La réforme du cadre juridique de la protection des données personnelles L. Maisnier-Boché, Juriste, ASIP Santé

26 MAI 2016

L’ASIP Santé, agence nationale au service de la santé numérique

Son statut juridique

L’Agence des Systèmes d’Information

Partagés de Santé a été créée en 2009, sous la

forme d’un groupement d’intérêt public.

Les membres de l’Assemblée

Générale

l’Etat,

l’Assurance Maladie,

la Caisse Nationale de Solidarité pour

l’autonomie (CNSA).

4 grandes missions

1

Réforme de la protection des données personnelles

Cadre juridique de la santé numérique

3

Loi n° 2016-41 du 26 janvier 2016 de

modernisation de notre système de santé

Référentiels de sécurité et d’interopérabilité –

Art. L1110-4-1 CSP

Valeur probante- Art. 204 loi de santé

Cadre de sécurité et fonctionnel

(PGSSI-S, CI-SIS,…)

Projet de loi pour une République numérique

n°3318

Loi n° 2015-1779 du 28 décembre 2015 relative à

la gratuité et aux modalités de la réutilisation

des informations du secteur public

Règlement (UE) 2016/679 du 27 avril 2016

relatif à la protection des personnes physiques

à l'égard du traitement des données à

caractère personnel et à la libre circulation de

ces données, et abrogeant la directive 95/46/CE

Loi n°78-17 du 6 janvier 1978 modifiée relative

à l’informatique, aux fichiers et aux libertés

Outils de labellisation, pack de conformité

Règlement (UE) n°910/2014 du 23 juillet 2014 sur

l’identification électronique et les services de

confiance pour les transactions électroniques

au sein du marché intérieur et abrogeant la

directive 1999/93/CE (eIDAS)

Ordonnance du 10/02/2016 portant réforme du

droit des contrats (code civil)

Réforme de la protection des données personnelles

Qu’est ce que le « règlement général sur la protection des données » ?

Réforme de la protection des données personnelles 4

• Directive 95/46, concerne les traitements de données à caractère personnel

• Transposée en France en 2004 dans la loi Informatique et Libertés

Avant le Règlement

• Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et

Libertés

• Un texte européen, commun à tous les EM et directement applicable en France

(pas de transposition nécessaire)

• Un texte applicable dès le 25 mai 2018

• Un texte qui concerne toutes les entreprises ainsi que le secteur public

Règlement UE 2016/679 du 27 avril 2016

Réforme de la protection des données personnelles

Dispositions majeures du Règlement UE

5

Glissement des obligations de vérification de la conformité vers le

responsable de traitement et le sous-traitant

Directive 95/46 / LIL

Déclarations et

autorisations auprès de

la CNIL

CIL facultatif

Registre du CIL

Règlement UE

Responsabilité (« Accountability »)

Registre du Délégué à la Protection

des Données

Délégué obligatoire dans certains cas

Etude d’impact

Protection par défaut (« Privacy by

default »)

Protection dès la conception

(« Privacy by design »)

Réforme de la protection des données personnelles

Dispositions majeures du Règlement UE

6

• Renforcement des droits des personnes

• Modification du statut du sous-traitant

• Obligation générale de notification des failles de sécurité

• Renforcement des pouvoirs des autorités de contrôle et des sanctions

Nouveaux droits : droit à

l’oubli, portabilité des

données, limitation

Nouveaux devoirs pour les

RT : transparence,

informations supplémentaires

Requalification Régime, obligations

et clauses du contrat de ST Chaine de sous-traitance

Tous les RT

Dans les

meilleurs délais

> 72h

Information des personnes concernées

dans certains cas

Montant graduel des

amendes administratives Max 20 M ou 4% CA annuel mondial

Réforme de la protection des données personnelles

Règlement UE et secteur de la santé : définition des données de santé

7

Aucune définition légale de la donnée de santé :

• définition de « donnée personnelle » + statut de « donnée sensible » de la donnée de

santé dans la LIL

• droit au respect de la vie privée et à la confidentialité des informations (article L1110-4

du CSP)

Divergences dans les définitions jurisprudentielles :

• approche restrictive du Conseil d’Etat versus approche extensive de la CJUE

Quid des « données de bien être » ?

Avant le Règlement

Définition dans le Règlement UE Protection des données :

• « données à caractère personnel relatives à la santé physique ou mentale d'une

personne physique, y compris la prestation de services de soins de santé, qui révèlent

des informations sur l'état de santé de cette personne. » Art. 4 15 et considérant 35)

• définition des données biométriques et génétiques

Règlement UE

Réforme de la protection des données personnelles

Règlement UE et secteur de la santé :

8

Dérogations

- consentement explicite

- exécution des obligations / exercice

des droits en droit du travail et droit de

la protection et sécurité sociale si loi

UE, loi EM ou convention collective

- sauvegarde des intérêts vitaux

- association / org. à but non but lucratif,

- données rendues publiques par la

personne concernée

- constatation, défense ou exercice d’un

droit en justice

- médecine préventive / du travail

- motifs importants d’intérêt public.

- traitements pour motifs d'intérêt

public dans le domaine de la santé

publique

- traitements aux fins de recherche

scientifique, historique ou à des fins

statistiques, ou d'archivage dans

l'intérêt public.

Marge de manœuvre des EM pour

ajouter ou conserver des obligations

supplémentaires.

Principes

données de santé = catégories particulières de données.

les traitements de ces catégories particulières de DCP sont interdits.

Des questions ?