Généralisation de l’e-prescription avec l’ordonnance du 18 novembre 2020

e-prescription

L’ordonnance du 18 novembre 2020 portant mise en œuvre de la prescription médicale électronique, accompagnée d’un rapport, généralise l’e-prescription.

Cette ordonnance entrera en vigueur au plus tard le 31 décembre 2024. Selon des modalités et à des dates à fixer par un décret en Conseil d’État, et en tenant compte :

  • des professions concernées,
  • de leurs conditions d’exercice, ainsi que
  • des catégories de soins, produits ou prestations prescrites.

Conditions de mise en œuvre de l’ordonnance

Les prescriptions de soins, de produits de santé ou de prestations effectuées par les professionnels de santé autorisés à prescrire :

  • « sont établies de manière dématérialisée et transmises par voie électronique,
  • à l’exception des prescriptions à la fois effectuées et exécutées au sein des établissements de santé ».

Les e-prescriptions reposeront sur l’utilisation de deux types de logiciels :

  • un logiciel d’aide à la prescription (LAP) ou
  • un logiciel d’aide à la dispensation (LAD) certifié.

Le traitement des données par la CNAM

La conception et la mise en œuvre des traitements de données liés à la prescription électronique incombe à la CNAM.

Toutefois, l’ordonnance prévoit des exceptions à la dématérialisation liées à l’environnement technologique. Ainsi, l’absence d’environnement informatique adéquat ou de connexion internet suffisante rentre dans ce cas de figure.

Les exceptions posées en matière d’e-prescription

L’ordonnance exclut également  les prescriptions à la fois effectuées et exécutées au sein des établissements de santé (hôpitaux, cliniques). Elle exempte ainsi les prescriptions qui à la fois établies et exécutées au sein des établissements de santé.

Par ailleurs, « le patient est informé de la possibilité de s’opposer à l’accès du prescripteur aux données du traitement relatives aux modalités d’exécution des prescriptions ». Il est ainsi prévu des modalités selon lesquelles l’e-prescription « donne lieu à la remise au patient d’une ordonnance papier ».

Un décret à venir pour mettre en œuvre l’e-prescription

Un décret en Conseil d’État viendra fixer les modalités d’application de cette ordonnance. Et préciser notamment sur les points suivants :

  • les conditions de mise en œuvre des traitements de données ;
  • les destinataires des données, et les conditions d’utilisation des téléservices en tenant compte des modes d’exercice des professionnels de santé ;
  • les exceptions à l’e-prescription ;
  • les modalités d’information du patient à son droit d’opposition à l’accès du prescripteur aux données du traitement relatives aux modalités d’exécution des prescriptions ;
  • les conditions de mise en œuvre de la prescription électronique avec malgré tout remise au patient d’une ordonnance papier.

Conséquences pratiques juridiques 

La mise en œuvre de la e-prescription impliquera nécessairement la révision des mentions d’information dues au patient. Mais également celle des conventions entre institutions responsables de traitement/sous-traitants.

Dans le secteur de la santé, les responsables de traitement sont multiples. Il peut s’agir de professionnels de santé, structures de soins, groupements pluri-professionnels, fournisseurs de solutions techniques, etc.

Les professionnels de santé devront donc prendre les mesures appropriées pour informer les patients concernés. Et délivrer une information concise, transparente, compréhensible et aisément accessible. Sur ce point, le décret est en cours de rédaction.

Eric Le Quellenec
Zarine Ramjauny
Lexing Santé numérique




Sécurité des SI de santé : La Cnil sanctionne deux médecins

Sécurité

La Cnil sanctionne deux médecins libéraux pour défaut de sécurité et pour ne pas avoir notifié une violation de données.

Sécurité des SI de santé : La Cnil sanctionne deux médecins

Par deux délibérations de la formation restreinte du 7 décembre 2020, la Cnil a prononcé des amendes d’un montant de 3 000 € et 6 000 € à l’encontre deux professionnels de santé libéraux pour défaut de sécurité et pour ne pas avoir notifié une violation de données (1).

Contexte

Des tiers non autorisés pouvaient consulter et exploiter des données d’imagerie médicale de patient de deux professionnels de santé. En cause, l’ouverture des ports réseaux de la box internet et le paramétrage du PACS (2) du logiciel d’imagerie médicale qu’ils utilisaient.

Suite à un signalement, les services de la Cnil ont procédé à un contrôle en ligne et confirmé le caractère librement accessible de plusieurs milliers de séries d’imagerie médicale associées à l’identité, à la date de naissance des patients, la date de réalisation de l’examen en question, le nom du praticien référent, du praticien ayant réalisé l’examen ainsi que le nom de l’établissement dans lequel l’examen a eu lieu.

Manquement à l’obligation d’assurer la sécurité des données

En application de l’article 32 du RGPD, le responsable de traitement est tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque du traitement de données personnelles.

La Cnil relève que les deux professionnels de santé n’ont pas mis en œuvre les mesures techniques appropriées pour la garantir la sécurité des données des patients du fait :

  • de mauvais paramétrages de leur box internet et du logiciel d’imagerie médicale ;
  • de l’absence de chiffrement des données personnelles contenues dans le disque dur des ordinateurs des professionnels de santé, permettant la consultation de ces données personnelles par des tiers non autorisés, le cas échéant en cas de perte ou de vol de ces matériels ou lors d’un accès illégitime sur le réseau informatique.

Les recommandation de la Cnil

La Cnil recommande :

  • « d’autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place » et de « limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau » ;
  • « de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW, etc.) » et de procéder au chiffrement des données des patients à l’aide d’un logiciel adapté, y compris si le chiffrement « ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images », comme l’indiquait un des professionnels de santé.

A ce titre, s’agissant de la sécurité des données de santé, les professionnels de santé peuvent s’appuyer sur les référentiels suivant :

Ces référentiels correspondent à l’état de l’art du secteur.

Manquement à l’obligation de notifier la violation de données

En application de l’article 33 du RGPD, le responsable de traitement est tenu de notifier la violation de données à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette notification est réalisée :

  • lorsque la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques et
  • qu’elle peut être réalisée par le biais d’un téléservice disponible sur le site internet de la Cnil.

Les différentes obligations de notification, signalement et communication des acteurs de la santé liés aux incidents de sécurité avaient été rappelées dans notre article sur les incidents de sécurité des systèmes d’information de santé.

La Cnil relève que la violation de données (accès non autorisé aux données des patients) n’a pas fait l’objet de notification de la part des professionnels de santé. Si ces derniers opposaient le « caractère artificiel » de cette obligation dans la mesure où ils avaient eu connaissance de la violation par les services de contrôle de la Cnil, la Cnil estime que cette circonstance ne déchargeait pas le professionnel de l’obligation de notification.

En revanche, la Cnil ne se prononce pas sur la nécessité de communiquer une telle violation aux personnes concernées. Peut-elle engendrer un risque élevé pour les droits et libertés des patients au regard du caractère sensible des données ?

Rôle des sous-traitants et des éditeurs dans la sécurité des données

Dans son communiqué, la Cnil appelle à la vigilance des professionnels de santé lorsqu’ils utilisent des logiciels et applications dans le cadre des traitements des données personnelles de leurs patients et les incite à s’entourer, le cas échéant, de prestataires compétents en la matière (4).

A ce titre, la Cnil recommande aux professionnels de santé, lorsqu’ils utilisent des outils numériques pour leurs activités :

  • de s’assurer que les fournisseurs et prestataires mettent en œuvre les mesures de sécurité appropriées et conformes à l’état de l’art du secteur de la santé ; en particulier, lorsqu’ils sont sous-traitants au sens de la réglementation sur la protection des données ;
  • d’associer les fournisseurs et prestataires lors de l’installation et du paramétrage des outils numériques ;
  • de solliciter de la part des fournisseurs et prestataires des garanties concernant le niveau de sécurité mis en œuvre (5) ; mais également de les intégrer aux documents contractuels du fournisseur ou prestataire ;
  • de prévoir dans les documents contractuels la réalisation d’audits réguliers des fournisseurs et prestataires (audits documentaires ou sur place).

Eléments pris en compte pour l’évaluation du montant des sanctions

Pour déterminer le montant des amendes respectives (3000 et 6000 €), la Cnil a fait application des critères suivants :

  • le degré de coopération avec la Cnil pour remédier à la violation et en atténuer les éventuels effets négatifs. Les professionnels de santé ont immédiatement pris les mesures nécessaires pour mettre un terme à la violation de données ;
  • la nature, la gravité et la durée de la violation ou encore le nombre de personnes concernées affectées ;
  • les catégories de données personnelles concernées par la violation. S’agissant de données personnelles dont le degré de sensibilité est important, des mesures de sécurité renforcées s’imposaient ;
  • la manière dont la Cnil a eu connaissance de la violation. Par exemple, si, et dans quelle mesure, le responsable de traitement ou le sous-traitant ont notifié la violation. Rappelons que la Cnil a eu connaissance de la violation de données par le biais d’un article de presse.

Les sanctions s’élèvent à 3000 € à l’encontre d’un des professionnels et de 6000 € à l’encontre du second.

Les deux professionnels disposent de revenus d’importance similaire. La différence entre les sanctions pourrait être due à la durée de la violation dans la mesure où :

  • concernant la condamnation à 3000 €, les données personnelles ont été accessibles « pendant une durée d’environ quatre mois » ;
  • concernant la condamnation à 6000 €, les données ont été accessibles « pendant une durée d’un peu moins de cinq ans ».

En revanche, le volume des données concernées par la violation ne semble pas avoir été pris en compte :

  • concernant le professionnel condamné à 3000 €, 5300 séries d’imagerie médicale étaient concernées par la violation ;
  • concernant le professionnel condamné à 6000 €, plus de 1200 séries d’imagerie médicale étaient concernées par la violation.

Il résulte de ces délibérations que tous les acteurs doivent être vigilants quant à la sécurité de leurs traitements ; et ce, quel que soit leur mode d’exercice de la profession.

Eric Le Quellenec
Chloé Gaveau
Lexing Informatique Conseil

Notes :

(1) Délib. Cnil SAN-2020-014 du 07-12-2020 ; Délib. Cnil SAN-2020-015 du 07-12-2020.
(2) PACS (Picture Archiving and Communication System) : système permettant de gérer les images médicales grâce à des fonctions d’archivage.
(3) Référentiels de sécurité des systèmes d’information de santé publiés par l’Agence du Numérique en Santé visés à l’article L. 1110-4-1 du Code de la santé publique.
(4) Cnil, Violations de données de santé : la CNIL sanctionne deux médecins, communiqué du 17-12-2020.
(5) Par exemple, certificat hébergeur de données de santé, accès au registre des catégories d’activité de traitement ou à la liste des mesures de sécurité mises en œuvre, politiques de sécurité, engagement de résultat quant à la mise en œuvre de moyens respectant la PGSSI-S et l’état de l’art, etc.




Téléconsultation médicale : effet de crise ou service d’avenir ?

effet de crise ou service d'avenirMarguerite Brac de La Perrière participait le 6 mai 2020 à un webinaire organisé par l’Argus de l’assurance consacré à la téléconsultation médicale.

A l’heure où la téléconsultation connaît une croissance exponentielle liée à la pandémie du Covid-19 et aux mesures de confinement, l’Argus de l’assurance organisait, le 6 mai 2020, un webinaire sur le thème « Téléconsultation : effet de crise ou service d’avenir ? » consacré au développement de ce nouveau service et aux dérogations mises en place pour faciliter son recours.

Afin de ralentir la circulation du coronavirus et limiter le nombre de contaminations, le gouvernement a en effet décidé d’assouplir par décrets les règles de la téléconsultation.

Par deux décrets parus au Journal officiel les 10 et 20 mars 2020, la réalisation et le remboursement des actes de téléconsultation ont été assouplis en dérogation aux principes définis dans la convention médicale.

Cet assouplissement étroitement lié à l’épidémie de Covid-19 va-t-il perdurer une fois la crise passée ?

Exceptionnellement prises en charge à 100% par l’Assurance Maladie, les téléconsultations s’effectuent de plus en plus en tiers payant pour faciliter l’accès aux soins et simplifier les modalités de facturation. Quelles conséquences alors pour les complémentaires santé ?

Alors que la téléconsultation restait jusqu’à présent très limitée en pratique, son développement récent, s’il vient à se confirmer dans la durée, sera-t-il une opportunité pour les assureurs de diversifier leurs offres santé, de plus en plus standardisées ?

Autant de questions évoquées lors de ce webinaire animé par François Limoge, rédacteur en chef de L’Argus de l’assurance, auquel participaient :

Téléconsultation : effet de crise ou service d’avenir ?

Au programme :

  • Décryptage du nouveau cadre réglementaire de la téléconsultation, conditions techniques de réalisation de l’acte, patients concernés, suppression du ticket modérateur ;
  • L’assouplissement des conditions de la prise en charge de la téléconsultation lié à l’épidémie de Covid-19 va-t-il perdurer une fois la crise passée ?
  • Quels risques à l’égard du secret médical et de la protection des données associés à ces assouplissements ?
  • Quelle responsabilité médicale pour les praticiens ? Quels points de vigilance ?
  • Quel avenir pour les services privés de téléconsultation des complémentaires santé ?

L’occasion pour Marguerite Brac de La Perriere de rappeler l’historique et les conditions, antérieures à la pandémie au Covid-19, de réalisation et prise en charge de la téléconsultation (vidéotransmission, sécurité des échanges, consultation en présentiel dans les 12 derniers mois sauf exceptions, prise en charge médicale coordonnée, territorialité) et de présenter le cadre, modifié par des textes réglementaires successifs, et les assouplissements en résultant, s’agissant des patients concernés, des conditions de réalisation et de prise en charge.

Nul doute que le recours à la téléconsultation sera beaucoup plus massif après la crise qu’il ne l’a été avant celle-ci, grâce à l’appropriation de ces modalités de réalisation de l’acte médical par les acteurs et les patients. La société française des anesthésistes réanimateurs, notamment, envisage déjà de la généraliser pour les consultations pré-anesthésiques.

Toutefois les conditions dérogatoires ne pourront perdurer au-delà de l’état d’urgence sanitaire. En effet, la prise en charge médicale coordonnée et territoriale est un objectif de santé publique visant à l’efficience et la rationalisation des soins. Dans le même sens, les conditions techniques de réalisation des actes de téléconsultation, doivent permettre le respect du secret médical, la protection de la vie privée et des données de santé à caractère personnel, supposant nécessairement a minima un échange sécurisé des documents médicaux, un hébergement agréé et le respect des principales mesures de la PGSSI-S. C’est d’ailleurs dans le respect de ces prérequis juridico-techniques que les opérateurs « historiques » ont déployé leurs services.

