L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    Projet de loi Cnil 2: le Sénat donne son feu vert et les acteurs de la santé se préparent

    PARIS (TICpharma) - Alors que les sénateurs ont donné leur feu vert au projet de loi Cnil 2, qui permet notamment la transposition du règlement européen sur la protection des données personnelles (RGPD), le cabinet d’avocats Houdart et associés a organisé la semaine dernière une table ronde consacrée à cette réforme clé pour le secteur de la santé.

    Les sénateurs ont adopté le 22 mars en première lecture le projet de loi relatif à la protection des données personnelles (dit "Cnil 2"), qui réforme les missions de la Commission nationale de l'informatique et des libertés (Cnil) et intègre un volet concernant les données de santé (voir dépêches du 14 février et du 16 février 2018).

    Plusieurs modifications notables ont été apportées au texte, qui avait été avalisé par l'Assemblé nationale le 13 février. Il comporte désormais 39 articles, contre 24 initialement, et sera examiné le 6 avril prochain par une commission mixte paritaire (CMP).

    Le projet de loi, sur lequel le gouvernement a engagé la procédure accélérée, doit notamment permettre la transposition du nouveau règlement européen 2016/679 sur la protection des données (RGPD), qui sera applicable à compter du 25 mai. La navette parlementaire devra donc aboutir avant cette date.

    Alors que la mise en oeuvre du RGPD va modifier de nombreuses pratiques, le cabinet d’avocats spécialisé dans le droit de la santé Houdart et associés a organisé, le 28 mars, une table ronde sur cette réforme et son impact sur les données de santé.

    Animé par Me Benoît Louvet, avocat associé chez Houdart et responsable du pôle santé numérique, le débat réunissait six participants: Thomas Dautieu, directeur adjoint de la conformité à la Cnil; Cyrille Politi, conseiller "transition numérique" de la Fédération hospitalière de France (FHF); Jacques Lucas, vice-président du Conseil national de l’ordre des médecins (Cnom); Valérie Muller, correspondante informatique et libertés (CIL) du groupe Orpea; David Ravanne, juriste au Syndicat national de l'industrie des technologies médicales (Snitem); et Florent Gilard, directeur des opérations Europe de la start-up américaine Arterys, spécialisée dans l’intelligence artificielle (IA).

    "Le RGPD est un événement majeur et alors que jusqu’à présent nous ne faisions que ce qui était autorisé, désormais nous changeons de paradigme et nous entrons dans l’ère de la responsabilisation des acteurs", a déclaré en introduction Me Louvet. 

    Une opinion partagée par Thomas Dautieu, qui a profité de la table ronde pour annoncer la mise en ligne par la Cnil, le même jour, du formulaire rendant désormais obligatoire la désignation d’un data protection officer (DPO, ou délégué à la protection des données) dans toutes les structures publiques comme privées. Un poste clé dans le contrôle des données, notamment les données sensibles de santé, plus strictement encadrées par le règlement européen.

    "Le RGPD n’est pas un big bang mais il vient concrétiser le rôle central du délégué à la protection des données et, concernant le projet de loi, nous sommes optimistes: il sera prêt pour fin mai", a commenté le représentant de la Cnil.

    Pour rappel, le RGPD et le projet de loi Cnil 2 viennent renforcer les prérogatives de la Cnil et en font l'autorité de contrôle en charge d'accompagner les responsables des systèmes d'information, d'établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec la nouvelle réglementation.

    "Nous n’allons pas nous arrêter le 25 mai prochain, nous sommes dans une dynamique de transformation et nous travaillons d’arrache-pied pour savoir quels outils seront édités et à quels délais nous retournerons voir les acteurs, notamment ceux de la santé", a assuré Thomas Dautieu.

    La place centrale du traitement des données

    Garante de l’accompagnement des responsables de traitement des données, notamment ceux traitant de données de santé, la Cnil "prépare des textes sur le profilage, le consentement ou encore les violations de données mais aussi sur le volet juridique", a-t-il précisé. 

    Dans les rangs du Cnom, l’inquiétude plane autour du sort réservé au traitement des données de santé.

    "Il y a aujourd’hui une disruption numérique que le droit 'dur' peine à suivre. Le Cnom pense que les autorités régulatrices doivent fonctionner en conséquence. Le secret est fondamental dans le monde médical et nous devons nous questionner sur l’équilibre entre partage et protection des données", a souligné Jacques Lucas, vice-président de l’instance professionnelle.

    Parmi les nouvelles prérogatives de la Cnil, la loi prévoit justement que l’instance est chargée d'établir et de publier "des règlements types" permettant d’assurer "la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé". Elle pourra prescrire "des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement" de ces données.

    Le 22 mars, les sénateurs ont validé les dispositions du projet de loi Cnil 2 renforçant les pouvoirs de la Cnil et ont aussi réécrit l'article 6, qui détaille les nouvelles mesures correctrices et sanctions encourues en cas de méconnaissance par le responsable de traitement de données ou le sous-traitant de ses obligations.

    Représentant du Snitem, David Ravanne a évoqué "l’enjeu certain du RGPD pour les petites entreprises, qui devront se responsabiliser pour se mettre en conformité".

