Le contact tracing pour lutter contre la propagation du Covid-19

contact tracingAlain Bensoussan a été interviewé par frenchweb.fr sur le projet StopCovid, une application de contact tracing pour lutter contre la propagation du Covid-19.

Alain Bensoussan, avocat spécialisé dans le droit numérique et les nouvelles technologies, s’exprime sur l’application mobile que développe le gouvernement en partenariat avec l’inria : le « StopCovid ». Cette application de géolocalisation qui repose sur la base du volontariat est une solutions de traçage numérique pour identifier les personnes ayant été en contact avec le Covid-19.

Un enjeu sanitaire majeur peut-il justifier l’atteinte aux libertés publiques ?

Les règles issues du Règlement européen sur la protection des données du 27 avril 2916 (RGPD) interdisent la collecte et le traitement de données de santé (art. 9). Cette notion recouvre toute opération portant sur des données de santé relatives à une personne identifiée ou identifiable.

Il est donc difficile de faire ce type de tracing en tant que tel, explique Alain Bensoussan, à moins d’entrer dans l’une des exceptions qui autorisent l’utilisation de ces données. Cela peut être le cas lorsque le traitement est nécessaire pour :

  • « des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée » ;
  • « des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé ».

Dans le cas d’un état d’urgence tel que nous le vivons aujourd’hui, il est ainsi possible de prendre des règles d’exception par rapport aux principes généraux. Selon Alain Bensoussan, « Il faut quand même que les règles telles que la dignité, la loyauté, la transparence continuent à s’appliquer malgré le caractère dérogatoire ».

Ainsi, « Le Conseil constitutionnel demande qu’à chaque fois qu’il y a une ingérence, une atteinte extrêmement importante à une liberté, cela soit limité dans le temps et qu’il y ait des garanties pour que cela ne s’inscrive pas dans une politique liberticide au-delà de la résolution du problème exceptionnel », rappelle Alain Bensoussan.

Le contact tracing et le respect du principe de proportionnalité

Un dispositif de traçage numérique tel que le contact tracing ou la géolocalisation s’il peut être justifié par l’intérêt public doit néanmoins « respecter l’essence du droit à la protection des données ».

Cela signifie qu’il faut trouver un principe de proportionnalité. « Là on va porter atteinte à un certain nombre de principes fondamentaux, mais il faut quand même que les règles telles que la dignité, la loyauté, la transparence continuent à s’appliquer malgré le caractère dérogatoire », développe Alain Bensoussan.

Les premiers garde-fous à prévoir seraient :

  • de limiter un tel dispositif dans le temps ;
  • d’informer les personnes et
  • de détruire les éléments ainsi acquis dès la fin de la situation d’urgence sanitaire.

Alain Bensoussan met aussi en avant l’obligation d’auditabilité et de transparence des délibérations du comité scientifique.

En outre, il faut libérer les technologies numériques lorsqu’est en jeu non pas le caractère privé de la vie mais la vie en tant que telle.

(1) Retrouvez le point de vue juridique de Alain Bensoussan pour Frenchweb concernant l’App Stop Covid, « Pourquoi est-il difficile d’imposer une app de tracking en France? », Frenchweb.fr, 15 avril 2020.

 




Projet de loi bioéthique : patients et examens génétiques

examens génétiquesUn nouvel encadrement de la transmission des résultats d’examens génétiques qui diffère selon que les dits résultats ont été découverts de manière incidente ou dans le cadre d’une recherche, fait partie des dispositions envisagées par le projet de loi sur la révision des lois de bioéthique. Présenté au Conseil des Ministres du 24 juillet 2019, il sera débattu au Parlement en septembre 2019, il s’agira de la 3ème révision des lois bioéthique en 25 ans.

Selon le compte-rendu du Conseil des Ministres, « cette révision des lois de bioéthique s’inscrit dans un contexte de sauts technologiques inédits, auxquels s’ajoutent des attentes sociétales fortes ».

Les résultats d’examens génétiques découverts de manière incidente

Information de la personne et recueil de son consentement à l’examen de ses caractéristiques génétiques

Le titre III du projet de loi relatif à la bioéthique est intitulé « appuyer la diffusion des progrès scientifiques et technologiques dans le respect des principes éthiques ».

L’article 10, premier article de ce titre III, porte sur le consentement à un examen de génétique et sur la possibilité de refuser la révélation de ses résultats.

Cet article modifiera l’article 16-10 du Code civil en ajoutant des informations à fournir au patient, préalablement au recueil de son consentement, en plus de l’information sur la nature de l’examen, et sur son indication (s’il s’agit de finalités médicales) ou sur son objectif (s’il s’agit de recherche scientifique) :

  • le cas échéant, l’information sur « la possibilité que l’examen révèle incidemment des caractéristiques génétiques sans relation avec son indication initiale ou avec son objectif initial mais dont la connaissance permettrait à la personne ou aux membres de sa famille de bénéficier de mesures de prévention, y compris de conseil en génétique, ou de soins » ;
  • « l’information sur la possibilité de refuser la révélation des résultats de l’examen de caractéristiques génétiques sans relation avec l’indication initiale ou l’objectif initial de l’examen ainsi que sur les risques qu’un refus ferait courir aux membres de sa famille potentiellement concernés dans le cas où une anomalie génétique pouvant être responsable d’une affection grave justifiant de mesures de prévention, y compris de conseil génétique, ou de soins serait diagnostiquée ».

A la suite de la transmission de ces informations, le consentement exprès de la personne devra être recueilli par écrit, préalablement à la réalisation de l’examen. Ce consentement devra mentionner l’indication ou l’objectif de l’examen.

L’article ajoute que le consentement de la personne sera révocable sans exigence de forme à tout moment.

Concernant les examens de recherche scientifique, l’article L.1122-1-1 du Code de la santé publique dispose : « dans le cas où la personne se prêtant à une recherche a retiré son consentement, ce retrait n’a pas d’incidence sur les activités menées et sur l’utilisation des données obtenues sur la base du consentement éclairé exprimé avant que celui-ci n’ait été retiré ».

En tout état de cause, il y a lieu de rappeler qu’est puni d’un an d’emprisonnement et de 15.000 euros d’amende, le fait de procéder à l’étude des caractéristiques génétiques d’une personne à des fins autres que médicales ou de recherche scientifique, ou à des fins médicales ou de recherche scientifique, sans avoir préalablement recueilli son consentement (article L.1133-1 du CSP et 226-25 du Code pénal).

Absence de refus de la révélation des résultats des examens des caractéristiques génétiques

Conformément aux dispositions de l’article 10 du projet de loi relatif à la bioéthique, les résultats révélés incidemment lors de l’examen des caractéristiques génétiques, sans relation avec l’indication initiale ou avec l’objectif initial de cet examen, ne pourront être révélés à la personne qu’à condition que l’information complète susvisée lui ait été transmise au préalable et qu’elle n’ait pas refusé la révélation de ces résultats incidents.