Pour revoir le webinaire : « Téléconsultation : effet de crise ou service d’avenir ? ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats,
Directeur de la communication juridique




Déconfinement et responsabilité de l’employeur

Déconfinement et responsabilité

Déconfinement et responsabilité : si la sécurité au travail est de la responsabilité de l’employeur, il ne lui incombe pas de garantir l’absence de toute exposition des salariés au virus mais de l’éviter le plus possible.

Si ce risque est inévitable, l’employeur doit l’évaluer régulièrement en fonction notamment des recommandations du gouvernement. Il pourra ensuite prendre toutes les mesures utiles pour protéger les salariés exposés.

Dès lors, selon le ministère du Travail, il incombe à l’employeur dans la situation actuelle de :

  • procéder à l’évaluation des risques inévitables encourus sur les lieux de travail, du fait de la nature du travail ;
  • déterminer, en fonction de cette évaluation les mesures de prévention les plus pertinentes ;
  • associer les représentants du personnel à ce travail ;
  • solliciter lorsque cela est possible le service de médecine du travail. Il a pour mission de conseiller les employeurs, les salariés et leurs représentants. Il peut préconiser toute information utile sur les mesures de protection efficaces et la mise en œuvre des gestes barrière ;
  • respecter et faire respecter les gestes barrière recommandés par les autorités sanitaires.

Comment évaluer la responsabilité de l’employeur ?

Au cas par cas, au regard de plusieurs critères :

  • la nature des activités du salarié et son niveau d’exposition aux risques ;
  • les compétences de l’intéressé, l’expérience ;
  • l’étendue des mesures prises par l’employeur, en termes de formation, d’information, d’organisation du travail, d’instructions délivrées à la chaîne hiérarchique.

L’employeur doit réactualiser ces mesures, le cas échéant, en fonction de l’évolution de la situation dans l’entreprise mais aussi des instructions des pouvoirs publics.

En cas de contamination, il peut être pris en charge au titre d’un accident du travail par la sécurité sociale. Il y a toutefois des conditions. Une faute inexcusable de l’employeur ouvrant droit à réparation intégrale du préjudice ne sera retenue qu’en cas de démonstration  :

  • que celui-ci était conscient du danger auquel était exposé le salarié et ;
  • qu’il n’a pas pris les mesures nécessaires pour l’en préserver.

Déconfinement et responsabilité : les obligations de l’employeur

L’obligation de l’employeur est une obligation de moyen renforcée. L’employeur peut donc s’exonérer de sa responsabilité en prouvant qu’il a mis en œuvre les mesures de prévention. S’agissant de la responsabilité pénale de l’employeur, elle demeure en période de crise sanitaire.

Néanmoins, le ministère du Travail indique que l’employeur qui ne peut mettre en télétravail ses salariés mais qui :

  • met à leur disposition des moyens de protection recommandés par les pouvoirs publics (savons, gel hydro alcoolique, etc.) ;
  • les informe régulièrement et de façon actualisée sur la prévention des risques de contamination (rappel des gestes barrière et de distanciation) en adaptant leur formation à la situation de l’entreprise et à la nature des postes occupés (fiches métier disponibles sur le site du Ministère du travail),

ne devrait pas, sous réserve de l’appréciation souveraine des juges, encourir de sanction pénale.

Emmanuel Walle
Lexing Droit social numérique




Déconfinement et protection de la santé des salariés

Déconfinement et protectionDéconfinement et protection des salariés, dans cette perspective, un grand nombre d’entreprises s’interroge sur le retour de leurs employés dans leurs locaux et les mesures de sécurité pour assurer la santé des salariés.

Le ministère du Travail a publié à destination des employeurs, une plaquette d’information « Quelles mesures l’employeur doit-il prendre pour protéger la santé de ses salariés face au virus ? ».

L’employeur doit réévaluer les risques.

Concrètement, il s’agit de passer en revue les circonstances dans lesquelles les salariés peuvent être exposés au virus et mettre en œuvre les mesures nécessaires pour éviter ou, à défaut, limiter au plus bas le risque :

  • le télétravail ;
  • l’organisation du travail (règles de distances sociales) ;
  • équipements (éloignement des guichets, etc.) ;
  • information ;
  • sensibilisation et consignes de travail.

Les représentants du personnel sont bien placés pour aider à identifier les situations à risque au quotidien et la faisabilité réelle des actions que l’employeur envisage de mettre en œuvre.

Déconfinement et protection des salariés : les recommandations

Les recommandations du ministère du Travail sont les suivantes :

  • généralisation du télétravail et prise en compte des vulnérabilités liées à la santé ;
  • respect des mesures d’hygiène ;
  • prise de mesures en cas de contamination ou suspicion de contamination ;
  • respect des règles de nettoyage des locaux, sols et surfaces ;
  • prise en compte des situations de travail particulières :
    • salariés en contact avec le public
      • secteur de la livraison : gel pour nettoyage de mains à chaque livraison, dépôt au sol du colis en présence du client sans remise en main propre, remplacement de la signature par une photo ;
      • secteur de la grande distribution : savon/gel pour nettoyage de mains, ouverture d’une caisse sur deux et demande aux clients de passer par une travée vide avant de récupérer leurs achats sur la caisse ou ils ont été scannés par le caissier, mise en place de parois de plexiglas au niveau des postes de caisse dès lors que la mesure de distanciation ne peut être tenue avec le client ;
    • salariés du secteur de la logistique
      • mise à disposition de savon/gel pour nettoyage des mains ;
      • espacement des postes de travail ;
      • organisation d’une rotation des équipes après nettoyage des lieux communs ;
      • réalisation des chargements/déchargements de camion par une seule personne en s’assurant de la mise à disposition d’aides mécaniques ;
      • fractionnement des pauses afin de réduire les croisements et la promiscuité dans les salles de pause.

Par ailleurs, le ministère du Travail conseille aux entreprises de consulter le site internet de leur branche professionnelle pour compléter les conseils et préconisations propres à leur secteur d’activité et à leur métier.

Le ministère du travail publie également régulièrement des fiches conseils par métier à retrouver ici.

Emmanuel Walle
Lexing Droit social numérique




Projet de loi bioéthique : patients et examens génétiques

examens génétiquesUn nouvel encadrement de la transmission des résultats d’examens génétiques qui diffère selon que les dits résultats ont été découverts de manière incidente ou dans le cadre d’une recherche, fait partie des dispositions envisagées par le projet de loi sur la révision des lois de bioéthique. Présenté au Conseil des Ministres du 24 juillet 2019, il sera débattu au Parlement en septembre 2019, il s’agira de la 3ème révision des lois bioéthique en 25 ans.

Selon le compte-rendu du Conseil des Ministres, « cette révision des lois de bioéthique s’inscrit dans un contexte de sauts technologiques inédits, auxquels s’ajoutent des attentes sociétales fortes ».

Les résultats d’examens génétiques découverts de manière incidente

Information de la personne et recueil de son consentement à l’examen de ses caractéristiques génétiques

Le titre III du projet de loi relatif à la bioéthique est intitulé « appuyer la diffusion des progrès scientifiques et technologiques dans le respect des principes éthiques ».

L’article 10, premier article de ce titre III, porte sur le consentement à un examen de génétique et sur la possibilité de refuser la révélation de ses résultats.

Cet article modifiera l’article 16-10 du Code civil en ajoutant des informations à fournir au patient, préalablement au recueil de son consentement, en plus de l’information sur la nature de l’examen, et sur son indication (s’il s’agit de finalités médicales) ou sur son objectif (s’il s’agit de recherche scientifique) :

  • le cas échéant, l’information sur « la possibilité que l’examen révèle incidemment des caractéristiques génétiques sans relation avec son indication initiale ou avec son objectif initial mais dont la connaissance permettrait à la personne ou aux membres de sa famille de bénéficier de mesures de prévention, y compris de conseil en génétique, ou de soins » ;
  • « l’information sur la possibilité de refuser la révélation des résultats de l’examen de caractéristiques génétiques sans relation avec l’indication initiale ou l’objectif initial de l’examen ainsi que sur les risques qu’un refus ferait courir aux membres de sa famille potentiellement concernés dans le cas où une anomalie génétique pouvant être responsable d’une affection grave justifiant de mesures de prévention, y compris de conseil génétique, ou de soins serait diagnostiquée ».

A la suite de la transmission de ces informations, le consentement exprès de la personne devra être recueilli par écrit, préalablement à la réalisation de l’examen. Ce consentement devra mentionner l’indication ou l’objectif de l’examen.

L’article ajoute que le consentement de la personne sera révocable sans exigence de forme à tout moment.

Concernant les examens de recherche scientifique, l’article L.1122-1-1 du Code de la santé publique dispose : « dans le cas où la personne se prêtant à une recherche a retiré son consentement, ce retrait n’a pas d’incidence sur les activités menées et sur l’utilisation des données obtenues sur la base du consentement éclairé exprimé avant que celui-ci n’ait été retiré ».

En tout état de cause, il y a lieu de rappeler qu’est puni d’un an d’emprisonnement et de 15.000 euros d’amende, le fait de procéder à l’étude des caractéristiques génétiques d’une personne à des fins autres que médicales ou de recherche scientifique, ou à des fins médicales ou de recherche scientifique, sans avoir préalablement recueilli son consentement (article L.1133-1 du CSP et 226-25 du Code pénal).

Absence de refus de la révélation des résultats des examens des caractéristiques génétiques

Conformément aux dispositions de l’article 10 du projet de loi relatif à la bioéthique, les résultats révélés incidemment lors de l’examen des caractéristiques génétiques, sans relation avec l’indication initiale ou avec l’objectif initial de cet examen, ne pourront être révélés à la personne qu’à condition que l’information complète susvisée lui ait été transmise au préalable et qu’elle n’ait pas refusé la révélation de ces résultats incidents.

La communication des résultats incidents sera assurée dans le respect des conditions :

  • du titre II du livre Ier de la première partie du CSP, quand les finalités de l’examen relèvent d’une recherche scientifique ;
  • du titre III du livre Ier de la première partie du CSP, quand les finalités de l’examen sont médicales.

S’agissant des recherches scientifiques, « la personne dont la participation est sollicitée est informée de son droit d’avoir communication, au cours ou à l’issue de la recherche, des informations concernant sa santé » (art. L.1122-1 CSP).

S’agissant des examens médicaux, « en cas de diagnostic d’une anomalie génétique grave, sauf si la personne a exprimé par écrit sa volonté d’être tenue dans l’ignorance du diagnostic, l’information médicale communiquée est résumée dans un document rédigé de manière loyale, claire et appropriée, signé et remis par le médecin. La personne atteste de cette remise. Lors de l’annonce de ce diagnostic, le médecin informe la personne de l’existence d’une ou plusieurs associations de malades susceptibles d’apporter des renseignements complémentaires sur l’anomalie génétique diagnostiquée. Si la personne le demande, il lui remet la liste des associations agréées » (art. L.1131-1-2 CSP).

Concernant la famille de la personne concernée, le médecin prescripteur prévoit avec la personne « dans un document écrit qui peut, le cas échéant, être complété après le diagnostic, les modalités de l’information destinée aux membres de la famille potentiellement concernés afin d’en préparer l’éventuelle transmission. Si la personne a exprimé par écrit sa volonté d’être tenue dans l’ignorance du diagnostic, elle peut autoriser le médecin prescripteur à procéder à l’information des intéressés » (art. L.1131-1-2 CSP).

En outre, « la personne est tenue d’informer les membres de sa famille potentiellement concernés dont elle ou, le cas échéant, son représentant légal possède ou peut obtenir les coordonnées, dès lors que des mesures de prévention ou de soins peuvent leur être proposées ». « Si la personne ne souhaite pas informer elle-même les membres de sa famille potentiellement concernés, elle peut demander par un document écrit au médecin prescripteur, qui atteste de cette demande, de procéder à cette information. Elle lui communique à cette fin les coordonnées des intéressés dont elle dispose. Le médecin porte alors à leur connaissance l’existence d’une information médicale à caractère familial susceptible de les concerner et les invite à se rendre à une consultation de génétique, sans dévoiler ni le nom de la personne ayant fait l’objet de l’examen, ni l’anomalie génétique, ni les risques qui lui sont associés » (art. L.1131-1-2 CSP).

Les résultats d’examens génétiques issus de la recherche

L’article 18 du projet de loi relatif à la bioéthique a pour objet de faciliter la recherche nécessitant des examens de génétique sur des collections d’échantillons biologiques conservés à l’issue de soins médicaux ou de recherches cliniques.

Régime général des examens génétiques à fins de recherche d’échantillons prélevés à d’autres fins

Il sera introduit un nouvel article L.1130-5 dans le Code de la santé publique, rappelant que l’examen des caractéristiques génétiques d’une personne à des fins de recherche scientifique peut être réalisé à partir d’éléments du corps de cette personne prélevés à d’autres fins :

  • lorsque cette personne a été informée du programme de recherche ; et
  • lorsqu’elle n’a pas exprimé son opposition.

L’opposition à l’examen « peut être exprimée sans forme, tant qu’il n’y a pas eu d’intervention sur l’élément concerné dans le cadre de la recherche ».

En cas de découverte de caractéristiques génétiques pouvant entraîner une affection justifiant des mesures de prévention ou de soins, la personne en est informée sauf si elle s’y est préalablement opposée.

Si de telles caractéristiques génétiques sont découvertes en cours de recherche et confirmées le cas échéant en laboratoire, la personne concernée est informée, si elle ne s’y est pas opposée, de l’existence d’une information médicale la concernant et invitée à se rendre chez un médecin qualifié en génétique afin de recevoir les informations complètes et de bénéficier d’une prise en charge. La personne peut s’opposer, sans exigence de forme et à tout moment ,à être informée de telles découvertes.

Il est précisé que les recherches visées dans ce nouvel article sont exclues du champ d’application de l’article 75 de la loi Informatique et libertés, selon lequel « dans le cas où la recherche nécessite l’examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données ».

Régimes particuliers des examens génétiques à fins de recherche d’échantillons prélevés à d’autres fins

Si la personne est mineure, ce seront les parents investis de l’exercice de l’autorité parentale ou le tuteur qui exprimeront leur opposition.

En revanche, si la personne fait l’objet d’une mesure de protection juridique avec représentation à la personne, elle exprime elle-même son opinion, le cas échéant assistée de la personne chargée de la mesure de protection.

Enfin, dans les cas où il est impossible d’informer la personne (personne décédée, ou hors d’état d’exprimer sa volonté, ou encore impossible à retrouver), le Comité de protection des personnes est saisi par le responsable du programme de recherche afin qu’il se prononce notamment sur l’opportunité de l’examen des caractéristiques génétiques de la personne ainsi que sur la pertinence éthique et scientifique de la recherche.

Il est précisé que ce nouvel article ne s’applique pas aux recherches dont la publication des résultats est susceptible de permettre la levée de l’anonymat des personnes.

Des dispositions à préciser

Un décret devra fixer :

  • les modalités d’information des personnes concernées ;
  • les modalités permettant l’expression de leur opposition.

