L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    

    Politique

    La loi sur la protection des données personnelles publiée au Journal officiel

    PARIS (TICpharma) - La loi relative à la protection des données personnelles a été publiée le 21 juin au Journal officiel.

    La loi n°2018-493 du 20 juin, définitivement adoptée le 14 mai à l'issue d'une lecture définitive par l'Assemblée nationale (voir dépêche du 16 mai 2018), a été globalement validée le 12 juin par le Conseil constitutionnel.

    Le texte vise principalement à adapter la législation française au règlement européen 2016/679 sur la protection des données (RGPD), applicable depuis le 25 mai.

    Une grande partie de l'adaptation de la législation française au droit européen est prévue par voie d'ordonnance, afin d'intégrer les principaux apports du RGPD (droit à la portabilité des données personnelles, désignation pour chaque traitement d'un délégué à la protection des données -DPO-, etc.).

    La loi simplifie certaines procédures, abandonnant le système de contrôle a priori pour un contrôle a posteriori tout en maintenant des procédures renforcées pour les données les plus sensibles. Elle consacre de nouvelles modalités de régulation à travers des outils de droit souple (référentiels), tout en renforçant les pouvoirs de la Commission nationale de l'informatique et des libertés (Cnil) et les sanctions encourues.

    Les dispositions énumérant les différentes catégories de données sensibles sont réécrites, afin d'y intégrer les données biométriques et génétiques pour l’ensemble du droit national, y compris pour les traitements ne relevant pas du droit de l’Union européenne (UE).

    Le texte renforce par ailleurs les prérogatives de la Cnil, dont la modernisation des missions est inscrite à l'article 1er du texte. Il en fait une autorité de contrôle au sens du règlement européen, en charge d'accompagner les responsables des systèmes d'information, y compris au moyen d'instruments de droit souple.

    La commission est chargée d'établir et de publier "des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données" avec le RGPD, ainsi que l'évaluation préalable des risques, tout en prenant en compte "la situation des personnes dépourvues de compétences numériques".

    Davantage de régulation via du droit souple

    La Cnil devra encourager "l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants", en tenant compte notamment des "besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises".

    Elle devra homologuer et publier "les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel".

    "En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé", dispose la loi.

    Elle pourra aussi "décider de certifier des personnes, des produits, des systèmes de données ou des procédures" comme conformes au RGPD.

    L'article 7 de la loi renforce les mesures correctrices et les sanctions que la Cnil peut prononcer en cas de manquements du responsable du traitement ou de son sous-traitant, tandis que le plafond des amendes passera de 150.000 € à 10 millions € ou, pour une entreprise, à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, ces plafonds étant doublés en cas de non-respect d'une injonction de l'autorité de contrôle, conformément au RGPD.

    L'article 8 procède à une réécriture des dispositions énumérant les différentes catégories de données sensibles, en y intégrant les données biométriques et génétiques pour l’ensemble du droit national, y compris pour les traitements ne relevant pas du droit de l'UE.

    L'article 11 vise à simplifier certaines procédures, abandonnant le système de contrôle a priori par un contrôle a posteriori. Un décret cadre autorisera l'utilisation du numéro d'inscription au répertoire des personnes physiques (dit "NIR") par catégorie de responsables de traitement et pour des finalités précises.

    Adaptation des dispositions sur les données de santé

    L'article 16 révise entièrement le chapitre IX de la loi informatique et libertés du 6 janvier 1978 consacré aux "traitements de données à caractère personnel dans le domaine de la santé", récemment modifié par la loi "de modernisation de notre système de santé" du 26 janvier 2016.

    Il y intègre la définition qui en est faite par le RGPD ("données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne") et adapte les procédures pour la recherche impliquant des données de santé.

    Les traitements relevant du chapitre IX "ne peuvent être mis en oeuvre qu’en considération de la finalité d’intérêt public qu’ils présentent", conformément au RGPD, ce qui inclut notamment "la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux".

    L'article reprend les cinq domaines exclus de ces dispositions: les traitements portant sur des données sensibles, les traitements ayant pour fin le suivi thérapeutique ou médical individuel des patients, les traitements mis en place par les médecins responsables de département de l'information médicale (DIM), les traitements mis en place par les agences régionales de santé (ARS) et les établissements de santé au titre du programme de médicalisation des systèmes d'information (PMSI), ainsi que les traitements mis en place pour le contrôle des prestations d'assurance maladie obligatoire et complémentaire.

    Les autres traitements de données de santé seront donc soumis à une simple déclaration de conformité à un référentiel ou des règlements-types établis par la Cnil, en concertation avec l'Institut national des données de santé (INDS) et les acteurs concernés.

    Les traitements non conformes ne pourront être mis en oeuvre qu’après autorisation de la Cnil, qui sera réputée acquise faute de réponse dans un délai de deux mois. Auparavant, le silence de la Cnil valait refus.

    La loi adapte les dispositions spécifiques aux traitements aux fins de recherche, d’étude et d’évaluation, prévoyant que l'autorisation est donnée par la Cnil après avis d'un comité de protection des personnes (CPP) ou du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (Cerees) en fonction du caractère de la recherche (implication de la personne humaine ou non).

    L'article 16 institue un comité d’audit du système national des données de santé (SNDS) piloté par le haut fonctionnaire de défense et de sécurité des ministères sociaux.

    Il permet par ailleurs de "sécuriser" le recours controversé à des prestataires extérieurs pour le codage ou l'audit des données du PMSI au sein des établissements de santé.

    L'article 21 encadre le recours aux algorithmes par l'administration afin de l'empêcher de prendre des décisions individuelles sur "le fondement d’algorithmes qu’elle ne maîtrise plus et qu’elle ne sait pas expliquer, comme les algorithmes d’apprentissage profond" (deep learning).

    L'article 25 étend l'action de groupe au domaine de la protection des données personnelles, afin de réparer les dommages causés par un manquement aux dispositions de la loi informatique et libertés.

    La loi abaisse par ailleurs de 16 à 15 ans l’âge à partir duquel un mineur pourra consentir seul au traitement des données qui le concerne, avec un double consentement du mineur et de ses parents en dessous de cet âge.

    (Journal officiel, jeudi 21 juin 2018, textes 1 et 2)

    Vincent Granier

    À suivre

    La Cnil et la DGCCRF dénoncent des pratiques abusives de mise en conformité au RGPD

    Solutions

    Comment le laboratoire Ipsen transforme la gestion de ses "Master Data"

    PARIS (TICpharma) - Le déploiement d'un outil de gestion des données de référence (Master Data Management -MDM) de l'éditeur Informatica a permis à Ipsen d'"harmoniser" ses données et d'assurer leur traçabilité, a témoigné auprès de TICpharma la Chief Digital Officer (CDO) du laboratoire.

    0 266

    Politique

    Cédric Villani expose les avancées de sa mission sur l'IA aux industriels de santé

    PARIS (TICpharma) - Le mathématicien et député LREM de l'Essonne, Cédric Villani, a présenté le 18 octobre lors des 6es Rencontres de l'association d'industriels G5 santé les principales thématiques qui se dégagent des auditions en cours dans le cadre de la mission sur l'intelligence artificielle (IA) qui lui a été confiée par Matignon.

    0 177

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    3 + 3 =