La communication des résultats incidents sera assurée dans le respect des conditions :

  • du titre II du livre Ier de la première partie du CSP, quand les finalités de l’examen relèvent d’une recherche scientifique ;
  • du titre III du livre Ier de la première partie du CSP, quand les finalités de l’examen sont médicales.

S’agissant des recherches scientifiques, « la personne dont la participation est sollicitée est informée de son droit d’avoir communication, au cours ou à l’issue de la recherche, des informations concernant sa santé » (art. L.1122-1 CSP).

S’agissant des examens médicaux, « en cas de diagnostic d’une anomalie génétique grave, sauf si la personne a exprimé par écrit sa volonté d’être tenue dans l’ignorance du diagnostic, l’information médicale communiquée est résumée dans un document rédigé de manière loyale, claire et appropriée, signé et remis par le médecin. La personne atteste de cette remise. Lors de l’annonce de ce diagnostic, le médecin informe la personne de l’existence d’une ou plusieurs associations de malades susceptibles d’apporter des renseignements complémentaires sur l’anomalie génétique diagnostiquée. Si la personne le demande, il lui remet la liste des associations agréées » (art. L.1131-1-2 CSP).

Concernant la famille de la personne concernée, le médecin prescripteur prévoit avec la personne « dans un document écrit qui peut, le cas échéant, être complété après le diagnostic, les modalités de l’information destinée aux membres de la famille potentiellement concernés afin d’en préparer l’éventuelle transmission. Si la personne a exprimé par écrit sa volonté d’être tenue dans l’ignorance du diagnostic, elle peut autoriser le médecin prescripteur à procéder à l’information des intéressés » (art. L.1131-1-2 CSP).

En outre, « la personne est tenue d’informer les membres de sa famille potentiellement concernés dont elle ou, le cas échéant, son représentant légal possède ou peut obtenir les coordonnées, dès lors que des mesures de prévention ou de soins peuvent leur être proposées ». « Si la personne ne souhaite pas informer elle-même les membres de sa famille potentiellement concernés, elle peut demander par un document écrit au médecin prescripteur, qui atteste de cette demande, de procéder à cette information. Elle lui communique à cette fin les coordonnées des intéressés dont elle dispose. Le médecin porte alors à leur connaissance l’existence d’une information médicale à caractère familial susceptible de les concerner et les invite à se rendre à une consultation de génétique, sans dévoiler ni le nom de la personne ayant fait l’objet de l’examen, ni l’anomalie génétique, ni les risques qui lui sont associés » (art. L.1131-1-2 CSP).

Les résultats d’examens génétiques issus de la recherche

L’article 18 du projet de loi relatif à la bioéthique a pour objet de faciliter la recherche nécessitant des examens de génétique sur des collections d’échantillons biologiques conservés à l’issue de soins médicaux ou de recherches cliniques.

Régime général des examens génétiques à fins de recherche d’échantillons prélevés à d’autres fins

Il sera introduit un nouvel article L.1130-5 dans le Code de la santé publique, rappelant que l’examen des caractéristiques génétiques d’une personne à des fins de recherche scientifique peut être réalisé à partir d’éléments du corps de cette personne prélevés à d’autres fins :

  • lorsque cette personne a été informée du programme de recherche ; et
  • lorsqu’elle n’a pas exprimé son opposition.

L’opposition à l’examen « peut être exprimée sans forme, tant qu’il n’y a pas eu d’intervention sur l’élément concerné dans le cadre de la recherche ».

En cas de découverte de caractéristiques génétiques pouvant entraîner une affection justifiant des mesures de prévention ou de soins, la personne en est informée sauf si elle s’y est préalablement opposée.

Si de telles caractéristiques génétiques sont découvertes en cours de recherche et confirmées le cas échéant en laboratoire, la personne concernée est informée, si elle ne s’y est pas opposée, de l’existence d’une information médicale la concernant et invitée à se rendre chez un médecin qualifié en génétique afin de recevoir les informations complètes et de bénéficier d’une prise en charge. La personne peut s’opposer, sans exigence de forme et à tout moment ,à être informée de telles découvertes.

Il est précisé que les recherches visées dans ce nouvel article sont exclues du champ d’application de l’article 75 de la loi Informatique et libertés, selon lequel « dans le cas où la recherche nécessite l’examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données ».

Régimes particuliers des examens génétiques à fins de recherche d’échantillons prélevés à d’autres fins

Si la personne est mineure, ce seront les parents investis de l’exercice de l’autorité parentale ou le tuteur qui exprimeront leur opposition.

En revanche, si la personne fait l’objet d’une mesure de protection juridique avec représentation à la personne, elle exprime elle-même son opinion, le cas échéant assistée de la personne chargée de la mesure de protection.

Enfin, dans les cas où il est impossible d’informer la personne (personne décédée, ou hors d’état d’exprimer sa volonté, ou encore impossible à retrouver), le Comité de protection des personnes est saisi par le responsable du programme de recherche afin qu’il se prononce notamment sur l’opportunité de l’examen des caractéristiques génétiques de la personne ainsi que sur la pertinence éthique et scientifique de la recherche.

Il est précisé que ce nouvel article ne s’applique pas aux recherches dont la publication des résultats est susceptible de permettre la levée de l’anonymat des personnes.

Des dispositions à préciser

Un décret devra fixer :

  • les modalités d’information des personnes concernées ;
  • les modalités permettant l’expression de leur opposition.

Ainsi, les modèles de mentions d’information des personnes devront respecter les exigences du décret à venir, tout en étant adaptés aux particularités de chaque recherche.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Les problématiques concernant le médicament électronique

Médicament électronique A ce jour, un seul médicament électronique est commercialisé aux Etats-Unis.

Anticiper son arrivée en France est nécessaire au vu des nombreux enjeux et problématiques qui peuvent d’ores et déjà être décelés.

Notion

Un médicament électronique est un médicament associé à un capteur électronique.

Le premier médicament électronique est un comprimé connu sous le nom d’Abilify , commercialisé depuis 2002, qui, dans sa version électronique commercialisée depuis 2017, porte le nom d’Abilify MyCite.

La molécule basique est associée à un capteur qui envoie un message à un patch collé sur la cage thoracique du patient. Le contact est émis grâce au contact du capteur avec les liquides présents dans l’estomac. Le patch transmet alors l’heure et la date de la prise du médicament à une application mobile afin que les patients puissent suivre cette information sur leur smartphone.

Outre la seule utilisation à destination des patients, ce médicament peut également permettre à une équipe médicale d’accéder à ces données collectées via un site internet.

Le médicament électronique est, pour l’instant, utilisé uniquement chez l’adulte comme traitement contre la schizophrénie et les troubles bipolaires.

Son but principal consiste en l’amélioration de la prise des médicaments par ces patients.

Quid de la vie privée ?

Les experts montrent déjà leur inquiétude sur ce que cette pilule pourrait signifier pour la vie privée.

En effet, il existe de nombreuses possibilités d’abus de cette technologie comme moyen de sanctionner un patient qui ne prendrait pas ses médicaments correctement.

