Atelier Paris Healthcare Week 2016 La réforme du cadre juridique de la protection des données personnelles

1. La réforme du cadre juridique
de la protection des données personnelles
L. Maisnier-Boché, Juriste, ASIP Santé
26 MAI 2016

2. L’ASIP Santé, agence nationale au service de la
santé numérique
Son statut juridique
L’Agence des Systèmes d’Information
Partagés de Santé a été créée en 2009, sous la
forme d’un groupement d’intérêt public.
Les membres de l’Assemblée
Générale
 l’Etat,
 l’Assurance Maladie,
 la Caisse Nationale de Solidarité pour
l’autonomie (CNSA).
4 grandes missions
1

3. Réforme de la protection des données personnelles
Cadre juridique de la santé numérique
3
Loi n° 2016-41 du 26 janvier 2016 de
modernisation de notre système de santé
Référentiels de sécurité et d’interopérabilité –
Art. L1110-4-1 CSP
Valeur probante- Art. 204 loi de santé
Cadre de sécurité et fonctionnel
(PGSSI-S, CI-SIS,…)
Projet de loi pour une République numérique
n°3318
Loi n° 2015-1779 du 28 décembre 2015 relative à
la gratuité et aux modalités de la réutilisation
des informations du secteur public
Règlement (UE) 2016/679 du 27 avril 2016
relatif à la protection des personnes physiques
à l'égard du traitement des données à
caractère personnel et à la libre circulation de
ces données, et abrogeant la directive 95/46/CE
Loi n°78-17 du 6 janvier 1978 modifiée relative
à l’informatique, aux fichiers et aux libertés
Outils de labellisation, pack de conformité
Règlement (UE) n°910/2014 du 23 juillet 2014 sur
l’identification électronique et les services de
confiance pour les transactions électroniques
au sein du marché intérieur et abrogeant la
directive 1999/93/CE (eIDAS)
Ordonnance du 10/02/2016 portant réforme du
droit des contrats (code civil)

4. Réforme de la protection des données personnelles
Qu’est ce que le « règlement général sur la protection
des données » ?
Réforme de la protection des données personnelles 4
• Directive 95/46, concerne les traitements de données à caractère personnel
• Transposée en France en 2004 dans la loi Informatique et Libertés
Avant le Règlement
• Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et
Libertés
• Un texte européen, commun à tous les EM et directement applicable en France
(pas de transposition nécessaire)
• Un texte applicable dès le 25 mai 2018
• Un texte qui concerne toutes les entreprises ainsi que le secteur public
Règlement UE 2016/679 du 27 avril 2016

5. Réforme de la protection des données personnelles
Dispositions majeures du Règlement UE
5
Glissement des obligations de vérification de la conformité vers le
responsable de traitement et le sous-traitant
Directive 95/46 / LIL
Déclarations et
autorisations auprès de
la CNIL
CIL facultatif
Registre du CIL
Règlement UE
Responsabilité (« Accountability »)
Registre du Délégué à la Protection
des Données
Délégué obligatoire dans certains cas
Etude d’impact
Protection par défaut (« Privacy by
default »)
Protection dès la conception
(« Privacy by design »)

6. Réforme de la protection des données personnelles
Dispositions majeures du Règlement UE
6
• Renforcement des droits des personnes
• Modification du statut du sous-traitant
• Obligation générale de notification des failles de sécurité
• Renforcement des pouvoirs des autorités de contrôle et des sanctions
Nouveaux droits : droit à
l’oubli, portabilité des
données, limitation
Nouveaux devoirs pour les
RT : transparence,
informations supplémentaires
Requalification
Régime, obligations
et clauses du contrat de ST
Chaine de sous-traitance
Tous les RT
Dans les
meilleurs délais
> 72h
Information des personnes concernées
dans certains cas
Montant graduel des
amendes administratives
Max 20 M ou 4% CA annuel mondial

7. Réforme de la protection des données personnelles
Règlement UE et secteur de la santé : définition
des données de santé
7
Aucune définition légale de la donnée de santé :
• définition de « donnée personnelle » + statut de « donnée sensible » de la donnée de
santé dans la LIL
• droit au respect de la vie privée et à la confidentialité des informations (article L1110-4
du CSP)
Divergences dans les définitions jurisprudentielles :
• approche restrictive du Conseil d’Etat versus approche extensive de la CJUE
Quid des « données de bien être » ?
Avant le Règlement
Définition dans le Règlement UE Protection des données :
• « données à caractère personnel relatives à la santé physique ou mentale d'une
personne physique, y compris la prestation de services de soins de santé, qui révèlent
des informations sur l'état de santé de cette personne. » Art. 4 15 et considérant 35)
• définition des données biométriques et génétiques
Règlement UE

8. Réforme de la protection des données personnelles
Règlement UE et secteur de la santé :
8
Dérogations
- consentement explicite
- exécution des obligations / exercice
des droits en droit du travail et droit de
la protection et sécurité sociale si loi
UE, loi EM ou convention collective
- sauvegarde des intérêts vitaux
- association / org. à but non but lucratif,
- données rendues publiques par la
personne concernée
- constatation, défense ou exercice d’un
droit en justice
- médecine préventive / du travail
- motifs importants d’intérêt public.
- traitements pour motifs d'intérêt
public dans le domaine de la santé
publique
- traitements aux fins de recherche
scientifique, historique ou à des fins
statistiques, ou d'archivage dans
l'intérêt public.
Marge de manœuvre des EM pour
ajouter ou conserver des obligations
supplémentaires.
Principes
données de santé = catégories particulières de données.
les traitements de ces catégories particulières de DCP sont interdits.

9. Des questions ?