Ainsi, les modèles de mentions d’information des personnes devront respecter les exigences du décret à venir, tout en étant adaptés aux particularités de chaque recherche.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Pourquoi lire l’avis de l’EDPB sur les études cliniques ?

études cliniquesL’avis de l’European Data Protection Board (EDPB) sur les études cliniques (1) apporte, au-delà des questions de santé, d’utiles précisions relatives au critère  de licéité des traitements de données posé par le RGPD.

Vous pensez que ce texte ne présente pas d’intérêt pour votre activité dans la mesure où vous ne réalisez pas d’études cliniques ? Détrompez-vous ! Il est particulièrement intéressant s’agissant de l’interprétation par l’EDPB de l’article 6 du RGPD relatif au critère de licéïté des traitements de données.

Cette publication fait suite à la saisine de l’EDPB par la DG Santé de la Commission européenne conformément à l’article 70 du RGPD. La DG Santé a, en effet, adressé au Comité en octobre dernier une liste de questions relatives à l’articulation de la réglementation relatives aux études cliniques nécessitant la collecte de données de santé et le RGPD.

L’article 93 du règlement CTR (2) applicable depuis 2014 et régulant les essais cliniques fait explicitement référence à la directives 95/46/CE et le RGPD fait lui-même référence aux dispositions applicables en matière d’essais cliniques. Dès lors, le Comité en déduit que ces deux réglementations doivent conjointement s’appliquer et que le CTR constitue une loi sectorielle comportant des dispositions spécifiques et non dérogatoires au RGPD.

L’une des questions principales posées par la DG Santé portait sur les bases légales qu’il convient de retenir pour la réalisation d’essais cliniques. Le Comité examine donc les conditions de l’utilisation des différentes bases légales prévues à l’article 6.

Précisions sur la notion d’obligation légale susceptible de servir de fondement à un traitement de données

L’EDPB profite de cette occasion pour rappeler les conditions dans lesquelles il est possible de retenir ce fondement :

  • l’obligation doit être imposée par la loi et le texte en question doit remplir toutes les conditions pour que l’obligation soit valide et engageante ;
  • le texte doit être conforme aux règles de protection des données en particulier à l’exigence de nécessité, de proportionnalité et de limitation des finalités ;
  • l’obligation légale elle-même doit être suffisamment claire quant au traitement des données qu’elle requière ;
  • enfin le responsable du traitement ne doit pas avoir un pouvoir discrétionnaire excessif dans la détermination des moyens permettant de se conformer à cette obligation.

L’EDPB considère que c’est notamment le cas des articles 41 à 43 du CTR relatifs aux notifications des événements indésirables au promoteur et par le promoteur à l’Agence en charge de la sécurité du médicament ou du produit objet de la recherche.

Précisions sur le consentement

Un consentement au traitement de données personnelles et non à l’étude clinique

Le Comité rappelle que le consentement éclairé prévu dans le cadre du CTR ne doit pas être confondu avec le consentement au sens de l’article 6 du RGPD. L’obligation d’obtenir un consentement éclairé dans le cadre du CTR est une mesure visant à protéger la dignité humaine et le droit à intégrité de la personne humaine dans le cadre des article 1 et 3 de la Charte des droits fondamentaux et n’est pas conçu comme un instrument visant à assurer la conformité en matière de protection des données personnelles. L’ensemble des études cliniques n’ont donc pas vocation à reposer sur le consentement de la personne concernée.

Un parallèle peut être fait avec le consentement donné dans un cadre contractuel. Ce dernier est en effet couramment confondu avec le consentement au traitement des données personnelles. Si un contrat consenti librement donne lieu à la mise en œuvre de traitements de données, ces derniers ne relèvent pas nécessairement du consentement. Dans la plupart des cas, ils seront plutôt basés sur l’exécution de ce contrat, seuls les traitements non nécessaires à la réalisation de la prestation (les traitements « facultatifs ») devront faire l’objet d’un consentement.

Le consentement au traitement de données particulières nécessite l’application combinée des articles 6 et 9 du RGPD

Dans l’hypothèse où certains des traitements mis en œuvre dans le cadre de ces études reposeraient sur le consentement, le responsable du traitement devra s’assurer qu’il respecte les conditions de l’article 6 à savoir que le consentement est libre, spécifique, informé et non ambiguë mais également de l’article 9 dans la mesure où ces essais nécessitent la collecte de données de santé, le consentement devra donc être explicite.

Le Comité profite de cette occasion pour rappeler que le consentement à la collecte de données particulières doit répondre cumulativement aux conditions de l’article 6 et de l’article 9.

Précision sur la notion de déséquilibre significatif entre le responsable du traitement et la personne concernée

Le RGPD précise que le consentement ne doit pas être privilégié en tant que base légale lorsqu’il existe un déséquilibre significatif entre le responsable du traitement et la personne concernée, il devrait même être exclu dans ce type de situation. Le Comité relève que cela peut être le cas dans le contexte des études cliniques dans l’hypothèse où un participant aurait des problèmes de santé ou appartiendrait à un groupe économiquement ou socialement désavantagé ou en cas de situation de dépendance institutionnel ou hiérarchique.

Précisions sur la notion de tâches relevant de l’intérêt public

Les traitements mis en œuvre dans le cadre de recherches cliniques pourraient enfin relever de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Le Comité précise cependant que pour utiliser ce fondement la réalisation d’études cliniques doit relever directement du mandat, des missions ou des tâches dévolues par le droit national à un organisme de droit privé ou public. Dès lors que le droit français ne comporte pas de dispositions spécifiques prévoyant cette mission, il n’apparaitra pas possible d’utiliser ce fondement.

Aurélie Banck
Lexing Conformité RGPD Banque et Assurance

(1) Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art.70, 1, b) adopted on 23 January 2019.
(2) Règlement n°536/2014 du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE.




Les méthodologies de référence pour la recherche en santé

méthodologies de référenceLes méthodologies de référence MR-001, -003, -004, -005 et -006 sont explicitées dans une publication de la Cnil.

Les nouvelles méthodologies de référence

Il s’agit des méthodologies de référence, adoptées cette année, relatives au traitement de données de santé dans le cadre de la recherche. Ces nouvelles méthodologies tendent à simplifier ces traitements pour encourager la recherche et l’innovation. Ces nouvelles méthodologies visent également à se mettre à jour du nouveau cadre juridique créé par le Règlement européen pour la protection des données personnelles (RGPD) et la nouvelle loi Informatique et libertés (2).

Les méthodologies de référence modifiées sont les suivantes :

  • la MR-001 qui concerne dorénavant les traitements de données personnelles effectués dans le cadre de recherches impliquant la personne humaine avec recueil du consentement obligatoire ;
  • la MR-003 qui concerne dorénavant les traitements de données personnelles effectués dans le cadre de recherches impliquant la personne humaine sans recueil du consentement obligatoire.

Les méthodologies de référence créées sont les suivantes :

  • la MR-004 qui concerne les traitements de données personnelles à des fins d’étude, d’évaluation ou de recherche n’impliquant pas la personne humaine ;
  • la MR-005 qui encadre l’accès par des établissements de santé et des fédérations hospitalières aux données du Programme de médicalisation des systèmes d’information (PMSI) et aux RPU (Résumé de passage aux urgences) mises à disposition sur la plateforme sécurisée de l’Agence technique de l’information sur l’hospitalisation (ATIH) pour réaliser des études ;
  • et enfin la MR-006 qui encadre l’accès par des industriels de santé aux données du Programme de médicalisation des systèmes d’information (PMSI) de l’Agence technique de l’information sur l’hospitalisation (ATIH) pour réaliser des études.

Les enjeux liés à ces nouvelles méthodologies de référence

En principe, les traitements de données à caractère personnel ayant pour finalité la recherche dans le domaine de la santé ne peuvent être réalisés qu’après autorisation de la Cnil. En revanche, la Cnil dispose de la possibilité de publier des méthodologies de référence (comme l’y autorise l’article 11, I, 2° a) bis de la loi Informatique et libertés).

L’intérêt d’une méthodologie de référence est de simplifier les formalités préalables pour les responsables de traitement. Ainsi, au lieu d’une demande d’autorisation auprès de la Cnil, les responsables de traitement concernés procèdent à une déclaration de conformité, au terme de laquelle ils s’engagent à se conformer en tous points avec cette dernière.

Il n’est d’ailleurs pas nécessaire de refaire une déclaration de conformité, si une demande a déjà été réalisée pour l’ancienne version, sous réserve d’être conforme au nouveau texte.

Dans l’hypothèse où le traitement ne répond pas en tous points aux dispositions de la nouvelle méthodologie de référence :

  • une demande d’autorisation auprès de la Cnil redevient nécessaire pour les recherches impliquant la personne humaine ;
  • le dépôt d’un dossier auprès de l’INDS (Institut National des Données de Santé) est nécessaire pour les recherches n’impliquant pas la personne humaine.

Il convient alors, pour les acteurs du milieu, de connaître les modifications et apports de ces nouvelles méthodologies, afin d’apprécier leur conformité.

Les principales modifications à retenir

Les changements principaux apportés par ces nouvelles méthodologies de référence peuvent être résumés par les points suivants :

  • Certaines modifications sont directement imposées par le RGPD pour les MR-001, 003 et 004, en particulier :
    • l’obligation pour le responsable de traitement de désigner un délégué à la protection des données (DPO) ;
    • l’information des personnes, dont le contenu doit être conforme aux dispositions de l’article 13 ou 14 du RGPD ;
    • l’exclusion du champ de la méthodologie de référence, lorsque l’analyse d’impact indique que le traitement présenterait, malgré les mesures prises en application de l’article 35 du RGPD pour atténuer le risque, un risque résiduel élevé pour les droits et libertés des personnes concernées ;
    • les dispositions relatives aux transferts des données hors Union européenne.
  • Il existe dorénavant un aménagement de l’information individuelle des personnes en cas de réutilisation de données (données déjà collectées pour une recherche antérieure ou au fil de l’eau, dans le cadre de la prise en charge du patient : MR-004) ou lorsque l’information délivrée lors de la collecte des données et/ou échantillons biologiques renvoie à un dispositif spécifique d’information, auquel les personnes concernées pourront se reporter avant la mise en œuvre de chaque futur traitement (par exemple : un site Internet).
  • Les méthodologies de référence incluent dorénavant la possibilité, pour le sous-traitant du responsable de traitement, de traiter des données directement identifiantes, sous certaines conditions et pour des missions précises (remboursement des frais, indemnités, suivi des personnes, livraison des produits). En revanche, le traitement de données directement identifiantes et de données de santé par le même sous-traitant reste exclu de la méthodologie de référence (à l’exception du nom de l’organisme responsable de traitement, quand bien même ce dernier pourrait révéler un domaine de santé).
  • Les méthodologies de référence incluent dorénavant le traitement du département de résidence (le traitement de la commune de résidence et les données de géocodage demeurent exclus).
  • Il est maintenant possible de communiquer des données à des experts ou chercheurs indépendants chargés de ré-analyser les données, à condition de limiter la communication à de la simple consultation (par un procédé technique empêchant toute extraction de données).
  • Les méthodologies de référence incluent dorénavant de nouveaux types de recherches, notamment les recherches à risques et contraintes minimes, pour lesquelles l’information peut être collective en fonction des exigences méthodologiques de la recherche et sous réserve d’un avis favorable du Comité de protection des personnes (CPP) (article L. 1122-1-4 du code de la santé publique) (MR-003).
  • Il existe dorénavant une dérogation au principe du consentement écrit (MR-003 & MR-004) lors d’un examen des caractéristiques génétiques lorsque, conformément à l’article L. 1131-1-1 du CSP, il s’agit d’une recherche scientifique réalisée à partir d’éléments du corps d’une personne prélevés à l’origine d’autres fins que la recherche, à condition que la personne soit dûment informée et puisse exercer un droit d’opposition. En revanche, dans l’hypothèse où l’information des personnes n’est pas possible et que le traitement requiert alors l’avis du CPP (tel que prévue à l’article L. 1131-1-1 du CSP), la méthodologie de référence ne s’applique plus et une demande d’autorisation auprès de la Cnil redevient nécessaire.

Ces modifications sont présentées sur le site de la Cnil (3) et l’ensemble des méthodologies de référence dans leurs intégralités sont également disponibles en ligne. Il convient de s’y reporter avant d’effectuer une déclaration de conformité.

Enfin, une nouvelle version de la MR-002 qui concerne les études non interventionnelles de performances de dispositifs médicaux de diagnostic in vitro, est attendue pour la fin de l’année 2018.

Marguerite Brac de La Perrière
Amélie Salvat
Lexing Droit de la santé

(1) Cnil, Publication du 16 juillet 2018.
(2) Loi n°78-17 du 6 janvier 1978 modifiée par loi n°2018-493 du 20 juin 2018.
(3) Cnil, seconde publication du 16 juillet 2018.




E-réputation : le Conseil de l’Ordre des médecins publie un guide

ordre national des médecinsLe cabinet a participé au Guide de l’Ordre des médecins destiné à aider les médecins à préserver leur e-réputation.

Afin d’accompagner les médecins dans la gestion de leur e-réputation, le Conseil national de l’Ordre des médecins (CNOM) vient de publier un guide pratique à leur intention : « Préserver sa réputation numérique ».

Fruit d’un travail mené avec le cabinet Lexing Alain Bensoussan Avocats, celui-ci a pour objectif d’accompagner les médecins dans leur exercice quotidien en leur apportant un service de proximité, en répondant à leurs questions sur leur e-réputation et en les assistant concrètement dans la gestion de celle-ci.

Guide e-réputation du Conseil de l’Ordre des médecins

ordre national des médecinsCe guide est complété d’un tutoriel interactif apportant des réponses concrètes aux médecins confrontés à un enjeu de réputation numérique : face à une situation spécifique, ceux-ci pourront trouver des réponses appropriées à leurs questions, qu’il s’agisse de surveiller sa propre réputation numérique, de répondre à certains avis de patients, que d’envisager une action judiciaire.

Ces outils sont entièrement publics, afin que tous les médecins, mais aussi leurs patients, puissent s’en inspirer.

Le CNOM rappelle que l’acte professionnel d’un médecin ne saurait en aucun cas être assimilé à une simple prestation de service.

Il n’est cependant pas illégal pour un patient de poster un avis concernant un médecin.

C’est pour cela que le CNOM, régulièrement sollicité par des médecins à ce sujet, a estimé qu’il était important de produire ce guide et ce tutoriel et de les rendre publics, pour que tous les médecins, mais aussi leurs patients souhaitant laisser un commentaire en ligne, puissent s’y rapporter.

www.conseil-national.medecin.fr

Guide : « Préserver sa réputation numérique »
Tutoriel : e-réputation du médecin
Retrouvez la vidéo : « La réputation numérique vue par l’Ordre. »

Source : communiqué de presse du CNOM du 10 octobre 2018.

