avait confié, le 9 mai dernier, une mission sur l’open data des décisions de Justice, a remis le 9 janvier 2017 son rapport à la garde des Sceaux.

Comme le rappelle le communiqué de presse publié à cette occasion par le ministère de la Justice, la loi Lemaire du 7 octobre 2016 pour une République numérique a institué en ses articles 20 et 21 la mise à disposition du public à titre gratuit (en « open data ») de l’ensemble des décisions de justice – judiciaires et administratives – en précisant qu’elle devrait se faire « dans le respect de la vie privée des personnes concernées » et être « précédée d’une analyse du risque de ré-identification des personnes ».

Cette mission, composée de représentants des juridictions suprêmes, des juridictions du fond, de la Commission nationale de l’informatique et des libertés et du Conseil national des barreaux, a été lancée pour proposer des conditions d’application et les modalités d’ouverture au public des décisions de justice.

Selon la Chancellerie, « L’open data des décisions de justice ouvre de puissantes perspectives d’évolution dans la façon dont la justice est rendue en permettant d’améliorer la qualité des pratiques juridictionnelles par l’analyse des décisions de justice, et de renforcer la connaissance de l’ensemble de la jurisprudence et son caractère prévisible« .

Le rapport Cadiet formule des recommandations solides et engageantes pour la mise en œuvre normative et technique de cet open data dans la perspective:

  • de renforcer les techniques existantes dites de « pseudonymisation » des décisions, afin d’assurer la protection de la vie privée des personnes, qui est garantie par la loi pour une République numérique ;
  • d’instituer une régulation des algorithmes qui exploitent les données issues des décisions, afin d’assurer une transparence sur les méthodologies mises en œuvre ;
  • de définir les principes directeurs de l’architecture nouvelle de l’open data, en confiant la gestion des bases à la Cour de cassation et au Conseil d’Etat, ainsi que la mission essentielle de « pseudonymisation » des décisions collectées auprès des juridictions ;
  • d’exposer les principales possibilités de diffusion des décisions au public.

La Garde des Sceaux Nicole Belloubet, qui a précisé que les services du ministère de la justice travaillaient actuellement à la déclinaison opérationnelle des préconisations du rapport, a indiqué qu’elle ferait connaître dans les prochaines semaines ses priorités d’action.

Eric Bonnet
Directeur du Département Communication juridique




Parution de l’Abécédaire de la protection des données personnelles de A à Z

abécédaire protection des données personnellesAlain Bensoussan Avocats publie chez Larcier un ouvrage intitulé « La protection des données personnelles de A à Z ». 

Il s’agit d’un Abécédaire d’apprentissage de la nouvelle réglementation européenne qui sera applicable à tous les traitements de données à caractère personnel à compter de mai 2018, à travers le règlement européen 2016/679.

Ce texte constitue une véritable « révolution » en matière de protection des données personnelles car, alors que la directive 95/46 du 24 octobre 1995 reposait en grande partie sur l’existence de formalités préalables (déclaration, autorisations, dispenses), le règlement européen repose sur une logique de conformité et de responsabilité des acteurs traitant les données (notion anglo-saxonne difficilement traduisible d’« accountability »).

Il marque une nouvelle étape dans la régulation de la protection des données personnelles, celle de la responsabilisation des entreprises.

Quelles soient responsables de traitements ou sous-traitantes, les entreprises dont la responsabilité pourra être conjointe, vont devoir se familiariser à la nouvelle terminologie « technico-juridique » issue de cette nouvelle réglementation.

Cet ouvrage illustre en suivant l’ordre alphabétique, les principes essentiels de cette réglementation à travers plus de 150 définitions : Accountability, Acte d’exécution, Analyse d’impact, Balance des intérêts, Clauses contractuelles types, Décision d’adéquation, Droit à l’oubli, Guichet unique, Intérêt légitime, Limitation du traitement, Niveau de protection adéquat, Portabilité des données, Pseudonymisation, Règles d’entreprise contraignantes, Violation de données à caractère personnel, etc.

Chaque terme y est défini et expliqué sous différents angles : général, technique et juridique et dans certains cas, fait l’objet d’un schéma analytique.

Il s’agit du premier ouvrage de la collection des Abécédaires Lexing-Technologies avancées & Droit. Construit comme un glossaire, un abécédaire permet de décrypter plus facilement et dans un format court,  un domaine juridique ou une technologie de A à Z. D’autres Abécédaires thématiques par technologie suivront…

L’Abécédaire de la protection des données personnelles de A à Z
Editions Larcier, 1ère édition, Novembre 2017.
262 pages.