A titre d’illustration, ce nouveau système de traçabilité pourrait largement profiter aux compagnies d’assurance.

En effet, ces dernières pourraient s’en servir pour vérifier que leurs assurés prennent bien les traitements qu’elles ont remboursé. En cas de non-respect des doses prescrites, ces données pourraient leur permettre d’augmenter les cotisations et garanties d’un patient.

Quid de la responsabilité ?

La prise d’un médicament électronique peut permettre un suivi à distance de certains malades.

Or, les défaillances constatées dans la prise de médicaments pourraient-elles engendrer une responsabilité accrue de la personne chargée de cette surveillance ?

La responsabilité des équipes médicales ou encore du fabricant pourrait-elle être engagée lorsque le patient devient dangereux pour les autres ou pour lui-même ?

La question, non tranchée, amènera à de vifs débats.

Quid des données personnelles ?

Les données médicales sont des données qui nécessitent une protection renforcée.

Ainsi, leur protection et les problématiques de potentiel piratage méritent d’être anticipées.

Le RGPD, entré en vigueur le 25 mai 2018, permet dès à présent de donner des réponses quant aux obligations notamment des développeurs des applications mobiles et interfaces logicielles de suivi de la prise du médicament électronique.

En effet, le règlement s’applique dès lors qu’une application de santé contient une connexion extérieure au smartphone de l’utilisateur. La responsabilité du traitement de ces données repose sur celui qui en détermine les finalités et moyens d’applications.

Les données collectées doivent, par ailleurs, par avoir des finalités déterminées, explicites et légitimes.

Un encadrement législatif nécessaire

La technologie étant très récente, celle-ci n’est pas encore totalement encadrée.

D’autres capteurs électroniques pouvant être avalés sont également en attente de validation ou en cours de développement.

Par exemple, un capteur a été mis au point par le MITpour surveiller les signes vitaux de l’intérieur du tube digestif.

Ces nouvelles technologies pourraient aider les professionnels de la santé à mieux diagnostiquer les maladies .

De nouvelles avancées pour le traitement médical pourraient voir le jour concernant la surveillance de la santé à l’intérieur même du corps humain.

Cependant, il est impératif que ces nouvelles technologies soient encadrées afin de prévenir certains abus.

Eve Renaud-Chouraqui
Sarah Rosenbach

Lexing Concurrence Propriété industrielle contentieux




Les évolutions du cadre légal de la santé numérique

santé numérique

Marguerite Brac de La Perrière, directrice du département santé numérique du cabinet Lexing Alain Bensoussan Avocats a animé un petit-déjeuner débat consacré aux évolutions du cadre légal de la santé numérique, le 20 février 2019. 

Ce cadre légal a fait l’objet de nombreuses réformes et aménagements en 2018. En premier lieu figurent l’applicabilité du règlement européen de protection des données personnelles (RGPD) et les nouvelles obligations à la charge des acteurs traitant les données de santé.

Parmi les autres sujets au cœur de l’actualité du secteur figurent aussi, en particulier, le passage à la certification en matière d’hébergement de données de santé et la modification des conditions et modalités de prise en charge de la télémédecine.

Nous vous proposons donc de vous faire bénéficier d’une analyse des évolutions juridiques du secteur de la santé et d’appréhender les réformes à venir.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Le respect des données personnelles médicales à l’heure du RGPD

respect des données personnelles médicalesMarguerite Brac de La Perrière fait le point sur le respect des données personnelles médicales à l’heure du RGPD pour le magazine de l’ACMF, Association confraternelle au service des Professionnels de Santé.

A la fois facilitateur et conciergerie mutualisée, l’ACMF est une association créée et administrée par et pour des professionnels de santé.

Pour les hôpitaux, les cliniques, les assureurs, les éditeurs de logiciels, les médecins eux-mêmes, la rentrée 2018 est placée sous le signe du RGPD et de la protection des données à caractère personnel.

Morceaux choisis de l’interview qu’a accordée à « ACMF Le Mag » Marguerite Brac de La Perrière, directrice du département Droit de la santé numérique au sein du cabinet Lexing Alain Bensoussan Avocats .

Quelles sont les nouvelles obligations légales des professionnels de santé ?

les professionnels de santé doivent s’assurer qu’ils ne collectent et traitent que les données strictement nécessaires à la prise en charge des patients ou à la finalité poursuivie, tenir un registre des traitements de données à caractère personnel qu’ils réalisent décrivant leurs caractéristiques, mettre en place et en œuvre une politique de suppression des données au-delà de la durée de conservation préconisée pour chaque traitement, ainsi que les mesures de sécurité appropriées et veiller, notamment au moyen des contrats, à ce que ses sous-traitants s’engagent à respecter l’état de l’art en la matière, informer les patients des traitements réalisés et de leurs droits et organiser le respect de ces droits.

Comment identifier les risques en cas de non-respect des données personnelles médicales ?

Il faut tenir compte de la typologie de chaque donnée traitée et de la finalité ou des finalités poursuivies. L’une des questions qui se posera sera la proportionnalité du traitement de chacune de ces données au regard de la finalité poursuivie. S’agissant des mesures de sécurité, elles devront être conformes à l’état de l’art et figurer explicitement au contrat liant le professionnel de santé à l’éditeur parmi les clauses obligatoires.

Qu’en est-il du développement de la télémédecine ?

Le cadre légal et réglementaire est désormais complet pour entériner le déploiement de la téléconsultation et la télé-expertise prises en charge par l’assurance maladie en France, et ce, depuis le 15 septembre. Dans le cadre de la télémédecine, les professionnels de santé doivent recourir à des systèmes de visioconférence professionnels et sécurisés, ou à des plateformes leur permettant en particulier de s’authentifier, et de réaliser des visioconférences, le tout de manière sécurisée. En tout état de cause, il appartient au médecin de s’assurer que le prestataire met bien en œuvre des mesures de sécurité appropriées.

La pratique médicale elle-même en sera-t-elle bouleversée ?

Il s’agit d’une évolution plutôt que d’une révolution du traitement et du respect des données personnelles médicales, dans la mesure où notre Loi Informatique et libertés française, datant de 1978, posait déjà les mêmes principes fondamentaux. Toutefois, en lieu et place des formalités préalables auprès de la Cnil, il appartient désormais à tous les acteurs qui traitent des données à caractère personnel de se responsabiliser à l’égard de ces traitements, de déterminer les mesures techniques et organisationnelles à mettre en œuvre, en fonction de la sensibilité des traitements, des données, de l’état de l’art…

Un nouvel arsenal législatif et règlementaire en vue ?

On ne peut pas comparer les modèles de santé américain et européen. La logique n’est pas la même, les Américains doivent payer pour être soignés, tandis qu’en Europe et en particulier en France, nous sommes encore sur un modèle de prise en charge collective. Dans ce contexte, les patients français sont moins intransigeants et procéduriers que les patients d’un système de santé privé.

Consultez l’intégralité de l’interview.