Eric Bonnet
Département Communication juridique




Fournisseurs de service numérique dans le secteur de la santé

Fournisseurs de service numérique dans le secteur de la santé

L’arrêté du 13 juin 2018 relatif aux déclarations des OSE et FSN complète le dispositif applicable aux OSE et aux FSN.

L’arrêté du 13 juin 2018 vient compléter le dispositif applicable aux OSE et FSN posé par la loi de transposition de la directive Network and Information Security ainsi que son décret d’application relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

Ces dispositions concernent notamment plusieurs acteurs du secteur de la santé et, par exemple, les établissements de soins qui seront désignés OSE mais également certains hébergeurs de données de santé qui proposent des services cloud et seront qualifiés de FSN, sous les conditions exposées ci-après.

Transposition de la directive NIS

La directive Network and Information Security (NIS) adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Union européenne a été transposée en droit français par la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1). Elle a pour objectif de renforcer les capacités nationales en matière de cybersécurité afin d’améliorer le fonctionnement du marché intérieur.

Conformément à la directive NIS, d’une part, et à sa loi de transposition, d’autre part, les obligations issues de ces textes concernent notamment :

  • les opérateurs de services essentiels qu’ils soient publics ou privées (les OSE) ;
  • les fournisseurs de service numérique (les FSN).

Fournisseurs de service numérique dans le secteur de santé

Notion de FSN dans le secteur santé

Certains hébergeurs de données de santé pourront être concernés par les obligations mises à la charge des FSN.

Conformément à l’article 10 de la loi de transposition, les FSN sont définis comme toute personne morale qui fournit l’un des services suivants (2) :

a) Place de marché en ligne […] ;
b) Moteurs de recherche en ligne […] ;
c) Service d’informatique en nuage à savoir un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

Ainsi, ces dispositions peuvent concerner certains hébergeurs de données de santé qui proposent des services cloud. Toutefois, les « entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros » ne sont pas concernées par les règles encadrant les FSN (3).

La réglementation spécifique aux FSN doit donc être appliquée dès lors que l’une des conditions est remplie :

  • le nombre d’employés de l’hébergeur de données de santé est supérieur ou égal à 50 ;
  • le chiffre d’affaires annuel de l’hébergeur de données de santé est supérieur à 10 millions d’euros.

Absence de désignation

L’Anssi a élaboré une foire aux questions concernant les FSN au sein de laquelle elle précise que, contrairement à la désignation des OSE, « les FSN ne sont pas désignés par l’autorité administrative et donc appliquent directement les dispositions de transposition de la directive dès leur entrée en vigueur » (4).

Obligations des FSN dans le secteur de la santé

Les hébergeurs de données de santé FSN sont tenus d’identifier les risques qui menacent la sécurité des réseaux et des systèmes d’information nécessaires à la fourniture du service cloud. Pour ces hébergeurs, les obligations se composent des volets suivants :

  • identification des réseaux et systèmes d’information nécessaires à la fourniture du service cloud, étant précisé que l’hébergeur établit et tient à jour une liste des réseaux et systèmes d’information concernés (5) ;
  • adoption « des mesures techniques et organisationnelles nécessaires et proportionnées pour éviter les incidents de nature à porter atteinte à ces réseaux et systèmes d’information ainsi que pour en réduire au minimum l’impact de manière à garantir la continuité de leurs services » (6) ;
  • déclaration des incidents ayant un impact significatif sur la fourniture des services cloud (4) :
    • la déclaration est réalisée sans préjudice de toute autre formalité déclarative à la charge de l’hébergeur FSN. Par exemple, lorsqu’il est sous-traitant au sens de la réglementation sur la protection des données, il reste tenu de notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, conformément à l’article 33, 2° du RGPD ;
    • la déclaration est réalisée en utilisant le formulaire disponible sur le site internet de l’Anssi, dans lequel l’hébergeur FSN mentionne notamment : des informations sur le déclarant, le réseau et le système d’information affecté par l’incident, les conséquences de l’incident sur les services essentiels concernés, le type d’incident, les causes, les mesures prises permettant d’y répondre ;
    • le formulaire est transmis par voie électronique ou postale.
  • se soumettre à des contrôles de l’Anssi destinés à vérifier le respect de ces obligations et le niveau de sécurité des réseaux et des systèmes d’information nécessaires à la fourniture du service de cloud (6).

Sanctions des FSN

L’article 15 de la loi prévoit les sanctions encourues en cas de non-respect des obligations par les FSN. Ainsi, la loi prévoit que le fait pour les dirigeants des FSN de ne pas se conformer aux règles de sécurité à l’issue du délai fixé par mise en demeure est puni de 75 000 € d’amende. Est également puni de 50 000 € d’amende le fait, pour les dirigeants des FSN, de ne pas satisfaire à l’obligation de déclaration d’incident. Enfin, est puni de 100 000 € d’amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle de l’Anssi.

Marguerite Brac de la Perrière
Chloé Gaveau
Département Santé numérique

(1) Loi 2018-133 du 26-2-2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité
(2) Loi 2018-133 du 26-2-2018, art. 10
(3) Loi 2018-133 du 26-2-2018, art. 11
(4) ANSSI, FAQ – Fournisseurs de services numériques (FSN)
(5) Décret 2018-384 du 23-3-2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN, art. 17
(6) Loi 2018-133 du 26-2-2018, art. 12




Opérateurs de services essentiels dans le secteur de la santé

opérateurs de services essentielsL’arrêté du 13 juin 2018 vient compléter le dispositif applicable aux OSE et FSN posé par la loi de transposition de la directive Network and Information Security ainsi que son décret d’application relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

Ces dispositions concernent notamment plusieurs acteurs du secteur de la santé et, par exemple, les établissements de soins qui seront désignés OSE ainsi que certains hébergeurs de données de santé qui proposent des services cloud.

1. Transposition de la directive NIS

La directive Network and Information Security (NIS) adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Union européenne a été transposée en droit français par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1). Elle a pour objectif de renforcer les capacités nationales en matière de cybersécurité afin d’améliorer le fonctionnement du marché intérieur.

Conformément à la directive NIS, d’une part, et à sa loi de transposition, d’autre part, les obligations issues de ces textes concernent notamment :

  • les opérateurs de service essentiel qu’ils soient publics ou privées (les OSE) ;
  • les fournisseurs de services numériques (les FSN).

2. Opérateurs de service essentiels dans le secteur de la santé

2.1. Définition des opérateurs de services essentiels

Les OSE sont des «opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services» (Loi n° 2018-133 art. 5).

En application de l’article 5 de la loi, «ces opérateurs sont désignés par le Premier ministre. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ans».

Ainsi, les structures de santé ne peuvent être concernées par ces textes que si elles sont désignées par le Premier ministre en tant qu’OSE.

A noter que cette définition est similaire à celle des opérateurs d’Importance vitale dont la notion figure déjà aux articles L. 1332-1 et L. 1332-2 du Code de la défense qui sont exclus des OSE, conformément à l’article 5 de la loi susvisée, pour les systèmes d’information visés par cette réglementation.

2.2 Désignation des opérateurs de services essentiels dans le secteur de la santé

Peuvent être désignés OSE les opérateurs fournissant un des services :

  • mentionnés à l’annexe du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et FSN (2). Dans le secteur de la santé, différents sous-secteurs sont visés :
    • les établissements de soins de santé (y compris les hôpitaux et les cliniques privées) : ce sous-secteur concerne les prestataires de soins de santé et les prestataires fournissant un service d’aide médicale d’urgence ;
    • les produits pharmaceutiques : la distribution pharmaceutique par les grossistes répartiteurs pharmaceutiques ;
    • les mutuelles sont également visées pour les services d’assurance vie, d’assurance non-vie et de réassurance.
  • dont la fourniture requiert des réseaux et systèmes d’information et qu’un incident affectant ces réseaux et systèmes aurait sur la fourniture du service, des conséquences graves, appréciées au regard de différents critères (nombre d’utilisateurs dépendant du service, dépendance des autres secteurs d’activité mentionnés à l’annexe du décret, conséquence de l’incident en termes de gravité et de durée, sur le fonctionnement de l’économie ou de la société ou sur la sécurité juridique, etc.).

Sur la base de ces critères, l’Agence nationale de la sécurité des systèmes d’information (Anssi) précise dans sa FAQ (3) qu’elle proposera au Premier ministre, en coordination avec les ministères compétents, une liste d’OSE potentiels et poursuit en indiquant les étapes du processus de désignation des OSE. Par exemple, pour un établissement de santé :

  • une lettre d’intention de désignation est adressée à l’établissement de santé pressenti OSE ;
  • l’établissement de santé pressenti OSE peut émettre des réserves ;
  • le Premier ministre prend ou non la décision de désigner l’établissement de santé comme OSE, par arrêté.

2.3 Obligations des opérateurs de services essentiels dans le secteur de la santé

Lorsqu’ils sont désignés OSE, ces opérateurs sont tenus de respecter les obligations suivantes :

  • désigner une personne chargée de le représenter auprès de l’Anssi et communiquer ses coordonnées dans un délai de deux mois à compter de la date d’effet de l’arrêté de désignation (Loi n° 2018-133 art. 5) ;
  • déclarer les réseaux et systèmes d’information considérés comme essentiels dans un délai de trois mois à compter de la date d’effet de l’arrêté de désignation, c’est-à-dire nécessaires à la fourniture des services essentiels mentionnés ci-dessus, y compris les réseaux et systèmes d’information dont l’exploitation a été confiée à un tiers. Les modalités des déclarations sont prévues par un arrêté du 13 juin 2018 (4), lequel prévoit que :
    • la communication des réseaux et systèmes d’information est accompagnée, pour chaque réseau et système d’information, d’un formulaire complété, disponible sur le site de l’Anssi ;
    • l’OSE communique une fois par an à l’Anssi la liste et les formulaires mis à jour.
  • appliquer à leurs frais les règles de sécurité nécessaires à la protection des réseaux et des SI fixées par arrêté du Premier ministre dans les domaines suivants : gouvernance de la sécurité des réseaux et des SI, protection des réseaux et des SI, défense des réseaux et des SI, résilience des activités (décret n° 2018-384, art. 10) ;
  • déclarer, sans délai après en avoir pris connaissance, à l’Anssi, «les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services» (arrêté du 13-6-2018, art. 3) :
    • après consultation de l’OSE, l’Anssi peut informer le public d’un incident ;
    • la déclaration est réalisée sans préjudice de toute autre formalité déclarative à la charge de l’OSE. Par exemple, concernant un établissement de santé désigné OSE, il sera également tenu de signaler à l’ARS tout incident grave de sécurité des systèmes d’information de santé et à la Cnil toute violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes physiques comme nous l’avions présenté dans un précédent article ;
    • la déclaration est réalisée en utilisant le formulaire disponible sur le site internet de l’Anssi, dans lequel l’OSE mentionne notamment : des informations sur le déclarant, le réseau et le système d’information affecté par l’incident, les conséquences de l’incident sur les services essentiels concernés, le type d’incident, les causes, les mesures prises par l’OSE permettant d’y répondre ;
    • l’OSE doit transmettre le formulaire par voie électronique ou postale dès qu’il a connaissance d’un incident, y compris s’il ne dispose pas de toutes les informations requises. Dans cette dernière hypothèse, il complète le formulaire dès qu’il connait ces informations.
  • se soumettre à des contrôles de l’Anssi destinés à vérifier le respect de ces obligations et le niveau de sécurité des réseaux et des systèmes d’information de santé nécessaire à la fourniture des services essentiels (décret n° 2018-384, art. 13 et suivants).

2.4 Sanctions des opérateurs de services essentiels

L’article 9 de la loi prévoit les sanctions encourues en cas de non-respect des obligations par les OSE. Ainsi, la loi prévoit que le fait pour les dirigeants des OSE de ne pas se conformer aux règles de sécurité à l’issue du délai fixé par mise en demeure est puni de 100 000 € d’amende.

Est également puni de 75 000 € d’amende le fait, pour les dirigeants des OSE de ne pas satisfaire à l’obligation de déclaration d’incident. Enfin, est puni de 125 000 € d’amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle de l’Anssi.

Marguerite Brac de la Perrière
Chloé Gaveau
Département Santé numérique

(1) Loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
(2) Décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.
(3) Anssi, FAQ – Opérateurs de services essentiels (OSE).
(4) Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.




Données de santé : le cabinet au programme de l’ UTT de Troyes

Marguerite Brac de La Perrière

Marguerite Brac de La Perrière interviendra à la rentrée dans le cadre du DU Données de santé de l’UTT de Troyes.

Marguerite Brac de La Perrière, Directrice du département Santé numérique au cabinet Lexing Alain Bensoussan Avocats, figure parmi les enseignants du Diplôme d’Université Gouvernance, Protection et Exploitation des Données de Santé de l’Université de Technologie de Troyes, (UTT).

DU – UTT : Protection et Exploitation des Données de Santé

L’objectif de ce DU : porter des projets ayant comme objet des données de santé, dans le respect de la réglementation sur la protection des données à caractère personnel (RGPD) et dans l’identification des solutions techniques adaptées à la fusion et au traitement des données.

La technologie numérique, source de données qui alimente en continu des masses considérables d’informations essentielles à de nombreuses activités de notre société, se développe à un rythme sans précédent.

Loi Jardé, réglementation européenne, hébergement des données de santé (HDS), confidentialité et intégrité des données personnelles et médicales, protection contre le piratage et l’intrusion informatique, propriété intellectuelle d’un nouveau concept / produit : autant de contraintes à intégrer dans le déploiement de ces nouvelles technologies appliquées au domaine de la Santé.

Ces nouvelles technologies renvoient également à la problématique de collecte et de l’exploitation des données.

Le Diplôme d’Université «Gouvernance, protection et exploitation des données de santé» de l’ UTT répond à ces enjeux et problématiques : il vise à former des collaborateurs aptes à porter le déploiement de projets ayant comme objet des données de santé, dans le respect de la réglementation sur la protection des données à caractère personnel (RGPD) et dans l’identification des solutions techniques adaptées à la fusion et au traitement des données.

Public visé par l’ UTT

  • Ingénieur TIC  auprès des gestionnaires d’EHPAD, Maisons de retraite, SSR…
  • Ingénieur spécialisé dans les technologies en lien aux personnes âgées, malades oudépendantes
  • Expert et décideur techniques auprès départements (chargés de l’Aide Personnalisée à l’Autonomie et pilotant la conférence des financeurs), Collectivités locales et territoriales, des CCAS (Centres Communaux d’Action Sociale), DDASS, DRASS, SSIAD
  • Expert «e-santé» auprès des Agences Régionales de Santé (ARS) (en particulier les directions de l’offre médico-sociale) ou organismes de services à la personne ou organismes de protection sociale
  • Ingénieur expert «e-santé» auprès des mutuelles, caisses de retraite et solidarité opérateurs de l’habitat (en particulier les bailleurs sociaux), …
  • Ingénieur TIC pour les plateformes de téléassistance et téléservices
  • Cadres hospitaliers ou maison d’accueil spécialisé (MAS) ou EHPAD
  • Cadres juridiques, de système d’information et de protection des données

UTT – La prochaine session démarre le 07 novembre 2018.

