Le fonctionnement du Health Data Hub validé par le Conseil d’État

Le 19 juin 2020, le Conseil d’État, saisi en référé, a jugé que l’arrêté autorisant la Plateforme des données de Santé à recevoir des données relatives à la santé des personnes concernées pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire ne porte pas d’atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles. Néanmoins, le Health Data Hub devra fournir à la CNIL tous éléments relatifs aux procédés de pseudonymisation utilisés.

Pour lire la décision du Conseil d’État

Deux traitements de données personnelles autorisés pour identifier et suivre les personnes infectées

Le décret n°2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire a été publié. Il autorise les traitements "Contact Covid" et "SI-DEP" permettant d’identifier les chaînes de contamination au Covid-19 et d’assurer le suivi des personnes infectées. Saisie pour avis, la CNIL avait jugé le projet de décret conforme au RGPD sous réserve du respect de certaines garanties de protection de la vie privée et d’une réévaluation régulière du dispositif.

Pour lire le décret sur Légifrance et l’avis de la CNIL

La température corporelle des employés constitue une donnée sensible de santé

Le 7 mai 2020, la CNIL a indiqué que les employeurs ne peuvent traiter que les données strictement nécessaires à la mise en place de mesures organisationnelles. Les employeurs ne peuvent pas utiliser des caméras thermiques ni constituer des fichiers relatifs à la température corporelle de leurs employés. Ils peuvent toutefois prendre ces températures au moyen d’un thermomètre manuel sans aucune conservation ou traitement du résultat obtenu. Les tests de dépistage sont soumis quant à eux au secret médical.

 Pour lire l'article de la CNIL

Le Health Data Hub autorisé à collecter davantage de données de santé pour lutter contre le Covid-19

L’arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire établit les catégories de données personnelles que le Health Data Hub et la Caisse nationale de l’assurance maladie sont autorisés à se faire transmettre. Il s’agit notamment des données de pharmacie, de certains résultats d’examens biologiques, des diagnostics ou des données déclaratives de symptômes.

Pour lire l’arrêté sur Légifrance

Publication de lignes directrices sur la recherche scientifique et le traçage de proximité

Le 21 avril 2020, le Comité Européen de la Protection des Données a adopté des lignes directrices sur le traitement de données de santé dans le cadre de la recherche scientifique sur l’épidémie de Covid-19 et sur l’utilisation des données de géolocalisation et de suivi des contacts. Les premières abordent "la base légale du traitement, la mise en œuvre de garanties adéquates (…) et l’exercice des droits des personnes concernées", et les secondes clarifient "les conditions d’une utilisation proportionnée des données de géolocalisation".

Pour lire les lignes directrices du CEPD (en anglais)

Un décret autorise un projet d’algorithme visant à évaluer l’indemnisation des préjudices corporels

Le décret n°2020-356 portant création d'un traitement automatisé de données à caractère personnel dénommé "DataJust" est entré en vigueur le 30 mars 2020. Il autorise le développement d’un algorithme ayant pour finalité d’évaluer les politiques publiques en matière de responsabilité civile ou administrative, d’élaborer un référentiel indicatif d’indemnisation des préjudices corporels et d’informer les parties et les juges sur l’évaluation du montant des indemnisations en matière de préjudices corporels.

Pour lire le décret sur Légifrance

Publication de l’arrêté portant création de la Plateforme des données de santé

Par un arrêté du 29 novembre 2019, la "Plateforme des données de santé" a été créée. Il s’agit d’un nouveau groupement d’intérêt public chargé de mettre à disposition les données du système national de données de santé et favoriser leur exploitation. L’arrêté définit les attributions du groupement et ses règles de fonctionnement.

  Pour lire l’arrêté sur Légifrance

Des députés déposent une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances

Le 23 janvier 2019, a été déposée à l’Assemblée nationale une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances. Cette proposition de loi interdit la segmentation au profit d’un assuré qui accepterait d’acquérir ou d’utiliser un capteur de santé ou de partager les données collectées au moyen de ce capteur. Elle interdit en outre “le traitement de données à caractère personnel récoltées par un capteur de santé, relatives au mode de vie ou à l’état de santé du preneur d’un produit répondant aux définitions contenues dans le code des assurances ou du code de la mutualité” .

Pour lire la proposition de loi sur le site de l’Assemblée nationale

Réglementation des activités des pharmaciens en ligne

Le 1er février 2017 sont entrés en vigueur deux arrêtés du 28 novembre 2016 relatifs aux bonnes pratiques de dispensation des médicaments par les pharmaciens et aux règles techniques applicables aux sites de commerce électronique de médicaments. Ils encadrent notamment la présentation des produits vendus en ligne et la protection des données de santé des internautes. Tout pharmacien qui souhaite proposer la vente de médicaments via un site internet doit notamment communiquer de manière effective avec l’internaute avant validation de la commande, une réponse automatisée n’étant pas suffisante. Par ailleurs, sont interdits les liens hypertextes vers les entreprises pharmaceutiques, et le pharmacien ne peut pas conclure de contrat avec un moteur de recherche ou un site comparateur de prix afin d’améliorer son référencement contre rémunération. Enfin, la collecte des données de santé étant indispensable pour la vérification de l’adéquation des commandes des internautes, les pharmaciens doivent veiller à tous les stades des échanges au respect des dispositions de la Loi Informatique et Libertés relatives à ces données.

Pour lire l’arrêté relatif aux bonnes pratiques et l’arrêté relatif à la vente en ligne de médicaments

Nouvelle procédure de certification des hébergeurs de données de santé

L’article 1er de l’ordonnance du 12 janvier 2017, relative à l’hébergement de données de santé à caractère personnel, a modifié l’article L. 1111-8 du Code de la santé publique. Désormais, les hébergeurs de données de santé sur support électronique devront être titulaires d’un certificat de conformité dont un décret en Conseil d’Etat fixera les conditions de délivrance. Par ailleurs, le nouvel article reprend les obligations auxquelles les hébergeurs sont soumis, telles que l’interdiction de cession à titre onéreux des données de santé, l’interdiction d’utilisation de celles-ci à des fins autres que la mission d’hébergement et la soumission de ces hébergeurs au secret professionnel. L’ordonnance entrera en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019. Les agréments obtenus avant cette date continueront de produire leurs effets jusqu’à leur terme, et les hébergeurs dont les agréments arriveront à terme dans les douze mois suivant l’entrée en vigueur du nouvel article disposeront d’un délai minimum – qui sera fixé par décret – pour se mettre en conformité.

Pour lire l’ordonnance sur Légifrance