Eric Bonnet
Directeur du département Communication juridique

(1) « Le respect des données à caractère personnel, véritable contrat de confiance entre le monde médical et les patients ! », ACMF le Mag, sept-oct. 2018, n°544 p. 43, propos recueillis par D. Deveaux.
https://offres.acmf.fr/




Juristendances Informatique et libertés n° 83 – 2018

Informatique et libertésA signaler dans la Lettre Juristendance Informatique et libertés de rentrée, la prochaine tenue d’un afterwork « RGPD : contrainte ou opportunité », animé par Alain Bensoussan en partenariat avec Comundi (Lexisnexis).

Egalement à signaler dans la Lettre Juristendance Informatique et libertés :

Articles Juristendance

Conférences et vie du cabinet

Outils et nouveautés

Formations Informatique et Télécoms

Venez assister à nos petits-déjeuners (gratuits) : inscription en ligne.

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et libertés n°83, Septembre-Octobre 2018.




Données de santé : le cabinet au programme de l’ UTT de Troyes

Marguerite Brac de La Perrière

Marguerite Brac de La Perrière interviendra à la rentrée dans le cadre du DU Données de santé de l’UTT de Troyes.

Marguerite Brac de La Perrière, Directrice du département Santé numérique au cabinet Lexing Alain Bensoussan Avocats, figure parmi les enseignants du Diplôme d’Université Gouvernance, Protection et Exploitation des Données de Santé de l’Université de Technologie de Troyes, (UTT).

DU – UTT : Protection et Exploitation des Données de Santé

L’objectif de ce DU : porter des projets ayant comme objet des données de santé, dans le respect de la réglementation sur la protection des données à caractère personnel (RGPD) et dans l’identification des solutions techniques adaptées à la fusion et au traitement des données.

La technologie numérique, source de données qui alimente en continu des masses considérables d’informations essentielles à de nombreuses activités de notre société, se développe à un rythme sans précédent.

Loi Jardé, réglementation européenne, hébergement des données de santé (HDS), confidentialité et intégrité des données personnelles et médicales, protection contre le piratage et l’intrusion informatique, propriété intellectuelle d’un nouveau concept / produit : autant de contraintes à intégrer dans le déploiement de ces nouvelles technologies appliquées au domaine de la Santé.

Ces nouvelles technologies renvoient également à la problématique de collecte et de l’exploitation des données.

Le Diplôme d’Université «Gouvernance, protection et exploitation des données de santé» de l’ UTT répond à ces enjeux et problématiques : il vise à former des collaborateurs aptes à porter le déploiement de projets ayant comme objet des données de santé, dans le respect de la réglementation sur la protection des données à caractère personnel (RGPD) et dans l’identification des solutions techniques adaptées à la fusion et au traitement des données.

Public visé par l’ UTT

  • Ingénieur TIC  auprès des gestionnaires d’EHPAD, Maisons de retraite, SSR…
  • Ingénieur spécialisé dans les technologies en lien aux personnes âgées, malades oudépendantes
  • Expert et décideur techniques auprès départements (chargés de l’Aide Personnalisée à l’Autonomie et pilotant la conférence des financeurs), Collectivités locales et territoriales, des CCAS (Centres Communaux d’Action Sociale), DDASS, DRASS, SSIAD
  • Expert «e-santé» auprès des Agences Régionales de Santé (ARS) (en particulier les directions de l’offre médico-sociale) ou organismes de services à la personne ou organismes de protection sociale
  • Ingénieur expert «e-santé» auprès des mutuelles, caisses de retraite et solidarité opérateurs de l’habitat (en particulier les bailleurs sociaux), …
  • Ingénieur TIC pour les plateformes de téléassistance et téléservices
  • Cadres hospitaliers ou maison d’accueil spécialisé (MAS) ou EHPAD
  • Cadres juridiques, de système d’information et de protection des données

UTT – La prochaine session démarre le 07 novembre 2018.

  • Le nombre d’heures d’enseignement est fixé à 70 heures en présentiel, soit 10 jours de formation.
  • La formation est dispensée en temps partagé (part-time), à raison de modules de 2/3 jours, tous les 15 jours.
  • Un jour supplémentaire est proposé sous forme d’atelier et d’accompagnement de projets applicatifs.
  • Le livrable de chaque projet applicatif sera un mémoire qui sera soutenu par le participant 3 semaines après les modules de formation.

UTT – Responsable(s) de la formation

  • Aly Chkeir

Lieux

  • La formation se déroulera sur Paris au sein de l’Espace Cléry (17 rue de Cléry, Paris 2ème).

Eric Bonnet
Directeur de la communication juridique




Informatique affective et interfaces homme machine empathiques

Informatique affectiveSi l’ informatique affective permet de faciliter et d’enrichir les interactions homme machine, les problématiques juridiques inhérentes à ces technologies doivent être prises en compte.

Applications de l’informatique affective

L’informatique affective est un domaine de recherche ayant trait à l’informatique, à la psychologie et aux sciences cognitives.

L’objectif est de développer la faculté de la machine à simuler l’empathie de la machine c’est-à-dire de reconnaître et d’interpréter les émotions et d’adapter son comportement, c’est pourquoi on parle aussi d’intelligence artificielle émotionnelle.

Le terme d’informatique affective est utilisé depuis la publication par Rosalind Picard d’un article fondateur dans la revue du MIT en 1995 (1). Selon elle, pour interagir de manière naturelle et intelligente avec les humains, les ordinateurs ont besoin de la capacité au moins de reconnaître et exprimer des émotions.

Les applications de l’informatique affective sont multiples. Elles sont évidentes par exemple concernant les robots humanoïdes et sociaux mais peuvent couvrir d’autres domaines, par exemple le chatbot d’un service commercial capable de détecter la colère d’un client et d’adapter ses réponses, une plateforme de e-learning s’adaptant aux facultés d’attention de l’utilisateur, une voiture connectée détectant la fatigue du conducteur ou encore en matière de jeux vidéo ou de publicité.

Technologies utilisées par l’ informatique affective

Les techniques et paramètres utilisés par l’informatique affective et les interfaces homme machine empathiques pour détecter les émotions des utilisateurs sont multiples.

  • L’analyse du langage
  • L’analyse de la voix
  • L’analyse des expressions faciales et du langage corporel
  • L’analyse des indicateurs physiologiques (mesure du rythme cardiaque, de la pression artérielle, de la température corporelle, électro-encéphalographie, etc.)

D’autre part, des technologies d’intelligence artificielle et de machine learning peuvent être mises en œuvre par la machine afin de simuler l’empathie.

Risques juridiques de l’informatique affective

L’informatique affective et les interfaces empathiques peuvent soulever des questions éthiques mais certaines questions juridiques doivent également être traitées en amont du développement ou du recours ces technologies.