  • Le nombre d’heures d’enseignement est fixé à 70 heures en présentiel, soit 10 jours de formation.
  • La formation est dispensée en temps partagé (part-time), à raison de modules de 2/3 jours, tous les 15 jours.
  • Un jour supplémentaire est proposé sous forme d’atelier et d’accompagnement de projets applicatifs.
  • Le livrable de chaque projet applicatif sera un mémoire qui sera soutenu par le participant 3 semaines après les modules de formation.

UTT – Responsable(s) de la formation

  • Aly Chkeir

Lieux

  • La formation se déroulera sur Paris au sein de l’Espace Cléry (17 rue de Cléry, Paris 2ème).

Eric Bonnet
Directeur de la communication juridique




L’intelligence artificielle (IA) aux 9èmes Rencontres universitaires des DIM

DIMMarie Soulez interviendra le 18 mai sur le thème de l’IA dans le cadre des 9èmes Rencontres universitaires des DIM, Départements d’information médicales.

Les 9èmes Rencontres Universitaires des Départements d’Information Médicales se tiendront cette année le vendredi 18 mai 2018 à l’Université d’Avignon et des Pays de Vaucluse.

Le thème de cette année est l’Intelligence artificielle (IA).

L’IA aux 9èmes Rencontres universitaires des DIM

Les questions suivantes seront notamment évoquées :

  • Définition et périmètre ;
  • Exemple d’application d’IA hors domaine de la Santé ;
  • Applications dans les domaines de l’Information Médicale : aide au codage, analyse de données non-structurées ;
  • Réflexion : Intelligence Artificielle et éthique.

Cette journée est organisée par l’équipe du Pôle Santé de l’Université d’Avignon, le Laboratoire LBNC Biens Normes et Contrats, et les étudiants de licences Gestion des Stuctures Sanitaires et Sociales parcours Management et Ingénierie des DIM, Départements d’Information Médicale, et s’adresse aux professionnels de santé des métiers de l’Information Médicale, aux étudiants et anciens étudiants de la filière, et aux professionnels intéressées par la thématique sur l’Intelligence Artificielle.

Programme des 9èmes Rencontres universitaires des DIM

Définition et périmètre de l’IA intelligence artificielle │ Réflexion sur «Ethique et Intelligence Artificielle »

  • Patrice OLIVER │Responsable Système d’Information – GHT Doubs Jura
  • Marie SOULEZ │ Cabinet Lexing Alain Bensoussan Avocats – Paris

Exemple d’application d’IA Intelligence Artificielle hors domaine de la santé

  • Dr Olivier STASSE │Chargé de recherche CNRS LAAS Toulouse : Robot Pyrène et mouvements anthropomorphes
  • Michel BAYER │ Conseil en management – IBM : Application de Watson
  • Dr Frédéric PRECIOSO │Enseignant à l’Ecole Polytech – Nice Sophia Antipolis : Data Mining
  • Antoine DENIS │ Directeur Dvpt et Innovation – Activités Santé – Microsoft France

Applications d’IA dans les domaines de l’Information Médicale

  • David DELERUE │ SSII ALICANTE – IA : Quels impacts pour les métiers DIM/TIM
  • David LEGROUX et M. Arnaud HANSSKE │ DIMBOX – Outils d’aide au codage DIM
  • Pr Jean-Paul BEREGI │ Chef de service Radiologie – CHU de Nîmes : IA en imagerie médicale

Lieu des rencontres universitaires des DIM du 18 mai 2018

Université d’Avignon
CERI Amphithéâtre Blaise Pascal
Centre d’Enseignement et de Recherche en Informatique
Campus Jean-Henri Fabre
339 chemin des Meinajaries – Agroparc
84 911 Avignon
04.90.16.29.92 / 04.90.84.35.00 / 07.61.70.40.02 Univ-Avignon.fr  

Pour tout renseignement contacter :

Mme Sophie D’haene, gestionnaire de formations du Pôle Santé sec-du-tim@univ-avignon.fr




Laboratoire de recherche : un référentiel d’excellence à respecter

Laboratoire de recherche

Laboratoire de recherche ou bureau d’études : un référentiel sur les critères de confidentialité, d’expertise et d’indépendance a été publié au Journal officiel le 25 juillet 2017 (1). Cet arrêté concerne la mise en œuvre des traitements de données à caractère personnel du système national des données de santé à des fins de recherche, d’étude ou d’évaluation.

Système national des données de santé (SNDS)

Créé par la loi de modernisation de notre système de santé, le SNDS regroupe les bases de données suivantes :

  • Système national d’information inter-régimes d’assurance maladie (SNIIRAM) concernant les données de l’assurance maladie ;
  • Programme de médicalisation des systèmes d’information (PMSI) concernant les données issues de l’activité des établissements de santé ;
  • Centre d’épidémiologie sur les causes médicales de décès (CepiDC) ;
  • base concernant les données liées aux handicaps issues des maisons départementales des personnes handicapées ;
  • base concernant les données provenant des complémentaires-santé.

Champ d’application de l’arrêté

L’arrêté du 17 juillet 2017 concerne les traitements commandités par les entreprises sous le contrôle de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) ainsi que celles relevant des domaines de la complémentaire santé et les intermédiaires d’assurance.

L’article L. 1461-3 du Code de la santé publique autorise ces entreprises à accéder au SNDS, afin de mettre en œuvre un traitement de données à des fins de recherche, d’étude ou d’évaluation, sous certaines conditions, comprenant en particulier :

  • soit la démonstration que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités prohibées par l’article L. 1461-1 du Code de la santé publique ;
  • soit le recours à un laboratoire de recherche ou à un bureau d’études, publics ou privés, pour réaliser le traitement.

C’est dans le cadre de cette dernière hypothèse que le référentiel exposé par l’arrêté du 17 juillet 2017 doit être appliqué.

Conclusion d’un contrat

L’arrêté précise que les engagements du responsable de traitement et ceux du laboratoire de recherche ou du bureau d’études doivent être précisés dans un contrat, préalablement aux travaux de recherche, d’étude ou d’évaluation.

A ce titre, il est indiqué que la rémunération doit uniquement dépendre de la nature et du volume des prestations prévues au contrat de manière à ce que celle-ci ne soit pas subordonnée aux résultats de la recherche.

En application de l’article 2 de l’arrêté, le contrat comporte les éléments suivants :

  • identité du responsable de traitement, destinataire des résultats ;
  • finalités conformes ;
  • éléments concernant la recherche, l’étude ou l’évaluation ;
  • catégories de personnes concernées par le traitement ;
  • traitement de données à caractère personnel envisagés ;
  • identité des financeurs et modalités de financement ;
  • estimation du coût de la recherche, de l’étude ou de l’évaluation ;
  • mesures et conditions de sécurité attestant de la conformité au référentiel de sécurité applicable au SNDS ;
  • droits et obligations des personnes en charge ;
  • rappel des interdictions de traitement du SNDS (ex. promotion des produits, exclusion de garanties, modifications des cotisations d’assurance, etc.).

Obligation de confidentialité

Les responsables du laboratoire de recherche ou du bureau d’études sont soumis au secret professionnel, de même que leurs salariés et prestataires mettant en œuvre le traitement ou autorisés à accéder aux données. A ce titre un engagement de confidentialité conforme au référentiel de sécurité applicable au SNDS doit être signé.

Compétences requises

Le laboratoire de recherche ou le bureau d’étude doit disposer de compétences pour la réalisation du traitement « intégrant une connaissance des enjeux relatifs à l’anonymisation des données ».

De plus, ceux qui accèdent au SNDS doivent suivre une formation validée par la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS), responsable du SNDS.

Déclaration d’intérêts et indépendance économique

Dans le cadre de sa demande d’accès au SNDS, le responsable de traitement doit fournir une déclaration d’intérêts en rapport avec le traitement envisagé, conformément à un modèle figurant en annexe de l’arrêté.

Cette déclaration atteste de l’absence de conflit d’intérêt avec le traitement, tout conflit d’intérêt prohibant la participation à la recherche, à l’étude ou à l’évaluation de la part du responsable, de ses salariés ou des prestataires, conformément à l’article 5 de l’arrêté.

Engagement de conformité

Enfin, un engagement de conformité au référentiel doit être réalisé par le laboratoire de recherche ou le bureau d’étude auprès de la Commission nationale de l’informatique et des libertés (Cnil).

Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Santé numérique

(1) Arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études




Mise en place de la certification hébergeur de données de santé

certification hébergeur de données de santéUn premier projet de décret précise les modalités de mise en place de la certification hébergeur de données de santé.

Premier projet de décret

Un premier projet de décret d’application de l’article L.1111-8 du Code de la santé publique, modifié par la loi de santé, a été notifié à la Commission européenne, conformément aux dispositions de la directive « Services de la société de l’information » n°2015-1535, pour des règles techniques restreignant la fourniture de services.

Cette notification s’accompagne d’un court texte de motivation dans lequel il est rappelé :

« Cette certification est ainsi établie en vue de garantir aux personnes physiques le respect de leur vie privée et du secret médical. Elle est de nature à diminuer le risque de violation des données à caractère personnel en renforçant les conditions de leur hébergement. »

Mise en place de la certification hébergeur de données de santé

Le projet de décret modifie les articles R.1111-1 et suivants du Code de la santé publique. Outre le passage à la certification et l’uniformisation avec la nouvelle rédaction de l’article L.1111-8 du code précité, qu’apporte le projet de décret par rapport au régime en vigueur ?

Le premier apport de l’article 3 du projet de décret, spécifique à la certification, est la mention explicite de la qualité de responsable de traitement, au sens de la loi n°78-17 du 6 janvier 1978 des personnes à l’origine de la production ou du recueil de ces données. Celui-ci a expressément la responsabilité de vérifier si l’hébergeur est bien titulaire de la certification hébergeur de données de santé. La qualité de responsable de traitement n’était auparavant précisée que dans le FAQ de l’ASIP Santé.

Les activités assurées en tout ou partie par les hébergeurs sont désormais listées :

  • la mise à disposition et le maintien en condition opérationnelle :
    • des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
    • de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
    • de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
    • de la plateforme d’hébergement d’applications du système d’information ;
  • l’administration et l’exploitation du système d’information contenant les données de santé ;
  • la sauvegarde des données de santé. »

Contenu du contrat d’hébergement

La liste des clauses obligatoires des contrats d’hébergement actuellement à l’article R.1111-13 du Code de la santé publique a été remaniée dans le cadre de la certification hébergeur de données de santé.

De nouvelles clauses ont été rendues obligatoires :

  • périmètre du certificat de conformité, ses dates de délivrance et de renouvellement ;
  • lieux d’hébergement ;
  • mesures mises en œuvre pour garantir le respect des droits des personnes concernées ;
  • mention du référent contractuel du client de l’hébergeur pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
  • mention de l’interdiction pour l’hébergeur d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • engagement de l‘hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.

D’autres clauses obligatoires ont été complétées ou simplifiées (les apports sont en italiques), en conformité avec les bonnes pratiques en vigueur telles qu’exigées par le Comité d’agrément jusqu’à présent :

  • description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données hébergées ;
  • mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l’existence ou l’absence de pénalités applicables au non-respect de ceux-ci ;
  • modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées (simplification) ;
  • obligations de l’hébergeur à l’égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;
  • information sur les garanties et les procédures mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
  • présentation des prestations à la fin de l’hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d’hébergement de données de santé.

La clause sur le recours à des prestataires techniques externes est inchangée :

« information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l’hébergeur ».

La clause générale relative à la description des moyens mis en œuvre pour la fourniture des services à quant à elle été supprimée des clauses obligatoires.

Enfin, le mécanisme de report des obligations et des mentions obligatoires du contrat d’hébergement conclu par l’éditeur logiciel ou revendeur vers le contrat entre le client final et l’éditeur ou revendeur est désormais entériné dans le respect des bonnes pratiques édictées par l’ASIP Santé dans son FAQ jusqu’à présent.

Entrée en vigueur et modalités transitoires

La mise en place de la certification hébergeur de données de santé est prévue pour le 1er janvier 2018. L’ordonnance n°2017-27 du 12 janvier 2017 relative à la certification et l’article 3 du décret précité entrent donc en vigueur au 1er janvier 2018.

Les dispositions de l’article 1 et 2 du décret précité harmonisant les textes réglementaires avec la rédaction actuelle de l’article L.1111-8 du Code de la santé publique, tel que modifié par la loi de santé, entreront en vigueur le lendemain de la publication dudit décret.

Le projet de décret prévoit des dispositions transitoires :

  • le régime actuel restera applicable à tous les agréments délivrés avant le 1er janvier 2018 ou à ceux délivrés après cette date pour les demandes déposées jusqu’au 31 décembre 2017 ;
  • les agréments expirant dans le courant de l’année 2018 seront prolongés de 6 mois pour permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.

Il doit être précisé que l’article R.1111-10 du Code de la santé publique est modifié pour que le silence du ministre chargé de la Santé, dans le délai de 2 mois après l’avis du comité, vaille acceptation et non plus rejet.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique




Le code de conduite Privacy en santé mobile retoqué par le G29

code de conduite Privacy en santé mobileLe G29 vient de publier ses commentaires spécifiques sur le projet de code de conduite Privacy en santé mobile M-Santé.

Des commentaires spécifiques au code de conduite Privacy en santé mobile

Le G29 a rendu publique sa lettre du 10 avril 2017 (1), adressée à l’éditeur du projet de code de conduite « Privacy en santé mobile » (2) (3) dans laquelle il livre ses « commentaires spécifiques » relatifs à sa conformité au regard de la directive de protection des données de 1995 et des exigences du RGPD.

Le code de conduite sur le respect de la vie privée et les applications de santé mobile (mHealth), a pour objet de contribuer à promouvoir la confiance des utilisateurs envers les applications de santé mobile. Sa structure et son contenu ont fait l’objet de nos précédents commentaires (3).

Dans sa lettre, le G29 expose qu’en l’état, le projet de code de conduite qui lui est soumis ne remplit pas les niveaux d’exigence requis pour obtenir son approbation, et délivre l’ensemble des indications ou « commentaires spécifiques » permettant de l’approcher, notamment s’agissant des exigences du RGPD, et ce, dans le cadre d’une démarche collaborative entre la Commission européenne et le porteur du projet de code de conduite.

Code de conduite Privacy en santé mobile : suivi et gouvernance

Les premiers du G29 portent sur les organes de gouvernance proposés par le code, dans la mesure où ces organes pourront être agrées par l’autorité de contrôle compétente afin de contrôler son respect.