 




Technolex : vivre et travailler avec les données à l’heure du RGPD

L’atelier consacré aux données personnelles à l’heure du RGPD sera l’un des temps forts de la 2ème édition de Technolex (Paris, 29 novembre 2017).

Sur fond d’hyperconnexion et de Big Data, la deuxième édition de Technolex, rencontre dédiée aux enjeux croisés du droit et des nouvelles technologies, qui se tiendra le 29 novembre prochain au Collège des Bernardins (Paris 5ème) à l’initiative du Groupe Serda et sous la direction scientifique du cabinet Alain Bensoussan Avocats Lexing, fera une large place à la protection des données à caractère personnel.

Disruption digitale et droit

Face à l’émergence du tout digital, les enjeux ne sont pas seulement technologiques et éthiques, mais également juridiques, et beaucoup de solution, de toute évidence, viendront du droit. En tous cas, les modèles disruptifs nés des avancées technologiques seront, dans de très nombreux cas, pilotés par le droit, qu’il s’agisse des robots, des drones, des voitures intelligentes, des IoT…

Autant de questions qui au cœur de la deuxième édition de Technolex, rencontre dédiée aux enjeux croisées du droit et des nouvelles technologies, qui se tiendra le 29 novembre prochain au Collège des Bernardins (Paris V) sur le thème : « Disruption digitale et droit ». Une initiative du Groupe Serda qui en a confié la direction scientifique au cabinet Alain Bensoussan Avocats Lexing.

Les données, nouvel Eldorado ?

A l’heure où l’explosion quantitativement phénoménale du Big data ouvre une véritable mine d’or pour tous les acteurs ayant accès d’une manière ou d’une autre aux données ainsi collectées et stockées, se pose la question du statut des données: à qui appartiennent celles qui sont collectées, conservées, transférées, modifiées ou interprétées par une multitude d’acteurs ?

Quant à ces données traitées, comparées et « transformées », appartiennent-elles à celui qui a réalisé la comparaison ou deviennent-elles la propriété de ceux qui ont produit ou fourni les données qui ont été à la base de cette comparaison ? Et surtout, les internautes peuvent-ils se les réapproprier ?

Se réapproprier ses données

Sont-elles des éléments susceptibles de faire l’objet d’un commerce ? Si oui, quels sont les règles juridiques qui régissent la commercialisation de ces données ?

Voilà quelques-unes des très nombreuses questions que soulève le statut juridique de la donnée, qui seront abordées dans le cadre de cet atelier, à quelques mois de l’entrée en vigueur du RGPD qui marque un tournant majeur dans la régulation des données personnelles et va imposer aux entreprises d’assumer leur pleine et entière responsabilité sur les données qu’elles traitent.

L’atelier consacré aux données personnelles à l’heure du RGPD

Le 29 novembre de 9H30 à 10H45

Au programme :

  • Les grandes étapes du GDPR et le plan d’action
  • En route vers mai 2018 : le point de vue du régulateur
  • Collecter des données personnelles et des données de santé
  • Le DPO, nouvel acteur de la conformité RGPD
  • Retour d’expérience d’un CIL

Avec la participation de :

  • Hélène Legras, Correspondant Informatique et Libertés / Data Protection Officer des sociétés du groupe New AREVA Holding, Vice-Présidente de l’ADPO ;
  • Armand Heslot, Ingénieur-expert au service de l’expertise technologique, CNIL ;
  • Fabien Gandrille, DPO, SCOR ;
  • Chloé Torres, Avocat à la Cour, Directrice du Département, Informatique et Libertés, Alain Bensoussan Avocats Lexing ;
  • Sarah Piot, Correspondant Informatique et Libertés AAA-Data

Technolex : 4 ateliers, 2 séances plénières, 7h de formation et plus de 30 intervenants