Par exemple, en cas de recours à ces technologies à des fins commerciales, à destination de consommateurs, pourraient émerger des questions liées au consentement. En cas d’achat par l’intermédiaire d’une interface ou d’un assistant intelligent et empathique, le consentement du consommateur être considéré comme vicié s’il s’avérait que des manœuvres dolosives ont été mises en œuvre. La mise en œuvre d’une stratégie d’exploitation de l’état émotionnel du consommateur afin de faire réaliser un acte d’achat pourrait être considérée comme telle.

Peuvent également se poser des questions liées au à la collecte, au traitement et la sécurité des données à caractère personnel, en particulier de données de santé.

Par exemple, l’activité électrique du cerveau d’un utilisateur d’interface neuronale pourrait être qualifiée de donnée à caractère personnel. Des données biométriques sont susceptibles d’être collectées.

L’entrée en application le 25 mai 2018 du Règlement européen sur la protection des données (RGPD) impose de nouvelles obligations à cet égard, et notamment la réalisation d’analyses d’impact, le respect du RGPD dès la conception du traitement de données et l’obligation de prouver la conformité du traitement avec le RGPD (2).

D’autres problématiques peuvent se poser, liées notamment à la protection de la vie privée ou en matière de droit du travail, lorsque ces technologies sont mises en œuvre à destination des d’utilisateurs salariés de l’entreprise.

Benoit de Roquefeuil
Katharina Berbett
Lexing contentieux informatique

(1) Rosalind Picard, « Affective Computing« , MIT Technical Report n°321
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données




Hospitalia et les impacts du RGPD pour les acteurs de santé

RGPD pour les acteurs de santéMarguerite Brac de La Perrière, interrogée sur les impacts du RGPD pour les acteurs de santé, répond à Anaïs Guilbaud pour la revue Hospitalia.

Ainsi que le présente Anaïs Guilbaud, le Règlement Général pour la Protection des Données (RGPD) adopté le 27 avril 2016, entrera en vigueur le 25 mai 2018. Cette nouvelle réglementation européenne, qui vise à renforcer la protection des données personnelles, repose sur une plus grande responsabilisation des acteurs de traitements et de leurs sous-traitants. Si de nombreuses formalités auprès de la CNIL sont amenées à disparaître, les structures et entreprises concernées devront désormais assurer une protection appropriée des données dès la conception et par défaut, mais également être en mesure de démontrer leur conformité avec le règlement à tout moment. Des changements à anticiper dès maintenant, au regard des sanctions encourues. Elle a donc interrogé Marguerite Brac de La Perrière, Avocate au cabinet Lexing Alain Bensoussan Avocats, Directrice du département santé numérique, sur les impacts du RGPD pour les acteurs de santé.

Morceaux choisis

Selon Marguerite Brac de La Perrière, le RGPD vise à « créer un espace de confiance, permettant d’assurer, aux personnes dont les données sont traitées, le respect de leurs droits ».

Un enjeu majeur au regard des sanctions encourues : selon l’avocate, jusque là, celles-ci « n’étaient pas réellement dissuasives notamment en comparaison de l’investissement nécessaire à une mise en conformité ».

Et Marguerite Brac de La Perrière de préciser : « Nous voyons déjà les effets de cette responsabilisation chez nos clients qui se bousculent pour cartographier leurs traitements, identifier les écarts à la réglementation, et entreprendre les actions nécessaires à leur mise en conformité.  Si dans le domaine de la santé, les acteurs, respectueux du secret médical, étaient déjà sensibilisés et relativement vigilants vis-à-vis de la protection des données, des adaptations organisationnelles, techniques et juridiques s’imposent, notamment face à l’évolution des outils numériques.« 

Quant à la désignation du délégué à la protection des données (DPO), nouveau pivot de la conformité RGPD, il conviendrait de choisir quelqu’un « qui a la possibilité de conduire ses missions en toute indépendance, d’obtenir les moyens de les réaliser, et qui rapporte au niveau le plus élevé de la direction« .

S’agissant plus particulièrement du monde de la santé, Marguerite Brac de La Perrière estime que « la sécurité des données passe par une stricte politique d’habilitations, des accès authentifiés à l’aide d’un moyen d’authentification forte, la traçabilité, le chiffrement des données ou des flux, et en tous cas des sauvegardes, et un hébergement sécurisé et dédié des données« .

In fine, avec la mise en conformité au RGPD, il s’agit d’un « travail d’envergure que de déterminer les écarts avec la réglementation. Dans le cas d’un établissement de santé, il faudra analyser le cheminement des données de leur collecte à leur suppression définitive, c’està-dire processus par processus, et ce, service par service. Il y a donc lieu de se faire aider, sur les plans juridique et technique, afin d’être en mesure d’établir une feuille de route permettant d’arriver à une complète conformité« .

Eric Bonnet
Lexing Département Communication juridique

Lire l’article :
Interview de Marguerite Brac de La Perrière par Anaïs Guilbaud, « Mise en place du RGPD : ce qu’il faut savoir« , Hospitalia n° 39 déc. 2017 p.38.




Le code de conduite Privacy en santé mobile retoqué par le G29

code de conduite Privacy en santé mobileLe G29 vient de publier ses commentaires spécifiques sur le projet de code de conduite Privacy en santé mobile M-Santé.

Des commentaires spécifiques au code de conduite Privacy en santé mobile

Le G29 a rendu publique sa lettre du 10 avril 2017 (1), adressée à l’éditeur du projet de code de conduite « Privacy en santé mobile » (2) (3) dans laquelle il livre ses « commentaires spécifiques » relatifs à sa conformité au regard de la directive de protection des données de 1995 et des exigences du RGPD.

Le code de conduite sur le respect de la vie privée et les applications de santé mobile (mHealth), a pour objet de contribuer à promouvoir la confiance des utilisateurs envers les applications de santé mobile. Sa structure et son contenu ont fait l’objet de nos précédents commentaires (3).

Dans sa lettre, le G29 expose qu’en l’état, le projet de code de conduite qui lui est soumis ne remplit pas les niveaux d’exigence requis pour obtenir son approbation, et délivre l’ensemble des indications ou « commentaires spécifiques » permettant de l’approcher, notamment s’agissant des exigences du RGPD, et ce, dans le cadre d’une démarche collaborative entre la Commission européenne et le porteur du projet de code de conduite.

Code de conduite Privacy en santé mobile : suivi et gouvernance

Les premiers du G29 portent sur les organes de gouvernance proposés par le code, dans la mesure où ces organes pourront être agrées par l’autorité de contrôle compétente afin de contrôler son respect.

Le G29 considère que, selon RGPD, le code devrait définir les recours, mécanismes de résolution des litiges et sanctions associées, par exemple la publicité des violations du code et modalités d’information des autorités de contrôle nationales.

Il considère qu’il serait utile de préciser les modalités de suivi des organisations du secteur par l’organe de gouvernance : période de suivi, nombre d’applications contrôlées et modalités de leur évaluation.

Tant les garanties d’indépendance, de transparence, et d’impartialité de cet organe, sa composition et les modalités de fonctionnement devraient également être précisés, dans la mesure où celui-ci doit être dirigé par des associations et organisations relevant de l’écosystème de la santé mobile et ou la question de leurs contributions financières respectives doit être renseignée.