Le G29 considère que, selon RGPD, le code devrait définir les recours, mécanismes de résolution des litiges et sanctions associées, par exemple la publicité des violations du code et modalités d’information des autorités de contrôle nationales.

Il considère qu’il serait utile de préciser les modalités de suivi des organisations du secteur par l’organe de gouvernance : période de suivi, nombre d’applications contrôlées et modalités de leur évaluation.

Tant les garanties d’indépendance, de transparence, et d’impartialité de cet organe, sa composition et les modalités de fonctionnement devraient également être précisés, dans la mesure où celui-ci doit être dirigé par des associations et organisations relevant de l’écosystème de la santé mobile et ou la question de leurs contributions financières respectives doit être renseignée.

Le G29 approuve ensuite l’introduction d’une certification, au-delà d’une simple déclaration de conformité, tout en exigeant que son mécanisme soit précisé (transparence des informations, suivi et coûts) et en reconnaissant que le processus de certification doit faire l’objet de lignes directrices « nécessaires », de la part du G29 à l’avenir.

Lignes directrices à destination des responsables de traitement

Pour le G29, le recueil du consentement doit être clairement requis selon les exigences posées par le RGPD tout en rappelant plus explicitement les conditions de loyauté et de légalité des traitements.

La question du consentement devrait par ailleurs tenir compte des problématiques liées aux traitements de données détenues par des tiers, de conservation des données, du retrait du consentement, et de son recueil auprès de mineurs.

Le G29 encourage aussi la mise en avant des risques pouvant être associés à l’utilisation des applications de santé mobile, en particulier s’agissant du traitement de données particulièrement sensibles ou des données à caractère personnel de mineurs.

Principes relatifs à la protection des données

Les G29 observe que les principes suivants devraient être indiqués explicitement par le code :

  • le caractère approprié des mesures de protection des données à caractère personnel ;
  • la précision et la qualité des données, leur accessibilité, ainsi que les mesures de sécurité relatives à la conservation des données.

De façon générale, les grands principes devraient faire l’objet d’une plus grande contextualisation et d’exemples concrets.

En particulier le G29 observe que le projet de code ne précise pas si les principes d’ « acccountability » du RGPD (mise en œuvre d’un processus de mise en conformité et de sa preuve) et de sécurité des données sont des principes légaux impératifs ou de simples bonnes pratiques que les développeurs doivent observer.

Information, transparence et individus concernés

Le G29 estime que la distinction entre responsables de traitement et sous-traitants doit être effectuée afin de préciser les rôles et les obligations de chacun, car ces précisions devraient être portées à la connaissance de l’individu concerné en amont du traitement. A minima, comme l’impose le RGPD, l’identité et points de contact du responsable de traitement ainsi que le point de contact uniforme en cas de coresponsabilité dans le traitement doivent être précisés.

D’autre part, le G29 estime que le code ne précise pas la manière dont les individus peuvent exercer leurs droits et comment les responsables de traitement peuvent répondre aux demandes associées.

Le sujet du droit à la portabilité des données devrait quant à lui être traité en prenant en considération les lignes directrices publiées par le G29 sur le sujet.

Enfin, le G29 recommande de préciser les incidences des évolutions applicatives augmentant les champs des traitements, concernant leurs notifications aux utilisateurs.

Code de conduite Privacy en santé mobile : la sécurité

Le G29 estime que le code devrait détailler comment tenir compte de la mise en œuvre des principes de « privacy by design » et de « privacy by default » au cours du processus de développement des applications, et des durées de conservation des données.

Il souhaite que la notion d’anonymisation complète de jeux de données soit précisée dans le code, en tant que processus qui ne permet pas d’identification et irréversible, tout en sensibilisant les développeurs aux risques associés à la re-identification des individus.

Le G29 estime également que le cryptage de données doit être rapproché de la nécessité de pouvoir les communiquer, en toute sécurité, en recourant à un procédé d’authentification forte, en particulier si des tiers, comme des médecins, doivent pouvoir avoir accès aux données sur autorisation de leur patient.

Code de conduite Privacy en santé mobile : la publicité

Le G29 souhaite que le code précise les base légales selon lesquelles la prospection est autorisée dans le cadre de traitements, en particulier, au regard des dispositions du RGPD.

Transfert dans des pays tiers

Le G29 estime que le code devrait mentionner, par référence au RGPD, que lorsque les données font l’objet d’un transfert vers des autorités publiques ou privées établies dans un pays tiers, le pays de destination doit être indiqué.

Code de conduite Privacy en santé mobile : Principes généraux

Le G29 a en outre délivré un certain nombre de lignes directrices générales, dont le respect est indispensable à la réalisation et à l’approbation des codes de conduites européens, qui ont vocation à prendre une importance considérable sous l’empire du RGPD, en vigueur en mai 2018.

Ces lignes directrices fondamentales et générales, ainsi que le processus d’élaboration et la place des codes de conduites au sein de la nouvelle règlementation ont fait l’objet, de nos commentaires (4).

L’évolution du processus d’élaboration de ce code de conduite sur un mode collaboratif entre le porteur de projet et la Commission européenne doit être surveillé par les acteurs de la santé mobile dans la mesure où il vocation à préciser les modalités d’implémentation du RGPD dans ce secteur.

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Santé numérique

(1) G29 (Article 29 Data Protection Working Party) Letter re mHealth.
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » et projet de Code de conduite mHealth.
(3) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, Code de conduite européen « Privacy en santé mobile », Alain-Bensoussan.com, 02-05-2017.
(4) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, RGPD et codes de conduite : Les exigences du G29, Alain-Bensoussan.com 8-6-2017.‎




RGPD et codes de conduite : les exigences du G29

RGPD et codes de conduite

RGPD et codes de conduite : le G29 analyse la conformité des codes de conduites face aux exigences posées  par le RGPD, la lettre du G29 délivre les différents points à respecter.

A l’occasion de sa lettre du 10 avril 2017 (1), adressée à l’éditeur du projet de code de conduite « Privacy en santé mobile » (2) (3), le G29 a délivré ses commentaires relatifs à la conformité des codes de conduite, au regard des exigences posées par la directive de protection des données de 1995 et du RGPD, en dégageant un certain nombre de principes fondamentaux et généraux relatifs à leur élaboration.

Les commentaires du G29 constituent ainsi pour partie de véritables lignes directrices générales, dont le respect est indispensable à la réalisation et à l’approbation des codes de conduites européens qui ont vocation à prendre une importance considérable sous l’empire du RGPD entrant en vigueur en mai 2018.

Le rôle conféré par le RGPD aux codes de conduite

L’application du principe d’ « accountability » tel que défini par le RGPD impose :

  • la mise en place par l’organisation concernée, d’un processus permanent et dynamique de mise en conformité ;
  • de pouvoir rapporter la preuve des mesures de mise en conformité prises.

A cet effet, le RGPD prévoit des méthodologies permettant de démontrer la conformité de traitements sous la forme notamment de « certifications », de « labels » et en particulier, de « codes de bonne conduite » (4) dont l’application « (…) peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement » (5) et qui pourront également être pris en compte par l’autorité de contrôle en cas de procédure contentieuse (6).

RGPD et codes de conduite : le processus d’approbation

Les projets de codes de conduite doivent être présentés pour approbation à l’autorité nationale de contrôle (ou à la Commission européenne après avis du comité européen de protection des données si le code de conduite concerne des activités de traitement menées dans plusieurs Etats membres), qui vérifie s’ils présentent des garanties appropriées suffisantes en vue du respect du RGPD.

C’est donc dans le cadre de ce processus qu’est intervenue la publication de la lettre du G29 sur le code de conduite sur le respect de la vie privée et les applications de santé mobile (M-Health) (1).

Une fois approuvés, ces codes de conduite peuvent être enregistrés, rendus publics et, sur décision de la Commission, être considérés comme d’application générale au sein de l’Union.
Quant au contrôle de leur respect, il peut être mis en œuvre par un organisme disposant d’un niveau d’expertise approprié au regard de l’objet du code, qui serait agréé à cette fin par l’autorité de contrôle compétente.

RGPD et codes de conduite : les principes fondamentaux

Dans sa lettre, le G29 rappelle en premier lieu les principes généraux fondamentaux qui doivent impérativement guider l’élaboration de tout code de conduite :

  • être conforme au RGPD et à ses transpositions en droit national ;
  • être de qualité et apporter une valeur ajoutée tant au RGPD qu’aux législations nationales applicables en matière de protection des données ;
  • sa valeur ajoutée peut être démontrée au regard de problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles ;
  • avoir pour objet de spécifier et préciser l’application de la règlementation.

RGPD et codes de conduite : les principes généraux

Le G29 délivre dans un second temps des commentaires généraux relatifs au projet de code de conduite qui lui était soumis, qui constituent eux aussi des points cardinaux applicables à tous les projets de codes de conduite. Il considère de manière générale :

  • qu’il n’apporte pas suffisamment de valeur ajoutée par rapport à la Directive (RGPD) ;
  • qu’il doit être clarifié, comporter plus de référence au référentiel légal existant, en particulier concernant le secteur spécifique de la santé mobile concerné ;
  • qu’il doit notamment faire le lien entre RGPD et législations nationales, en particulier lorsque le premier laisse une liberté de transposition aux secondes ;
  • il devrait prendre en compte d’autres éléments de la règlementation qui impactent la conformité en matière de protection des données, comme la « directive ePrivacy » s’agissant de la mise en œuvre des cookies ; le règlement « eIDAS » (en matière d’identification électronique et de services de confiance), ou la directive 93/42/CE relative aux dispositifs médicaux ;
  • il doit clarifier le rôle des différents acteurs concernés dans les traitements mis en œuvre et les différents niveaux d’obligations correspondantes (responsable du traitement et sous-traitant).

L’ensemble de ces principes généraux constituent une grille de lecture indispensable pour les porteurs de projets de codes de conduite recherchant leur approbation par la Commission européenne afin de contribuer à l’enrichissement normatif européen et à une prise de position compétitive dans leur secteur.

RGPD et codes de conduite : les applications de santé mobile (M-Health)

La lettre du G29 contient, au-delà des principes exposés ci-avant, une analyse du code de conduite sur le respect de la vie privée et les applications de santé mobile (M-Health) à travers des observations et questions spécifiques qui font l’objet de nos commentaires distincts (1).

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Santé numérique

(1) G29 (Article 29 Data Protection Working Party) Letter re mHealth.
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » et projet de Code de conduite mHealth.
(3) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, Code de conduite européen « Privacy en santé mobile », Alain-Bensoussan.com, 02-05-2017.
(4) RGPD articles 40 et 41
(5) RGPD article 24
(6) RGPD article 83




Extension du Répertoire partagé des professionnels de santé

Extension du RPPSExtension du RPPS (Répertoire partagé des professionnels de santé) : son champ d’application et ses modalités ont été réformés.

Extension du RPPS : son champ d’application

Le Répertoire partagé des professionnels de santé (RPPS) créé par l’arrêté du 6 février 2009 (1) avait pour ambition de répertorier l’ensemble des professionnels de santé en exercice, ayant exercé ou susceptibles d’exercer. Les professionnels de santé sont limitativement énumérés par la 4ème partie du Code de la santé publique et regroupent entre autres les médecins, les chirurgiens-dentistes, les sages-femmes, les pharmaciens, etc.

L’arrêté du 18 avril 2017 (2) a étendu le périmètre des professionnels devant figurer dans ce répertoire, désormais dénommé Répertoire partagé des professionnels intervenant dans le système de santé. Il ne s’agit plus uniquement de professionnels de santé mais également des « assistants de service social et les titulaires des titres de psychothérapeutes, psychologues, chiropracteurs ou ostéopathes, en exercice, ayant exercé ou susceptibles d’exercer ».

Devront également figurer dans le répertoire les « internes en médecine, en odontologie et en pharmacie, les étudiants des professions de santé dûment autorisés à exercer à titre temporaire, ou susceptibles d’être requis ou appelés au titre de la réserve sanitaire ». La réserve sanitaire est un ensemble de professionnels du secteur médico-social susceptible d’être mobilisé par le ministère de la Santé dans certaines situations d’urgence.

Extension du RPPS : gestion des accès

L’arrêté du 6 février 2009 prévoyait 15 catégories de personnes ayant accès au RPPS avec deux types d’accès : consultation et rediffusion.

Désormais 16 catégories de personnes disposent d’un accès au RPPS avec 4 « profils » d’accès distincts :

  1. Données actives et données historisées en consultation et en extraction ;
  2. Données actives et données historisées en consultation et en extraction à l’exception des données relatives aux sanctions et à la nationalité ;
  3. Données actives en consultation et en extraction ;
  4. Données actives en consultation et en extraction à l’exception des données relatives aux sanctions et à la nationalité.

Seule une partie des personnes est autorisée à rediffuser certaines données du RPPS.

Extension du RPPS : caractéristiques du traitement

La gestion du RPPS est toujours confiée à l’ASIP Santé, responsable de traitement.

Les finalités du RPPS demeurent globalement inchangées. Il permet l’identification des professionnels, leur suivi, la délivrance des certifications (précédemment des cartes de professionnels de santé), de permettre la réalisation d’études et de recherches ainsi que la production de statistiques relatives à ces professionnels, à partir d’une base de référence mise à disposition sous réserve de mesures adéquates permettant d’assurer la confidentialité de l’identité des personnes et enfin de diffuser les données au public.

A la liste initiale des données en libre accès, s’ajoutent les diplômes des professionnels.

L’arrêté ne mentionne pas les modalités d’information des personnes concernées, mais il est précisé dans la délibération de la Cnil relative au projet d’arrêté que « le ministère a indiqué que les personnes concernées seraient informées par voie d’affichage sur les sites web, les revues internes et les formulaires des autorités d’enregistrement des professionnels. »

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique

(1) Arrêté du 6 février 2009 portant création d’un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels de santé » (RPPS) (modifié)
(2) Arrêté du 18 avril 2017 modifiant l’arrêté du 6 février 2009 modifié portant création d’un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS)
(3) Délibération Cnil n° 2017-040 du 23 février 2017 portant avis sur un projet d’arrêté modifiant l’arrêté du 6 février 2009 modifié portant création d’un traitement de données à caractère personnel dénommé « Répertoire partagé des professionnels intervenant dans le système de santé »




Hébergeur de données de santé un calendrier de certification

hébergeur de données de santé un calendrier Pour passer de l’agrément à la certification d’ hébergeur de données de santé un calendrier prévisionnel se met en place.

Hébergeur de données de santé Un calendrier pour la certification

En préparation depuis plusieurs années, le passage de l’agrément pour les hébergeurs de données de santé à caractère personnel vers la certification est en passe de se concrétiser.

Son principe ayant été posé par la loi de modernisation de notre système de santé n°2016-41 du 26 janvier 2016 (art 204) (1), l’ASIP Santé avait déjà publié en septembre 2016 dans le cadre d’une concertation publique un premier projet de référentiels.