  • Jérémy Bensoussan, Avocat, directeur du département Droit des technologies robotiques, Lexing Alain  Bensoussan  Avocats ;
  • Polyanna Bigle, Avocate, directrice du département Sécurité numérique, Lexing Alain  Bensoussan  Avocats ;
  • Charles du Boullay, CDC Arkhinéo (Caisse des Dépôts) ;
  • Ghislaine Chartron, Professeure en Sciences de l’information et de la communication, titulaire de la Chaire d’Ingénierie Documentaire, Conservatoire national des arts et métiers (CNAM) ;
  • Alexandre Cassart, Avocat, Lexing Belgique, auteur de l’ouvrage « Droit des drones » (Larcier) ;
  • Anthony Coquer, Adjoint au Directeur Sûreté, Keolis ;
  • Michel Cottin, Records Manager, RATP ;
  • Frédéric Forster, Avocat, directeur du Pôle Télécoms, Lexing Alain Bensoussan Avocats ;
  • Hélène Legras, Correspondant Informatique et Libertés / Data Protection Officer des sociétés du groupe New AREVA Holding, Vice-Présidente de l’ADPO ;
  • Pierre Fuzeau, Directeur général du Groupe Serda-Archimag ;
  • Fabien Gandrille, DPO, SCOR
  • Didier Gazagne, Avocat, directeur de la Business Unit Défense & Sécurité – Drones – Risque, Lexing Alain Bensoussan Avocats ;
  • Armand Heslot, Ingénieur-expert au service de l’expertise technologique, Cnil ;
  • Rodolphe Hasselvander, CEO de Blue Frog Robotics ;
  • Marc Mossé, Senior Director Government Affairs, Associate General Counsel, Microsoft EMEA ;
  • Julia Petrelluzzi, Ph. D Student Droit et intelligence artificielle ;
  • Sarah Piot, Correspondant Informatique et Libertés, AAA-Data ;
  • Nathalie Plouviet, Avocate, directrice du Département IoT, Lexing Alain Bensoussan Avocats ;
  • Thomas Sabatier, CEO, The Chatbot Factory ;
  • Henry Seydoux, PDG, Parrot ;
  • Marie Soulez, Avocate, directrice du département Propriété Intellectuelle Contentieux, Lexing Alain Bensoussan Avocats ;
  • Denis Thierry, PDG, Néopost ;
  • Chloé Torres, Avocate, directrice du Département Informatique et libertés, Lexing Alain Bensoussan Avocats.


Collège des Bernardins
20, rue de Poissy
75005 Paris

Pour vous inscrire : https://technolex.eu/

Renseignements :
Eric Bonnet
eric.bonnet@lexing.law / 06 74 40 72 01




A qui appartiennent les données bancaires des clients des banques ?

données bancairesLes comptes bancaires recèlent de nombreuses données bancaires diverses : à qui appartiennent ces données ?

Propriété des données : l’absence de statut

L’état actuel de la législation ne permet pas de reconnaitre le caractère appropriable des données « la notion de propriété des données n’a pas de statut juridique en tant que tel » (1).

Pourtant, il semble que la donnée fasse l’objet de tentatives d’appropriation de plus en plus fréquentes à différents titres. Mais, pour autant, constitue-t-elle un bien relevant du droit de propriété au sens de l’article 544 du Code civil qui dispose que :

« la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements. »

Seule la « chose » peut donc être un objet de cette propriété. Elle se définit d’ailleurs classiquement comme « tout ce qui, dans la nature, a une existence corporelle et tangible, hormis l’homme » (2).

Certains proposent que cette définition soit élargie aux choses non nécessairement tangibles mais perceptibles, voire à toute chose qu’il est utile et possible de s’approprier.

Néanmoins, afin que la donnée bancaire fasse naître un droit de propriété, il conviendrait de lui conférer, par voie légale ou réglementaire, le statut de chose, ce qui n’est pas le cas en l’état de notre droit positif. En l’absence d’une telle disposition, il n’est donc pas possible, actuellement, de considérer que la donnée peut, par le seul fait de son existence ou de sa collecte, faire l’objet d’une appropriation par qui que ce soit.

Toutefois, si les données n’ont pas de statut général, une analyse pour chaque type de données permet néanmoins de dégager quelques règles applicables.

Données brutes, données dérivées : une distinction suffisante pour l’appropriation ?

Les comptes bancaires des clients contiennent des données bancaires qui peuvent être très basiques, comme le nom des produits bancaires, le solde du compte, etc. Ce sont ce qu’on peut qualifier de « données brutes », en ce qu’elles n’ont pas de valeur intrinsèque et ne sont pas le résultat d’un travail intellectuel ou de création de la part de la banque. Elles sont utiles pour la gestion du compte en banque mais sont similaires d’une banque à une autre.

On peut les opposer à ce qu’on appelle les « données dérivées ». Ces dernières n’ont pas, en droit français, de définition légale mais, techniquement, les données dérivées désignent les informations créées à partir de, ou ayant pour origine directement ou indirectement, des données, à condition que :

  • les données qui en sont à l’origine, ne puissent être déterminées ou recréées par un calcul ou un processus automatisé, tel qu’un processus d’ingénierie inversée (« reverse engineering ») ;
  • les informations créées ne puissent être utilisées comme substitut aux données d’origine.

Les données répondant à ces critères pourraient être protégées par le droit d’auteur, sous réserve d’être originales.

Qu’en est-il des données qui se trouvent dans les comptes bancaires et qui permettent d’identifier le client ?

Les données à caractère personnel sont-elles appropriables ?