Le G29 approuve ensuite l’introduction d’une certification, au-delà d’une simple déclaration de conformité, tout en exigeant que son mécanisme soit précisé (transparence des informations, suivi et coûts) et en reconnaissant que le processus de certification doit faire l’objet de lignes directrices « nécessaires », de la part du G29 à l’avenir.

Lignes directrices à destination des responsables de traitement

Pour le G29, le recueil du consentement doit être clairement requis selon les exigences posées par le RGPD tout en rappelant plus explicitement les conditions de loyauté et de légalité des traitements.

La question du consentement devrait par ailleurs tenir compte des problématiques liées aux traitements de données détenues par des tiers, de conservation des données, du retrait du consentement, et de son recueil auprès de mineurs.

Le G29 encourage aussi la mise en avant des risques pouvant être associés à l’utilisation des applications de santé mobile, en particulier s’agissant du traitement de données particulièrement sensibles ou des données à caractère personnel de mineurs.

Principes relatifs à la protection des données

Les G29 observe que les principes suivants devraient être indiqués explicitement par le code :

  • le caractère approprié des mesures de protection des données à caractère personnel ;
  • la précision et la qualité des données, leur accessibilité, ainsi que les mesures de sécurité relatives à la conservation des données.

De façon générale, les grands principes devraient faire l’objet d’une plus grande contextualisation et d’exemples concrets.

En particulier le G29 observe que le projet de code ne précise pas si les principes d’ « acccountability » du RGPD (mise en œuvre d’un processus de mise en conformité et de sa preuve) et de sécurité des données sont des principes légaux impératifs ou de simples bonnes pratiques que les développeurs doivent observer.

Information, transparence et individus concernés

Le G29 estime que la distinction entre responsables de traitement et sous-traitants doit être effectuée afin de préciser les rôles et les obligations de chacun, car ces précisions devraient être portées à la connaissance de l’individu concerné en amont du traitement. A minima, comme l’impose le RGPD, l’identité et points de contact du responsable de traitement ainsi que le point de contact uniforme en cas de coresponsabilité dans le traitement doivent être précisés.

D’autre part, le G29 estime que le code ne précise pas la manière dont les individus peuvent exercer leurs droits et comment les responsables de traitement peuvent répondre aux demandes associées.

Le sujet du droit à la portabilité des données devrait quant à lui être traité en prenant en considération les lignes directrices publiées par le G29 sur le sujet.

Enfin, le G29 recommande de préciser les incidences des évolutions applicatives augmentant les champs des traitements, concernant leurs notifications aux utilisateurs.

Code de conduite Privacy en santé mobile : la sécurité

Le G29 estime que le code devrait détailler comment tenir compte de la mise en œuvre des principes de « privacy by design » et de « privacy by default » au cours du processus de développement des applications, et des durées de conservation des données.

Il souhaite que la notion d’anonymisation complète de jeux de données soit précisée dans le code, en tant que processus qui ne permet pas d’identification et irréversible, tout en sensibilisant les développeurs aux risques associés à la re-identification des individus.

Le G29 estime également que le cryptage de données doit être rapproché de la nécessité de pouvoir les communiquer, en toute sécurité, en recourant à un procédé d’authentification forte, en particulier si des tiers, comme des médecins, doivent pouvoir avoir accès aux données sur autorisation de leur patient.

Code de conduite Privacy en santé mobile : la publicité

Le G29 souhaite que le code précise les base légales selon lesquelles la prospection est autorisée dans le cadre de traitements, en particulier, au regard des dispositions du RGPD.

Transfert dans des pays tiers

Le G29 estime que le code devrait mentionner, par référence au RGPD, que lorsque les données font l’objet d’un transfert vers des autorités publiques ou privées établies dans un pays tiers, le pays de destination doit être indiqué.

Code de conduite Privacy en santé mobile : Principes généraux

Le G29 a en outre délivré un certain nombre de lignes directrices générales, dont le respect est indispensable à la réalisation et à l’approbation des codes de conduites européens, qui ont vocation à prendre une importance considérable sous l’empire du RGPD, en vigueur en mai 2018.

Ces lignes directrices fondamentales et générales, ainsi que le processus d’élaboration et la place des codes de conduites au sein de la nouvelle règlementation ont fait l’objet, de nos commentaires (4).

L’évolution du processus d’élaboration de ce code de conduite sur un mode collaboratif entre le porteur de projet et la Commission européenne doit être surveillé par les acteurs de la santé mobile dans la mesure où il vocation à préciser les modalités d’implémentation du RGPD dans ce secteur.

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Santé numérique

(1) G29 (Article 29 Data Protection Working Party) Letter re mHealth.
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » et projet de Code de conduite mHealth.
(3) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, Code de conduite européen « Privacy en santé mobile », Alain-Bensoussan.com, 02-05-2017.
(4) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, RGPD et codes de conduite : Les exigences du G29, Alain-Bensoussan.com 8-6-2017.‎




RGPD et codes de conduite : les exigences du G29

RGPD et codes de conduite

RGPD et codes de conduite : le G29 analyse la conformité des codes de conduites face aux exigences posées  par le RGPD, la lettre du G29 délivre les différents points à respecter.

A l’occasion de sa lettre du 10 avril 2017 (1), adressée à l’éditeur du projet de code de conduite « Privacy en santé mobile » (2) (3), le G29 a délivré ses commentaires relatifs à la conformité des codes de conduite, au regard des exigences posées par la directive de protection des données de 1995 et du RGPD, en dégageant un certain nombre de principes fondamentaux et généraux relatifs à leur élaboration.

Les commentaires du G29 constituent ainsi pour partie de véritables lignes directrices générales, dont le respect est indispensable à la réalisation et à l’approbation des codes de conduites européens qui ont vocation à prendre une importance considérable sous l’empire du RGPD entrant en vigueur en mai 2018.

Le rôle conféré par le RGPD aux codes de conduite

L’application du principe d’ « accountability » tel que défini par le RGPD impose :

  • la mise en place par l’organisation concernée, d’un processus permanent et dynamique de mise en conformité ;
  • de pouvoir rapporter la preuve des mesures de mise en conformité prises.

A cet effet, le RGPD prévoit des méthodologies permettant de démontrer la conformité de traitements sous la forme notamment de « certifications », de « labels » et en particulier, de « codes de bonne conduite » (4) dont l’application « (…) peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement » (5) et qui pourront également être pris en compte par l’autorité de contrôle en cas de procédure contentieuse (6).

RGPD et codes de conduite : le processus d’approbation

Les projets de codes de conduite doivent être présentés pour approbation à l’autorité nationale de contrôle (ou à la Commission européenne après avis du comité européen de protection des données si le code de conduite concerne des activités de traitement menées dans plusieurs Etats membres), qui vérifie s’ils présentent des garanties appropriées suffisantes en vue du respect du RGPD.

