L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    

    Politique

    L'Assemblée nationale adopte en première lecture le projet de loi sur la protection des données personnelles

    PARIS (TICpharma) - Les députés ont adopté mardi en première lecture, à une très large majorité, le projet de loi relatif à la protection des données personnelles réformant les missions de la Commission nationale de l'informatique et des libertés (Cnil) et intégrant un volet concernant les données de santé.

    Le texte a été adopté par 505 voix pour et seulement 18 voix contre (24 abstentions), avec l'appui des groupes La République en marche (LREM), Modem, "UDI, Agir et indépendants" mais aussi Les Républicains et Nouvelle gauche, ainsi qu'une dizaine de députés non inscrits. Le groupe France insoumise a voté contre, tandis que le groupe de la Gauche démocrate et républicaine (GDR) s'est abstenu.

    Le projet de loi, sur lequel le gouvernement a engagé la procédure accélérée, sera examiné par le Sénat en séance publique à compter du 20 mars.

    Il doit notamment permettre la transposition du règlement européen 2016/679 sur la protection des données (RGPD), qui sera applicable à compter du 25 mai 2018, raison pour laquelle la navette parlementaire devra aboutir avant cette date.

    Sous l'égide de la rapporteure Paula Forteza (LREM, Français établis hors de France), les députés ont sensiblement enrichi le texte en commission, adoptant 174 amendements, avant de le préciser de nouveau en séance publique au travers de 41 amendements supplémentaires. Il comporte désormais 33 articles, contre 24 initialement.

    Une grande partie de l'adaptation de la législation française au droit européen est prévue par voie d'ordonnance, à l'article 20 du projet de loi, afin d'intégrer les principaux apports du RGPD (droit à la portabilité des données personnelles, désignation pour chaque traitement d'un délégué à la protection des données, etc).

    L'article 7 du texte procède à une réécriture des dispositions énumérant les différentes catégories de données sensibles, en y intégrant les données biométriques et génétiques pour l’ensemble du droit national, y compris pour les traitements ne relevant pas du droit de l’Union européenne (UE).

    L'article 9 vise à simplifier certaines procédures et abandonne le système de contrôle a priori par un contrôle a posteriori. Un décret cadre autorisera l'utilisation du numéro d'inscription au répertoire des personnes physiques (dit "NIR") par catégorie de responsables de traitement et pour des finalités précises.

    Révision du chapitre IX de la loi de 1978 sur les données de santé

    L'article 13 réécrit le chapitre IX de la loi informatique et libertés du 6 janvier 1978 consacré aux "traitements de données à caractère personnel dans le domaine de la santé", récemment modifié par la loi de modernisation de notre système de santé du 26 janvier 2016, et qui fixe un régime spécial d’autorisation pour les traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé.

    Il regroupe les dispositions générales s’appliquant aux traitements de données de santé, en intégrant la définition qui en est faite par le RGPD ("données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne").

    L'objectif vise globalement à conserver les procédures en vigueur pour les traitements à fin de recherche observationnelle (recours au système national des données de santé -SNDS) et les traitements de données impliquant la personne humaine, mais en généralisant le recours aux référentiels et règlements types définis par la Cnil.

    Le texte prévoit que les traitements relevant du chapitre IX "ne peuvent être mis en oeuvre qu’en considération de la finalité d’intérêt public qu’ils présentent", conformément au RGPD, ce qui inclut notamment "la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux".

    Les députés ont validé les nouvelles dispositions qui prévoient que la Cnil établisse, en concertation avec l'Institut national des données de santé (INDS) et des acteurs concernés, des référentiels et règlements types applicables à ces traitements, permettant ainsi une mise en oeuvre après une simple déclaration préalable de conformité.

    Renforcement des pouvoirs de la Cnil

    Ils ont en outre adopté les dispositions spécifiques aux traitements aux fins de recherche, d’étude et d’évaluation, prévoyant que l'autorisation est donnée par la Cnil après avis d'un comité de protection des personnes (CPP) ou du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (Cerees) en fonction du caractère de la recherche (implication de la personne humaine ou non).