Les hébergeurs agréés ou ceux souhaitant se positionner sur ce marché ont ainsi pu avoir un aperçu des futures attentes, mais également faire part de leurs réserves ou remarques à l’ASIP Santé.

Hébergeur de données de santé Un calendrier prévisionnel

L’ordonnance n°2017-27 du 12 janvier 2017 (2), en modifiant les articles L. 1111-8 et L. 1115-1 du Code de la santé publique, a précisé les modalités du passage à la certification, mais la date exacte sera arrêtée par le décret attendu pour la fin de l’année 2017, d’après l’ASIP Santé.

Les hébergeurs dont l’agrément sera en vigueur lors du passage à la certification pourront attendre le terme de leur agrément avant d’envisager l’obtention de la certification.

Ceux dont l’agrément expirera dans l’année suivant le passage à la certification disposeront d’un délai minimum, dont la durée sera indiquée dans le décret, pour se mettre en conformité, ce afin de permettre aux hébergeurs de données de santé à caractère personnel de se préparer convenablement à l’obtention de la certification. En effet, la mise en conformité des prestations d’hébergement aux normes ISO exigées nécessitera un temps non négligeable de préparation.

Hébergeur de données de santé un calendrier de mise en œuvre pour janvier 2018

L’ASIP Santé entend mettre en œuvre la certification en janvier 2018 selon son calendrier prévisionnel (3). Ainsi les agréments d’hébergement de données de santé à caractère personnel obtenus ou renouvelés durant l’année 2015 pour une durée de 3 ans expireront durant l’année 2018, soit l’année suivant le passage supposé à la certification.

Les hébergeurs de données de santé à caractère personnel devront anticiper au maximum la mise en conformité de leurs prestations d’hébergement, dans la mesure où le délai minimum qui leur sera accordé n’est pas encore connu.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique

(1) Loi 2016-41 du 26-1-2016 de modernisation de notre système de santé, art. 204.
(2) Ordonnance 2017-27 du 12-1-2017 relative à l’hébergement de données de santé à caractère personnel (JO du 13-1-2017)
(3) Hébergement des données de santé: la certification « normalement » mise en œuvre en janvier 2018 (Asip santé), TIC Santé, 14-3-2017.




L’électrosensibilité est-elle reconnue en droit français ?

L’électrosensibilitéL’électrosensibilité aux ondes électromagnétiques est-elle reconnue par la justice française ? La question se pose suite à deux décisions de justice rendues récemment, et ce au regard des études de l’Anses (1) sur l’exposition du public aux champs électromagnétiques.

Les décisions de justices récentes.

Le 8 juillet 2015, le Tribunal du contentieux de l’incapacité de Toulouse a reconnu un taux d’incapacité de 85% à une personne dite électrosensible (2). Ce taux d’incapacité prend en compte une restriction substantielle et durable pour l’accès à l’emploi.

Le tribunal a accordé à la demanderesse des allocations aux adultes handicapés pour une durée de deux ans.

Cette décision du tribunal a été prise au vu des pièces et rapports soumis à son appréciation.

La demanderesse avait communiqué des conclusions d’un médecin diagnostiquant le syndrome d’hypersensibilité aux ondes électromagnétiques. Le médecin avait précisé que la description des signes cliniques était irréfutable.

Dans son communiqué du 8 septembre 2015, l’Académie nationale de médecine met en garde contre « une interprétation erronée voir tendancieuse du jugement » (3).

L’Académie rappelle les conditions de prise en charge médicale et sociale des personnes dites électrosensibles. Il faut un lien de causalité entre les troubles évoqués et une exposition aux champs électromagnétiques. L’existence d’un tel lien n’a jamais été scientifiquement prouvée.

  • La décision du Tribunal du contentieux de l’incapacité de Toulouse a été prise indépendamment :
  • de toute argumentation scientifique sur les seuls éléments soumis au tribunal ;
    de preuve d’un lien de causalité reconnu entre troubles, handicaps et exposition aux ondes électromagnétiques.

Bien qu’une indemnisation ait été accordée par la justice, l’électrosensibilité n’est pas pour autant reconnue pour autant en droit français.

Plus récemment, une ordonnance de référé a été rendue par le Président du Tribunal d’instance de Grenoble le 17 novembre 2016 (4).

Dans cette ordonnance le Président a demandé le retrait du compteur d’eau situé dans l’appartement de la demanderesse et de celui installé éventuellement dans la chaufferie.

Il a également demandé le remplacement de ces compteurs par des compteurs avec relevé annuel.

En effet, il a reconnu que la demanderesse souffrait d’une électrosensibilité.

La décision de retrait des compteurs communicants ne permet pas de reconnaître en droit l’électrosensibilité.

La spécialité de l’expert désigné.

Le Président du Tribunal d’instance de Grenoble a pris en considération les résultats d’analyse d’un géobiologue. Ceux-ci précisaient que l’appartement de la demanderesse était pollué par les ondes électromagnétiques.

La géobiologie est une discipline qui prétend traiter des relations de l’environnement, des constructions et du mode de vie avec le vivant, de l’ensemble des influences de l’environnement sur le vivant et notamment des ondes liées aux champs magnétiques et électriques.

Le géobiologue n’est donc pas un expert en mesure d’exposition aux ondes électromagnétiques.

Il n’est pas précisé dans quelles conditions le géobiologue a procédé à la mesure des champs électromagnétiques, ni le protocole utilisé pour retenir en conclusion l’existence d’une pollution par ondes électromagnétiques.

Cette analyse n’aurait pas dû permettre le retrait du compteur communicant étant donné qu’elle n’a pas été effectuée par un expert en matière de champs électromagnétiques et que les protocoles de mesures n’étant pas détaillés, les mesures ne peuvent être vérifiées.

L’électrosensibilité non reconnue comme une maladie

L’atteinte à la santé résultant de l’électrosensibilité n’a pas été reconnue et n’est pas inscrite en droit positif, ni même avéré par des études scientifiques.

L’OMS (5) caractérise l’hypersensibilité électromagnétique (HSEM) comme divers symptômes non spécifiques que les individus touchés attribuent à l’exposition aux ondes électromagnétiques et qui diffèrent d’un individu à l’autre (6).

L’OMS précise également qu’il n’existe, ni critères de diagnostiques clairs pour ce problème sanitaire, ni base scientifique permettant de relier les symptômes de la HSEM à une exposition aux ondes électromagnétiques.

Enfin, l’OMS indique que la HSEM ne constitue par un diagnostic médical.

En France, l’électrosensibilité n’est d’ailleurs pas reconnue comme une maladie.

Deux expertises de l‘Anses de 2009 et 2013 ne permettent pas de conclure que l’exposition aux champs électromagnétiques auraient des effets sur la santé.

Selon l’Anses, aucune des études menées jusqu’à présent ne permet de relier ces symptômes à l’exposition aux champs magnétiques (2009) (7).

Le rapport de l’Anses de 2013 analysant le lien entre ondes électromagnétiques et santé humaine a d’ailleurs conclu à l’absence « d’effet sanitaire avéré chez l’homme ». (8)

Qu’en est-il pour les compteurs communicants ?

Le président du Tribunal d’instance de Grenoble dans son ordonnance a retenu que le retrait du compteur communicant est nécessaire pour éviter que l’état de santé de la demanderesse ne s’aggrave.

L’ordonnance ne semble se fonder que sur les éléments communiqués par la demanderesse.

L’ordonnance semble avoir été prononcée en l’absence d’argumentation technique, de références aux études scientifiques actuelles et de démonstration du lien de causalité entre l’exposition aux ondes électromagnétique et l’électrosensibilité.

En effet, le juge considère que l’enlèvement des compteurs d’eau ne résoudra que très partiellement les problèmes de la demanderesse.

Amalgame entre les différentes technologies liées aux compteurs communicants

Dans l’ordonnance, il est précisé sans autre motif technique que les « compteurs Linky, Gazpar ne devront pas être installés dans le domicile de la demanderesse ».

Or, les compteurs communicants n’utilisent pas tous la même technologie.

Les compteurs communicants, pour échanger des informations, mettent en œuvre, soit une transmission radioélectrique, soit un courant porteur en ligne (pour Linky).

Le principe commun à tous les compteurs est de transmettre automatiquement et à distance l’index de consommation (télé-relève).

Les techniques de transmission utilisées sont classiques, (radioélectricité et le courant porteur en ligne), déjà présents à l’intérieur des domiciles.

Plus précisément, le compteur d’électricité Linky utilise le courant porteur en ligne (CPL) pour échanger des données et des ordres avec un concentrateur.

Linky est conçu pour assurer la télé-relève du compteur électrique. Cette fonctionnalité ne nécessite pas un haut débit, le système assure cette fonctionnalité une fois toutes les 24 heures, au cours de la nuit.

Le compteur Gazpar et certains compteurs d’eau utilisent la technologie radio pour transmettre des informations de consommation deux à six fois par jour, en moins d’une seconde.

D’autres compteurs de gaz et d’eau utilisent une communication filaire par les câbles du réseau électrique sans recours à des émetteurs radioélectriques.

Ces différences de technologies présentes dans les compteurs communicants démontrent que ces compteurs ne peuvent être assimiler et donner lieu à une décision de justice commune à l’ensemble des compteurs.

L’électrosensibilité et les compteurs communicants

L’Anses dans son rapport d’expertise de décembre 2016 conclut à des risques sanitaires très peu probables issus des compteurs communicants (9).

L’Anses a retenu que les niveaux d’exposition engendrés par les émissions (intentionnelles pour les compteurs radio eau et gaz, non intentionnelles pour le compteur CPL pour l’électricité) sont très faibles vis-à-vis des valeurs limites réglementaires (10).

Les dispositifs radioélectriques fonctionnent en effet sur pile, avec une longévité représentant un enjeu pour les fournisseurs d’énergie.

L’Anses précise également que la sobriété énergétique des compteurs implique de faibles niveaux d’émission radioélectrique.

Pour l’Anses, il n’existe pas de littérature scientifique traitant spécifiquement des effets sanitaires à court ou long terme de l’exposition aux compteurs communicants.

L’Anses conclut qu’il est peu vraisemblable que ces appareils représentent un risque pour la santé à court ou long terme.

Didier Gazagne
Audrey Jouhanet
Lexing Risques technologiques et Concurrence

(1) Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail.
(2) Décision du Tribunal du contentieux de l’incapacité de Toulouse du 8 juillet 2015
(3) Communiqué l’Académie nationale de médecine du 8 septembre 2015
(4) Ordonnance de référé a été rendue par le Tribunal d’instance de Grenoble le 17 novembre 2016
(5) Organisation mondiale de la santé
(6) Publication de l’OMS relative à l’hypersensibilité électromagnétique de décembre 2005
(7) Rapport d’expertise de l’Anses (anciennement Afsset) relatif aux radiofréquences d’octobre 2009
(8) Rapport d’expertise de l’Anses relatif aux radiofréquences et santé d’octobre 2013
(9) Rapport d’expertise de l’Anses relatif à l’exposition de la population aux champs électromagnétiques émis par les « compteurs communicants »
(10) Décret n° 2002-460 du 4 avril 2002 relatif à la protection générale des personnes contre les dangers des rayonnements ionisants




Code de conduite européen « Privacy en santé mobile »

Privacy en santé mobileLe G29 a annoncé la publication prochaine de ses commentaires sur le code de conduite européen Privacy en santé mobile.

Le code de conduite sur le respect de la vie privée et les applications de santé mobile (mHealth), élaboré sous l’égide de la Commission européenne, a notamment pour objet de contribuer à promouvoir la confiance des utilisateurs envers les applications de santé mobile.

Il a également vocation à permettre aux développeurs et plus largement aux différents acteurs économiques du secteur de la santé mobile de bénéficier d’un support à la mise en conformité au regard des exigences imposées par :

  • la règlementation Informatique et Liberté en vigueur (Directive 95/46/CE du 24 octobre 1995) ;
  • l’entrée en vigueur du Règlement Général à la Protection des Données (RGPD), au 25 mai 2018.

En effet, dans le cadre de son communiqué de presse en date du 10 avril 2017 sur la « plénière du G29 d’avril 2017 », la Cnil rappelle que le G29 a annoncé avoir pris position sur le code de conduite Privacy en santé mobile et la publication prochaine d’une lettre portant sur les premiers commentaires relatifs à la conformité du code de conduite avec les exigences précitées (1).

En l’état, le code est disponible à l’état de projet ou « Draft Code » sur le site de la Commission européenne (2).

Le G29 rappelle que les codes de conduite, qui ont vocation à prendre une place de plus en plus importante suite à l’entrée en vigueur du RGPD, peuvent faire l’objet d’un acte d’implémentation au sein de la règlementation européenne.

Une structure axée sur la mise en conformité au RGPD

Le projet de code de conduite est articulé autour des quatre parties suivantes :

  1. A propos ;
  2. Principales lignes directrices pour les développeurs d’applications ;
  3. Annexe I : Privacy Impact Assessement (PIA) / Etude d’impact ;
  4. Annexe II : Exemple de notice d’information (recueil du consentement).

Ses deux annexes sont destinées à devenir des outils pratiques de mise en œuvre de l’étude d’impact relative au traitement des données sensibles (de santé) et au recueil du consentement des utilisateurs, conformément au RGPD.

Les principales lignes directrices à destination des éditeurs/développeurs d’application du secteur s’articulent autour des thèmes suivants, en tenant principalement compte des impacts du RGPD :

  • Consentement de l’utilisateur ;
  • Limitation des finalités et minimisation des données ;
  • Confidentialité par conception et par défaut ;
  • Droits des personnes concernées et les exigences en matière d’information ;
  • Conservation des données ;
  • Publicité dans les applications mHealth ;
  • Utilisation de données personnelles à des fins secondaires ;
  • Divulgation de données à des tiers pour les opérations de traitement ;
  • Transferts de données hors UE ;
  • Violations et failles de sécurité ;
  • Données recueillies auprès des enfants.
Privacy en santé mobile : lettre et commentaires du G29

Il convient de surveiller avec intérêt la publication à venir et annoncée des commentaires du G29 ayant vocation à préciser le projet de code de conduite, en particulier s’agissant des outils de mise en conformité qu’il propose, étude d’impact et notice d’information.

Ces commentaires devraient permettre sa mise à jour rapide et à l’avenir, son approbation par le G29.

En attendant, il demeure un outil important de support à la mise en conformité Informatique et Liberté des acteurs de la santé mobile.

Pour rappel, ce projet intervient suite à la publication, en France, d’un Référentiel de bonnes pratiques sur les applications et les objets connectés en santé par la Haute Autorité de Santé (HAS), en octobre 2016, qui s’inscrit lui aussi dans le respect du Règlement général européen sur la protection des données (RGPD) (3) .