C’est donc dans le cadre de ce processus qu’est intervenue la publication de la lettre du G29 sur le code de conduite sur le respect de la vie privée et les applications de santé mobile (M-Health) (1).

Une fois approuvés, ces codes de conduite peuvent être enregistrés, rendus publics et, sur décision de la Commission, être considérés comme d’application générale au sein de l’Union.
Quant au contrôle de leur respect, il peut être mis en œuvre par un organisme disposant d’un niveau d’expertise approprié au regard de l’objet du code, qui serait agréé à cette fin par l’autorité de contrôle compétente.

RGPD et codes de conduite : les principes fondamentaux

Dans sa lettre, le G29 rappelle en premier lieu les principes généraux fondamentaux qui doivent impérativement guider l’élaboration de tout code de conduite :

  • être conforme au RGPD et à ses transpositions en droit national ;
  • être de qualité et apporter une valeur ajoutée tant au RGPD qu’aux législations nationales applicables en matière de protection des données ;
  • sa valeur ajoutée peut être démontrée au regard de problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles ;
  • avoir pour objet de spécifier et préciser l’application de la règlementation.

RGPD et codes de conduite : les principes généraux

Le G29 délivre dans un second temps des commentaires généraux relatifs au projet de code de conduite qui lui était soumis, qui constituent eux aussi des points cardinaux applicables à tous les projets de codes de conduite. Il considère de manière générale :

  • qu’il n’apporte pas suffisamment de valeur ajoutée par rapport à la Directive (RGPD) ;
  • qu’il doit être clarifié, comporter plus de référence au référentiel légal existant, en particulier concernant le secteur spécifique de la santé mobile concerné ;
  • qu’il doit notamment faire le lien entre RGPD et législations nationales, en particulier lorsque le premier laisse une liberté de transposition aux secondes ;
  • il devrait prendre en compte d’autres éléments de la règlementation qui impactent la conformité en matière de protection des données, comme la « directive ePrivacy » s’agissant de la mise en œuvre des cookies ; le règlement « eIDAS » (en matière d’identification électronique et de services de confiance), ou la directive 93/42/CE relative aux dispositifs médicaux ;
  • il doit clarifier le rôle des différents acteurs concernés dans les traitements mis en œuvre et les différents niveaux d’obligations correspondantes (responsable du traitement et sous-traitant).

L’ensemble de ces principes généraux constituent une grille de lecture indispensable pour les porteurs de projets de codes de conduite recherchant leur approbation par la Commission européenne afin de contribuer à l’enrichissement normatif européen et à une prise de position compétitive dans leur secteur.

RGPD et codes de conduite : les applications de santé mobile (M-Health)

La lettre du G29 contient, au-delà des principes exposés ci-avant, une analyse du code de conduite sur le respect de la vie privée et les applications de santé mobile (M-Health) à travers des observations et questions spécifiques qui font l’objet de nos commentaires distincts (1).

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Santé numérique

(1) G29 (Article 29 Data Protection Working Party) Letter re mHealth.
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » et projet de Code de conduite mHealth.
(3) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, Code de conduite européen « Privacy en santé mobile », Alain-Bensoussan.com, 02-05-2017.
(4) RGPD articles 40 et 41
(5) RGPD article 24
(6) RGPD article 83




Code de conduite européen « Privacy en santé mobile »

Privacy en santé mobileLe G29 a annoncé la publication prochaine de ses commentaires sur le code de conduite européen Privacy en santé mobile.

Le code de conduite sur le respect de la vie privée et les applications de santé mobile (mHealth), élaboré sous l’égide de la Commission européenne, a notamment pour objet de contribuer à promouvoir la confiance des utilisateurs envers les applications de santé mobile.

Il a également vocation à permettre aux développeurs et plus largement aux différents acteurs économiques du secteur de la santé mobile de bénéficier d’un support à la mise en conformité au regard des exigences imposées par :

  • la règlementation Informatique et Liberté en vigueur (Directive 95/46/CE du 24 octobre 1995) ;
  • l’entrée en vigueur du Règlement Général à la Protection des Données (RGPD), au 25 mai 2018.

En effet, dans le cadre de son communiqué de presse en date du 10 avril 2017 sur la « plénière du G29 d’avril 2017 », la Cnil rappelle que le G29 a annoncé avoir pris position sur le code de conduite Privacy en santé mobile et la publication prochaine d’une lettre portant sur les premiers commentaires relatifs à la conformité du code de conduite avec les exigences précitées (1).

En l’état, le code est disponible à l’état de projet ou « Draft Code » sur le site de la Commission européenne (2).

Le G29 rappelle que les codes de conduite, qui ont vocation à prendre une place de plus en plus importante suite à l’entrée en vigueur du RGPD, peuvent faire l’objet d’un acte d’implémentation au sein de la règlementation européenne.

Une structure axée sur la mise en conformité au RGPD

Le projet de code de conduite est articulé autour des quatre parties suivantes :

  1. A propos ;
  2. Principales lignes directrices pour les développeurs d’applications ;
  3. Annexe I : Privacy Impact Assessement (PIA) / Etude d’impact ;
  4. Annexe II : Exemple de notice d’information (recueil du consentement).

Ses deux annexes sont destinées à devenir des outils pratiques de mise en œuvre de l’étude d’impact relative au traitement des données sensibles (de santé) et au recueil du consentement des utilisateurs, conformément au RGPD.

Les principales lignes directrices à destination des éditeurs/développeurs d’application du secteur s’articulent autour des thèmes suivants, en tenant principalement compte des impacts du RGPD :

  • Consentement de l’utilisateur ;
  • Limitation des finalités et minimisation des données ;
  • Confidentialité par conception et par défaut ;
  • Droits des personnes concernées et les exigences en matière d’information ;
  • Conservation des données ;
  • Publicité dans les applications mHealth ;
  • Utilisation de données personnelles à des fins secondaires ;
  • Divulgation de données à des tiers pour les opérations de traitement ;
  • Transferts de données hors UE ;
  • Violations et failles de sécurité ;
  • Données recueillies auprès des enfants.
Privacy en santé mobile : lettre et commentaires du G29

Il convient de surveiller avec intérêt la publication à venir et annoncée des commentaires du G29 ayant vocation à préciser le projet de code de conduite, en particulier s’agissant des outils de mise en conformité qu’il propose, étude d’impact et notice d’information.

Ces commentaires devraient permettre sa mise à jour rapide et à l’avenir, son approbation par le G29.

En attendant, il demeure un outil important de support à la mise en conformité Informatique et Liberté des acteurs de la santé mobile.

Pour rappel, ce projet intervient suite à la publication, en France, d’un Référentiel de bonnes pratiques sur les applications et les objets connectés en santé par la Haute Autorité de Santé (HAS), en octobre 2016, qui s’inscrit lui aussi dans le respect du Règlement général européen sur la protection des données (RGPD) (3) .