Il ressort de la loi Informatique et libertés (3) et du Règlement européen sur la protection des données (RGPD) (4) qu’une donnée peut être qualifiée de donnée à caractère personnel dès lors qu’elle permet l’identification, soit directe soit indirecte, d’un individu, personne physique, et ce, quel que soit le type de données.

Ainsi la Cnil a considéré à plusieurs reprises qu’une donnée bancaire liée à la nature et à l’identification du compte (numéro, type, caractéristique du compte, etc.) pouvait constituer une donnée à caractère personnel (5), au même titre que le numéro de carte bancaire (6).

Ceci devrait naturellement être repris et confirmé par le « pack de conformité banque » qui est en cours de préparation par la Cnil.

La loi pour une République numérique (7) a, quant à elle, complété la loi informatique et libertés en considérant que :

« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi (L. 78-17 du 6-1-1978, art. 1er). »

A ce titre, seule la personne dont les données à caractère personnel ont été collectées (désigné par la loi Informatique et libertés et le RGPD comme étant « la personne concernée ») devrait avoir le droit de décider de l’utilisation qui sera faite de ses données et donc de disposer de ses données à sa convenance.

On le voit, les textes semblent donner à la personne physique dont les données ont été collectées des droits qui confinent à ceux qu’un propriétaire pourrait exercer sur une chose sans toutefois que, ni la loi Informatique et libertés, le RGPD ou la loi pour une République numérique n’affirment clairement que les individus disposent d’un droit de propriété plein et entier sur les données qui les concernent.

Comment protéger les données ?

En l’absence de protection légale, peut-on s’approprier les données bancaires d’un client par contrat ?

C’est à cette question que la Cour de justice de l’Union Européenne (CJUE) a eu à répondre (8) dans l’affaire Ryanair.

Dès lors qu’une base de données n’est éligible à aucun de ces deux droits, elle ne relève pas du champ d’application de la directive, et son régime de protection éventuel relève du droit national (9).

C’est donc au regard du seul droit national que doit s’apprécier la licéité de dispositions contractuelles interdisant la reprise à des fins commerciales des données issues de telles bases de données.

Cette protection contractuelle est même plus grande que celle du producteur de base de données qui octroie des droits d’extraction et de réutilisation non substantielle aux utilisateurs.

En d’autres termes, l’organisation de la propriété des données produites, conservées et collectées par les banques, pourrait, à l’instar de ce que la société Ryanair avait fait au travers de ses conditions générales d’utilisation, relever des contrats proposés par les établissements concernés.

Les autres moyens de s’approprier les données

Cette protection par le droit des contrats peut se heurter à d’autres modes de protection légaux, qui tiennent compte de la nature spécifique des données, et en particulier de leur valeur économique intrinsèque telle que la protection par :

  • le secret des affaires à condition que :
    • les données soient secrètes ;
    • les données aient une valeur commerciale, parce qu’elles sont secrètes par exemple ;
    • les données aient fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes (9).

Il est néanmoins possible que cette protection par le secret des affaires ne permette pas à la banque de protéger les données des comptes bancaires de ses clients en ce que les données sont connues ne serait-ce que par le client lui-même, en tant que destinataire des services bancaires considérés ;

  • le droit sui generis du producteur de la base de données :
    • en raison de l’investissement permanent quant à l’élaboration et au maintien à jour de leurs bases de données, les banques peuvent être qualifiées de producteurs de bases de données et donc interdire l’extraction d’une partie substantielle du contenu de la base sur un autre support, par tout moyen et sous toute forme que ce soit.

Ces moyens de protection ne semblent pas aussi simples à mettre en œuvre alors qu’apparaissent de nouveaux acteurs tels que les prestataires de services d’information sur les comptes (PSIC) et les prestataires de services d’initiation de paiement (PSIP) ne pourront pas interdire l’accès aux comptes de leurs clients, sauf pour des motifs de sécurité…

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeurs Informatique et Telecom

(1) Alain Bensoussan, « La propriété des données », Blog expert Le Figaro, 18-5-2010.
(2) Jacques Hansenne, Les biens. Tome 1, Précis. Collections scientifiques de la Faculté de Droit de l’Université de Liège, 1996, n°14 et 15.
(3) Loi n°1978-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
(4) Règlement européen n°2016-679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(5) Exercice du droit d’accès au fichier des comptes bancaires et assimilés (Ficoba), Fiche Cnil, sept. 2016.
(6) Pack de conformité Assurances, Fiche Cnil nov. 2014.
(7) Loi n°2016-1321 du 7-10-2016 pour une République numérique, article 54.
(8) CJUE, 15-01-2015, affaire n° C-30/14,. Ryanair Ltd c/ PR Aviation BV.
(9) Directive UE 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués, article 2, 1).