    Les députés ont par ailleurs renforcé les prérogatives de la Cnil, dont la modernisation des missions est inscrite à l'article 1er du texte. Il en fait une autorité de contrôle au sens du règlement européen RGPD, en charge d'accompagner les responsables des systèmes d'information et de "favoriser un environnement juridique sécurisé à travers des instruments de droit souple dont la normativité est graduée", selon l'exposé des motifs.

    La Cnil sera notamment chargée d'établir et de publier "des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants".

    Elle devra encourager "l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants", en tenant compte "du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs" et "des besoins spécifiques des micro-entreprises, petites entreprises et moyennes entreprises".

    Elle sera également en charge d'homologuer et de publier "les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel".

    Parallèlement, en concertation avec les acteurs publics et privés, la Cnil est chargée d'établir et de publier "des règlements types" permettant d’assurer "la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé" et pourra prescrire "des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement" de ces données.

    Elle pourra "décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment" au RGPD, et pourra agréer des organismes certificateurs, sur la base de l’accréditation délivrée par le Comité français d’accréditation (Cofrac).

    Les députés ont validé l'article 4 du projet de loi, qui précise le cadre d’intervention des agents et membres de la Cnil en cas de contrôle et fixe les limites à leur droit de communication (secret professionnel applicable aux relations entre avocat et client, secret des sources du journaliste et secret médical).

    Ils ont également adopté avec l'article 6 le renforcement des mesures correctrices et sanctions prononçables par la Cnil en cas de méconnaissance par le responsable de traitement de données ou le sous-traitant de ses obligations (rappel à l'ordre, injonction de mise en conformité, limitation temporaire ou définitive du traitement, retrait de certification, suspension de flux de données vers l'étranger, suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes dites "BCR").

    Le plafond des amendes passerait ainsi de 150.000 € (3 millions € dans la loi pour une République numérique) à 10 millions € ou, pour une entreprise, à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, ces plafonds étant doublés en cas de non-respect d'une injonction de l'autorité de contrôle, conformément au RGPD.

    Les députés ont encadré l'article 14, qui permet à l'administration de recourir à des décisions automatisées, afin de l'empêcher de prendre des décisions individuelles sur "le fondement d’algorithmes qu’elle ne maîtrise plus et qu’elle ne sait pas expliquer, comme les algorithmes d’apprentissage profond" (Deep learning).

    Ils ont voté, à la demande de la rapporteure, un article additionnel étendant l'action de groupe au domaine de la protection des données personnelles, afin de réparer les dommages causés par un manquement aux dispositions de la loi informatique et libertés.

    Enfin, ils ont abaissé de 16 à 15 ans l’âge à partir duquel un mineur pourra consentir seul au traitement des données qui le concerne, avec un double consentement du mineur et de ses parents en dessous de cet âge.

    Vincent Granier

    À suivre

    Projet de loi Cnil 2: "Une vraie bonne nouvelle pour les industriels de santé"

    Solutions

    Comment le laboratoire Ipsen transforme la gestion de ses "Master Data"

    PARIS (TICpharma) - Le déploiement d'un outil de gestion des données de référence (Master Data Management -MDM) de l'éditeur Informatica a permis à Ipsen d'"harmoniser" ses données et d'assurer leur traçabilité, a témoigné auprès de TICpharma la Chief Digital Officer (CDO) du laboratoire.

    0 277

    Politique

    Cédric Villani expose les avancées de sa mission sur l'IA aux industriels de santé

    PARIS (TICpharma) - Le mathématicien et député LREM de l'Essonne, Cédric Villani, a présenté le 18 octobre lors des 6es Rencontres de l'association d'industriels G5 santé les principales thématiques qui se dégagent des auditions en cours dans le cadre de la mission sur l'intelligence artificielle (IA) qui lui a été confiée par Matignon.

    0 188

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    2 + 1 =