Marguerite Brac de La Perrière
Labyod Benjamin-Victor
Département Santé numérique

(1) Communiqué de presse de la Cnil du 10-4-2017 .
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » ;
(3) M. Brac de La Perrière, « Objets connectés de santé : Référentiel de bonnes pratiques », Alain-Bensoussan.com, 19-12-2016 .




Données personnelles: application du RGPD au secteur de la santé

RGPD au secteur de la santéMarguerite Brac de La Perrière fait le point pour le Magazine Spectra Biologie sur l’application du RGPD au secteur de la santé.

Le règlement général sur la protection des données (RGPD), entré en vigueur le 27 avril 2016, sera applicable le 25 mai 2018.

Ce nouveau règlement s’inscrit dans la droite ligne de la Loi Informatique et libertés du 6 janvier 1978. Il constitue une évolution de la réglementation relative à la protection des données personnelles dont les principes fondateurs ont été réaffirmés, voire, précisés ou rebaptisés.

Directrice du départment Santé numérique du cabinet Lexing Alain Bensoussan Avocats, Marguerite Brac de La Perrière livre aux lecteurs du magazine Spectra Biologie (revue francophone de biologie médicale) une revue succincte de l’origine, des objectifs et des implications de ce texte, le RGPD au secteur de la santé (RGPD cons. 52) pour lequel les données personnelles, généralement qualifiées de sensibles, relèvent des catégories particulières (RGPD art. 9).

L’occasion d’évoquer également, à l’attention des professionnels du secteur de la santé, les mesures techniques et organisationnelles appropriées à mettre en œuvre, lesquelles relèvent de :

  • nombreux référentiels sectoriels tels que la PGSSI-S, le référentiel sur l’hébergement de données de santé ;
  • recommandations issues de délibérations de la Cnil ;
  • bonnes pratiques résultant de la doctrine d’autorités sectorielles telles que l’ASIP Santé ou les conseils nationaux de l’Ordre des Médecins ou des Pharmaciens, outre celles des autorités non sectorielles telle que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ;
  • et enfin, de textes normatifs spécifiquement applicables.

Comme le souligne Marguerite Brac de La Perrière, dans ce contexte où l’identification des mesures à prendre pour se mettre en conformité peut s’avérer particulièrement ardue, sont naturellement encouragées :

  • l’élaboration de codes de conduites sectoriels, dont le respect « peut servir d’élément pour démontrer le respect des obligations incombant au responsable de traitement » ;
  • la mise en place de mécanismes de certification et de labels, « aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le […] règlement ».

Eric Bonnet
Lexing Communication juridique

Lire l’article :
Marguerite Brac de La Perrière,  « Règlement général européen sur la protection des données (RGPD) à caractère personnel », Spectra Biologie, n° 232 • Décembre 2017, p. 35.




Le règlement 2016-679 et les technologies : la biométrie

Le règlement 2016-679 et les technologies : la biométrieLe règlement 2016/679 définit les données de biométrie comme des données résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique.

Les données de biométrie sont des données particulières

Le règlement européen qualifie la biométrie et les données de biométrie comme des catégories particulières de données qui sont par nature particulièrement sensibles du point de vue des libertés et des droits fondamentaux et méritent une protection spécifique.

Toutefois, le règlement ne vise les données biométriques dans les catégories particulières de données que pour autant qu’elles ont pour finalité d’« identifier une personne physique de manière unique ». Les données biométriques qui ne permettraient pas d’identifier de manière unique une personne ne devraient pas relever de la catégorie particulière des données biométriques.

L’idée est séduisante, toutefois, il convient de remarquer que cette distinction entre identification et authentification figure d’une certaine façon dans la loi informatique et libertés.

En effet, l’article 25, I, alinéa 8 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés dispose :

  • « Sont mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés, […] 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ».

et l’article 27 1 2°précise que :

  • « Les traitements de données à caractère personnel mis en œuvre pour le compte de l’État qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ».

S’agissant des traitements biométriques mis en œuvre par une personne relevant du droit privé, l’article 25 ne vise que la biométrie nécessaire à des fins de contrôle de l’identité des personnes à l’exclusion des traitements mis en œuvre à des fins d’authentification.

Sur la base du principe d’interprétation stricte de la loi pénale et de la distinction opérée au sein de ces deux articles, la biométrie devrait relever d’un simple régime de déclaration dans la mesure où, s’il y a authentification, alors il n’y a pas de contrôle d’identité.

Néanmoins, la Cnil, n’admet pas cette interprétation. Dès lors, il sera intéressant de suivre la position des autorités de contrôle sur ce sujet.

Un principe d’interdiction sauf autorisation spécifique

En tout état de cause, le règlement pose le principe d’interdiction du traitement de données biométriques à moins que celui-ci ne soit autorisé dans des cas spécifiques qu’il prévoit, compte tenu du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l’application des règles du règlement en vue de respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

En outre, le règlement précise que les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données biométriques à la condition toutefois, que ces conditions ou limitations n’entravent pas le libre flux des données à caractère personnel au sein de l’Union lorsque ces conditions s’appliquent au traitement transfrontalier de ces données.

A cet égard, il est fort à parier concernant la biométrie que des propositions seront faites en ce sens, comme par le passé, et notamment avec l’amendement au projet de loi pour la République numérique de Gaëtan Gorce, non retenu par la Commission Mixte Paritaire.

Céline Avignon
Lexing Publicité et marketing électronique




Analyse de risque et traitement de données sensibles

Petit-déjeuner du 10 avril 2013 consacré à la gestion des risques en matière de données personnelles.

Ce « risque » est devenu en quelques années un élément déterminant pour toutes les entreprises responsables. Là où elles pouvaient encore prétendre ne pas savoir comment mesurer ce risque, l’apprécier ou le traiter, la chose devient plus complexe aujourd’hui avec l’abondance de guides (recommandations Cnil), référentiels (RGS dans l’administration) et normes (série ISO2700X pour la gouvernance sécurité) constituant autant de « bonnes pratiques ».

Mais les questions soulevées sont encore nombreuses en matière de données personnelles :

  • Pourquoi la gestion des risques devient-elle un enjeu majeur ?
  • Quels sont les points communs et les différences avec l’analyse de risque classique ?
  • Quelles sont les sanctions en cas d’absence de démarche de gestion des risques ?
  • Comment engager une telle démarche ? Quel référentiel utiliser (EBIOS, MEHARI, CoBit, etc.) ? Faut-il créer son propre référentiel ?

Jean Olive, Senior Manager Sécurité chez CGI Business Consulting et co-fondateur du club EBIOS, a illustré une méthode d’analyse de risque dans le cadre du futur règlement UE qui va rendre obligatoire l’analyse dès la conception des projets (Privacy by Design).

Le petit-déjeuner débat a eu lieu le 10 avril 2013 de 9 heures à 11 heures (accueil à partir de 8 heures 30), dans les locaux du cabinet ALAIN BENSOUSSAN 29, rue du Colonel Avia 75015 Paris.




Données sensibles définition

Données dites « sensibles » :

Données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (L. 1978, art. 8).