    Place donc à la pédagogie dans les entreprises, car cette responsabilisation peut être opposée par la Cnil. En effet, en cas de contrôle par l’instance, la nouvelle réglementation indique qu’il incombera désormais aux entreprises de prouver qu’elles font le maximum pour protéger les données personnelles dites sensibles. En cas de manquement, la Cnil dispose d’un droit de sanction.

    Pour rappel, l’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (DPIA), lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cette mesure concerne tous les acteurs, publics comme privés, qui traitent de données de santé.

    "Le DPIA doit être mené avant la mise en œuvre du traitement. Il doit être démarré le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement. Il est également recommandé de revoir un DPIA de manière régulière pour s’assurer que le niveau de risque reste acceptable", précise la Cnil dans une note publiée le 19 février.

    Thomas Dautieu a néanmoins précisé que "pour tous les traitements mis en œuvre légalement avant le 25 mai, il n’y aura pas d'obligation d'analyses d'impact dans les trois ans", ce qui laisse un temps précieux aux entreprises pour se conformer au règlement.

    Création d’un comité d’audit du SNDS

    Le sujet des données était également au cœur des discussions au Sénat. Les sénateurs ont adopté un amendement au projet de loi Cnil 2 afin d'instituer un comité d'audit du système national des données de santé (SNDS) et de l'ensemble des bases qui l'alimentent.

    A l'initiative du gouvernement, ils ont entériné cet amendement à l'article 13, qui réécrit le chapitre de la loi Informatique et libertés consacré aux "traitements de données à caractère personnel dans le domaine de la santé". Ce chapitre avait été modifié par la loi de modernisation de notre système de santé de janvier 2016, en instituant le SNDS, rappelle-t-on.

    Le futur comité d’audit du SNDS associera représentants des services ministériels, de l'assurance maladie, des producteurs de données du SNDS, de l'Institut national des données de santé (INDS), de personnalités qualifiées et d'"une personne représentant les acteurs privés du domaine de la santé". Un décret en Conseil d'Etat précisera la composition et les règles de fonctionnement de l'instance.
     

    L'action de groupe reportée et les objets connectés labellisés Cnil

    Dans le même mouvement, les sénateurs ont limité en commission la portée de l'article introduit à l'Assemblée instituant la possibilité d'une action de groupe en matière d'atteinte aux données personnelles, en différant de 2 ans son entrée en vigueur, au 25 mai 2020.

    Ils ont aussi adopté un amendement précisant une disposition introduite par les députés visant à "garantir la non-utilisation des données personnelles de santé pour fixer les prix des assurances ainsi que l’impossibilité d’utiliser ces mêmes données à des fins de choix thérapeutique ou médical".

    Ainsi, les traitements mis en place pour "la prise en charge des prestations" par les organismes complémentaires d'assurance maladie (Ocam), exclus des dispositions générales applicables aux données de santé, ne devront "en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques", dispose l'amendement.

    Enfin, les parlementaires ont adopté un amendement du groupe Union centriste disposant que la Cnil aura la possibilité de certifier "les objets connectés commercialisés à destination des consommateurs" au regard des exigences posées par le RGPD.

    Les objets connectés, en plein essor notamment dans le domaine de la santé, "sont aujourd’hui insuffisamment sécurisés alors qu’ils recueillent des données personnelles (y compris des données sensibles comme des données de santé) en masse", expliquent les auteurs de l'amendement pour justifier ce dispositif de "labellisation".

    En ouvrant un "droit à la portabilité" des données personnelles, le RGPD rend aux utilisateurs, notamment d’objets connectés, la pleine propriété de leurs données et leur donne le choix de les partager ou non.

    "L’idée du RGPD, c’est de valoriser les données et donc de faire du business mais il y a une nouveauté: cette réglementation peut faire vaciller de grandes plateformes mondiales parce qu’elle donne au citoyen les moyens d’agir", a observé Cyrille Politi, de la FHF.

    Une idée également reprise par Thomas Dautieu, qui a insisté sur le rôle de l’individu, qui doit "s’emparer des droits offerts par le RGPD pour les faire exister".

    La Rédaction
    redaction@ticpharma.com

    À suivre

    L'application de rencontres Grindr épinglée après avoir partagé le "statut VIH" de ses utilisateurs

    Politique

    La Cnil recommande de mieux encadrer les algorithmes et l’intelligence artificielle

    PARIS (TICpharma) - La Commission nationale de l'informatique et des libertés (Cnil) a rendu vendredi 15 décembre un rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle (IA), dans lequel l'institution appelle à un meilleur encadrement du secteur, notamment dans la santé.

    0 396

    Politique

    Apnées du sommeil: le télésuivi de l'observance réintroduit dans les modalités de prise en charge

    PARIS (TICpharma) - Les modalités de prise en charge du syndrome d'apnées/hypopnées obstructives du sommeil (SAHOS) par pression positive continue (PPC) seront actualisées au 1er janvier 2018, selon un arrêté publié samedi 16 décembre, qui prévoit notamment la réintroduction du télésuivi de l'observance thérapeutique.

    0 370

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    6 + 2 =