Marguerite Brac de La Perrière
Labyod Benjamin-Victor
Département Santé numérique

(1) Communiqué de presse de la Cnil du 10-4-2017 .
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » ;
(3) M. Brac de La Perrière, « Objets connectés de santé : Référentiel de bonnes pratiques », Alain-Bensoussan.com, 19-12-2016 .




Bases de données de santé à des fins de recherche ultérieure

données de santé à des fins de recherche ultérieureL’Assistance publique-Hôpitaux de Paris peut créer une base de données de santé à des fins de recherche ultérieure. La réutilisation de données cliniques dans le cadre de recherches médicales, non-interventionnelles, est à n’en pas douter un atout stratégique.

L’AP-HP a été autorisée, le 19 janvier 2017, par la Cnil (Délib. 2017-013 ), à créer un « Entrepôt de données de santé (EDS) », dans le cadre d’un système d’information commun à l’ensemble des 39 établissements de l’AP-HP. Martin Hirsh, directeur de l’AP-HP, a commenté la nouvelle, annoncée sur Twitter (2), comme suit : « Un grand pas pour les innovations en santé de demain. Quand la taille commence à être un atout… pas seulement un poids ! ».

Bases de données de santé à des fins de recherche ultérieure

L’AP-HP fait en effet partie des premiers établissements ou structures souhaitant créer ce type de base de données à obtenir l’aval de la Cnil. Le Commissariat à l’énergie atomique et aux énergies alternatives (CEA) avait déjà été autorisé par la Cnil (Délib. 2016-333), le 10 novembre 2016, à créer « une base de données nationale d’imagerie comprenant des données collectées dans le cadre de recherches menées dans le domaine de la santé sur les maladies neurodégénératives dont la maladie d’Alzheimer ».

Ces deux projets posent la question de la réutilisation, dans l’intérêt public, de données de santé, à des fins de recherche ultérieure. Longtemps mis de côté en raison, entre autres, de la lourdeur des procédures, ces projets ambitieux ont vu le jour dans un contexte de « big data », où la donnée a de la valeur, et plus encore une base de données.

L’une des difficultés de la mise en place de ce type de base de données réside, notamment, dans le respect des droits des personnes concernées. En effet, qu’il s’agisse de données de santé à des fins de recherche ultérieure ou de données cliniques, celles-ci ont été collectées pour une finalité déterminée initialement. La personne concernée a reçu une information relative à cette finalité et a, le cas échéant, donné son consentement à la collecte de ses données et à leur utilisation sur la base de cette information. Toute utilisation ultérieure de ces données nécessite une information des personnes concernées, voire le recueil de leur consentement. Cela semble facilement réalisable, pour la collecte des données nouvelles ayant vocation à intégrer la base, beaucoup moins, pour des données collectées dans les dernières années. La nécessité de recontacter, a posteriori, les personnes concernées, constitue un frein important à la création d’une telle base de données.

A cet égard, l’AP-HP a fait le choix, validé par le Cnil, d’annoncer, sur son site web, la constitution de l’Entrepôt de données de santé et de préciser que tout patient ayant été pris en charge a la possibilité de s’opposer à l’utilisation de ses données dans le cadre de recherches. Le CEA a choisi le même procédé.

Une autre difficulté réside dans la finalité assez large de la base de données, qui pourra être utilisée pour des recherches ou des études, qui n’ont pas encore été mises en place, ni même conçues. La finalité exprimée par le CEA et l’AP-HP respectivement est la constitution d’une base de données de santé à des fins de recherche ultérieure, dans le domaine de la santé, en particulier pour le CEA, sur les maladies neurodégénératives. Cela permet d’englober largement les utilisations possibles de la base de données ainsi créée.

Fondement juridique de la base de données de santé à des fins de recherche ultérieure

La Cnil, pour une base de données d’origine cliniques ou de données provenant de recherches, se fonde sur l’article 8, IV de la loi Informatique et libertés relatif aux traitements « justifiés par l’intérêt public », justifiant la nécessité d’une autorisation de la Cnil, conformément à l’article 25 de la loi Informatique et libertés.

S’agissant de l’Entrepôt de données de santé de l’AP-HP, la Cnil, conformément à l’article 6 de la loi Informatique et libertés sur les traitements ultérieurs, a rappelé que les traitements de données de santé à des fins de recherche ultérieure ou encore d’études dans le domaine de la santé, sont des traitements distincts, qui doivent faire l’objet de formalités propres, au titre du chapitre IX de la loi Informatique et Libertés.

Les normes de sécurité doivent, en outre, être mises en œuvre par les responsables de traitement. Le CEA a ainsi notamment mis en place une politique d’habilitation, selon différents profils fonctionnels (utilisateur, contributeur, administrateur), ainsi qu’un contrôle d’accès et un système de traçabilité. L’AP-HP s’est également dotée d’une politique d’authentification, d’habilitation et de sauvegarde et d’un contrôle des accès. Dans les deux cas, la base de données est hébergée en interne. Une externalisation de cet hébergement aurait nécessité le recours à un hébergeur agréé (CSP, art. L1111-8).

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique

1) Délibération Cnil 2017-013 du 19-1-2017 autorisant l’Assistance publique – Hôpitaux de Paris à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité un entrepôt de données de santé, dénommé « EDS ».
2) https://twitter.com/martinhirsch.
3) Délibération Cnil 2016-333 du 10-11-2016 autorisant le Commissariat à l’énergie atomique et aux énergies alternatives à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé Centre d’étude et de recherche national dédié au traitement des images cérébrales « CATI ».




Santé électronique : Alain Bensoussan Avocats référencé

Alain Bensoussan Avocats incontournable en Santé électroniqueIncontournable, le cabinet est à l’honneur en Santé électronique dans le classement du magazine Décideurs 2017.Dans le cadre du classement 2017 des meilleurs cabinets d’avocats (France) du magazine Décideurs (Groupe Leaders League), le cabinet Alain Bensoussan Avocats Lexing est classé parmi les cabinets jugés incontournables dans le secteur Santé-Santé électronique.

Marguerite Brac de La Perrière

Le département Santé, animé par Marguerite Brac de la Perrière, qui a une excellente connaissance de l’environnement juridique, technique et économique du secteur de la santé numérique en France, intervient avec Alain Bensoussan auprès de clients des secteurs privé et public, notamment en matière de traitements de données de santé, d’hébergement, de télémédecine, d’objets connectés de santé…

La catégorie « incontournable » est la plus haute marche des classements réalisés par le Magazine Décideurs. L’équipe de Marguerite Brac de La Perrière était classée par Décideurs dans les meilleures rubriques en droit de la santé électronique depuis 2012.

Le cabinet Alain Bensoussan Avocats Lexing vient également de se voir décerner, le 16 mars 2017, le Trophée d’Or dans la catégorie « Nouvelles technologies : Informatique, Internet/Données personnelles et Télécommunications » dans le cadre des Trophées du Droit du même Magazine Décideurs.

Eric Bonnet
Directeur du Département Communication juridique




Bonnes pratiques dans la vente en ligne de médicaments

Bonnes pratiques dans la vente en ligne de médicaments

La vente en ligne de médicaments fait l’objet de nouvelles bonnes pratiques qui viennent d’entrer en vigueur.

Publication de nouvelles bonnes pratiques

La vente en ligne de médicaments fait à nouveau l’objet de bonnes pratiques qui ont été publiées par un arrêté du 28 novembre 2016 relatif à la dispensation des médicaments (1).

Des règles techniques applicables aux sites internet de commerce électronique de médicaments ont également fait l’objet d’un second arrêté du même jour (2).

Ces publications font suite à l’ancien arrêté du 20 juillet 2013 qui encadrait déjà la vente en ligne de médicaments (3) mais qui avait été annulé par le Conseil d’Etat (4) pour des motifs de légalité externe.

Les dispositions légales (5), réglementaires (6) et déontologiques (7) sont donc une nouvelle fois complétées par celles des deux arrêtés pris en application de l’article L. 5121-5 du Code de la santé publique pour les bonnes pratiques de dispensation et L. 5125-39 du même code pour les règles techniques des sites internet de e-commerce.

Les deux arrêtés sont entrés en vigueur deux mois après leur publication, soit le 1er février 2017.

Rappel des règles légales encadrant la création de sites de e-commerce de médicaments

L’activité de e-commerce ne concerne que les médicaments qui ne sont pas soumis à prescription obligatoire (8).

La création du site de vente en ligne de médicaments est réservée aux pharmaciens, soit titulaires d’une officine, gérant une pharmacie mutualiste ou de secours minière, soit adjoints ou remplaçants de ces établissements (9).

Celle-ci doit également faire l’objet d’une autorisation du directeur de l’Agence Régionale de Santé compétente. L’Ordre des pharmaciens, lequel tient une liste des sites internet, doit en être informé (10).

Précisions apportées par l’arrêté relatif aux règles techniques applicables aux sites internet

Plusieurs précisions sont apportées, notamment les règles suivantes :

  • création d’un espace personnel intitulé « mon compte », lequel requiert que le patient communique ses nom et prénom, date de naissance et adresse de courrier électronique. Cet espace recense toutes les commandes passées, ainsi que les échanges avec le pharmacien (11) ;
  • mise en place d’un onglet spécifique pour la vente de médicaments, cette activité devant être clairement distincte des autres produits vendus sur le site internet ;
  • interdiction de mettre en place des forums de discussions et des espaces de discussions publiques, d’être référencé dans des moteurs de recherche ou des comparateurs de prix, contre rémunération ;
  • interdiction de sous-traiter l’activité, excepté pour la partie conception et maintenance technique du site internet ;
  • interdiction de mettre en place des liens hypertextes vers des sites autres que celui de l’Ordre des pharmaciens et les sites institutionnels des autorités de santé (comme le site internet de l’Agence Nationale de Sécurité du Médicament et des Produits de Santé par l’intermédiaire duquel peuvent être adressées les déclarations d’effets indésirables) ;
  • présentation des médicaments limitée à une liste d’informations (dénomination, indications thérapeutiques, nombre d’unités de prise, prix, notamment) (12) ;
  • règles relatives au secret professionnel, au traitement et à l’hébergement des données de santé à caractère personnel. Il est précisé que les patients « sont informés qu’ils ne disposent pas de droit d’opposition concernant la création de leur compte et du questionnaire qu’ils remplissent » (13).

Les règles relatives à la sécurité des données sont également rappelées, notamment en matière d’authentification du pharmacien et de sécurité des systèmes d’information. Les correspondances font l’objet d’un chiffrement et les données collectées doivent être conservées dans des bases de données qui garantissent leur confidentialité, leur intégrité, ainsi que leur pertinence.

De plus, l’authentification du pharmacien responsable du traitement est effectuée par l’intermédiaire de la carte de professionnel de santé ou des « dispositifs équivalents agréés », avant que soient mis en place un système d’information conforme aux référentiels d’interopérabilité et de sécurité qui doivent être approuvés par arrêté, conformément à l’article L. 1110-4-1 du Code de la santé publique.

Précisions apportées par l’arrêté relatif aux bonnes pratiques de dispensation de médicaments

L’arrêté relatif à la dispensation de médicaments mentionne des règles complémentaires et spécifiques applicables à la vente en ligne de médicaments dans une septième partie. L’accent est porté sur le devoir d’information et de conseil du pharmacien à l’égard du patient.

L’arrêté précise également que « la composition de l’équipe officinale est adaptée en conséquence conformément à l’article L. 5125-20 du Code de la Santé publique » ce qui signifie que le développement de l’activité de vente en ligne de médicaments a un impact sur le nombre de pharmaciens dont les titulaires d’officine doivent se faire assister en raison de l’importance du chiffre d’affaires généré par l’activité.

Des restrictions au développement de l’activité de vente en ligne de médicaments

Ce nouveau cadre juridique répond aux exigences de santé publique, notamment en ce qui concerne la protection et la sécurité des patients et de la population.

En revanche, et ainsi que mentionné par l’Autorité de la Concurrence dans son avis relatif aux deux projets d’arrêtés (14), les risques que le commerce de médicaments est susceptible d’engendrer doivent être encadrés. Toutefois, les restrictions de concurrence doivent impérativement être justifiées par des considérations de santé publique et proportionnées à cet objectif.

Or, l’Autorité de la Concurrence a notamment relevé que :

  • l’interdiction relative à l’usage de liens hypertextes de sites autres que ceux des autorités de santé et de l’Ordre des pharmaciens créé une limitation excessive de la liberté de commerce des pharmaciens ;
  • l’interdiction d’être référencé via des moteurs de recherche ou des comparateurs de prix limite tant la visibilité que la compétitivité des sites de vente en ligne de médicaments français ;
  • l’obligation d’appliquer les règles relatives au nombre de pharmaciens à embaucher en fonction du chiffre d’affaires réalisé implique « un alourdissement significatif des coûts d’exploitation de la vente en ligne ».

En effet, « l’Autorité a indiqué qu’elle souhaitait que les pharmaciens d’officine utilisent très largement cette nouvelle forme de vente, qui permet, outre une baisse des prix, de dynamiser, moderniser et rendre plus visible leur activité professionnelle, les consommateurs étant alors mieux informés sur les prix de ces médicaments vendus en ligne et bénéficiant d’une souplesse du commerce électronique en termes d’horaires et de limitation de coûts de déplacement ».

Par conséquent, si la publication de ces nouvelles règles permet aux pharmaciens d’apprécier davantage le cadre juridique et technique applicable à la création et à l’exploitation des sites de vente en ligne de médicaments, les restrictions réglementaires apportées pourraient constituer un frein au développement de cette activité.

Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Droit Santé numérique

(1) Arrêté du 28-11-2016 relatif aux bonnes pratiques de dispensation des médicaments dans les pharmacies d’officine, les pharmacies mutualistes et les pharmacies de secours minières, mentionnées à l’article L. 5121-5 du code de la santé publique
(2) Arrêté du 28-11-2016 relatif aux règles techniques applicables aux sites internet de commerce électronique de médicaments prévues à l’article L. 5125-39 du code de la santé publique
(3) Arrêté du 20-6-2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique
(4) CE, 16-3-2015, n° 370072, 370721, 370820 M. A., Sté Gatpharm, Sté Tant D’ M
(5) CSP, art. L. 5125-33 et s.
(6) CSP, art. R. 5125-70 et s.
(7) CSP, art. R. 4235-1 et s.
(8) CSP, art. L. 5125-34
(9) CSP, art. L. 5125-33
(10) CSP, art. L. 5125-36
(11) Point 1 de l’annexe de l’arrêté du 28-11-2016 relatif aux règles techniques applicables aux sites internet de commerce électronique de médicaments
(12) Point 2 de l’annexe de l’arrêté du 28-11-2016 précité
(13) Point 3 de l’annexe de l’arrêté du 28-11-2016 précité
(14) Autorité de la Concurrence, Avis n°16-A-09 du 26-4-2016