Dernières actualités : données personnelles

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

CNIL

La CNIL et le CASD publient de nouvelles fiches pratiques pour les circuits d’appariement avec le SNDS

La CNIL publie un ensemble de fiches pratiques, produites en collaboration avec le Centre d’accès sécurisé aux données (CASD), qui présentent des exemples de circuits d’appariement de données avec le SNDS. Elles complètent ainsi le guide pratique de la CNIL publié en décembre 2020. La CNIL encadre depuis de nombreuses années les appariements de données de santé avec le Système national des données de santé (SNDS), dans le cadre de demandes d’autorisations lorsque l’appariement nécessite le traitement du numéro d’inscription au répertoire ou NIR. Cependant, elle constate régulièrement plusieurs écueils dans les demandes d’autorisation de la part d’organismes publics ou privés qui réalisent des recherches dans le domaine de la santé. Afin d’accompagner les professionnels concernés, la CNIL a ainsi publié en 2020 un guide pratique présentant les circuits les plus classiques, conformes aux obligations légales et à sa position.

En complément à ce guide, la CNIL publie de nouvelles fiches pratiques qui présentent :
* des schémas détaillés, étape par étape, dans le même formalisme que ceux du guide de 2020 ;
* des schémas montrant les différentes « tables de données », produits par le CASD.

Disponible sur: CNIL.fr

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

CNIL

Essais cliniques décentralisés : lancement d’une phase pilote par la DGS, la DGOS, l’ANSM et la CNIL

Afin d’accompagner les promoteurs dans la conception de leurs projets de recherches cliniques décentralisés, la DGS, la DGOS, l’ANSM et la CNIL mettent en place une phase pilote, de janvier à septembre 2024. Dans ce cadre, 20 projets seront sélectionnés et bénéficieront d’un soutien ciblé. L’objectif est d’apporter des réponses concrètes aux difficultés rencontrées dès la phase de conception de leur recherche, comportant un ou des éléments décentralisés. Les promoteurs pourront ainsi obtenir des réponses aux questions précises qu’ils se posent pour un projet de recherche donné, avant de soumettre leur projet finalisé pour avis et/ou autorisation du comité de protection des personnes (CPP), de l’ANSM et en amont de la réalisation d’une formalité auprès de la CNIL. Les réponses apportées ne préjugeront en rien des décisions rendues par ces instances lors de leur saisine respective.

La CNIL précise néanmoins que ces questions ne pourront concerner qu’un projet de recherche :

  • national ou international n’impliquant pas une première administration à l’homme.
  • concernant un médicament, un dispositif médical ou un dispositif médical de diagnostic in vitro (essais cliniques, études de performance, investigations cliniques) ;
  • en cours de conception (donc avant la soumission du projet de recherche sur le SIRIPH2G ou sur le CTIS) ou en cours de mise en œuvre (moyennant le dépôt d’une demande de modification substantielle auprès des autorités compétentes).

Disponible sur: CNIL.fr

CNIL

Participez à la concertation sur les référentiels santé et faites connaître vos priorités

La CNIL souhaite faire évoluer les référentiels « santé » en concertation avec les acteurs concernés. Elle lance ainsi une consultation, ouverte jusqu’au 12 juillet 2024, pour recueillir votre avis et construire collectivement les référentiels de demain. Pour répondre à vos questions, un webinaire sera également organisé le 21 mai.

Disponible sur: CNIL.fr

CNIL

Parasport : la collecte des données concernant la situation de handicap du sportif

Les acteurs de l’écosystème du sport sont amenés, dans certaines circonstances, à traiter des données personnelles indiquant qu’un sportif est en situation de handicap, notamment afin d’adapter la pratique sportive des personnes concernées. Ces données font l’objet d’une protection renforcée. En effet, d’après l’article L. 114 du code de l’action sociale et des familles, constitue un handicap « toute limitation d’activité ou restriction de participation à la vie en société subie dans son environnement par une personne en raison d’une altération substantielle, durable ou définitive d’une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d’un polyhandicap ou d’un trouble de santé invalidant ». Or, les données concernant la santé (relative à la santé physique ou mentale passée, présente ou future, actuelle ou potentielle, d’une personne) sont des données sensibles, au même titre que les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, etc. (art. 9.1 du RGPD).

Disponible sur: CNIL.fr

CNIL

Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation

À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (Ehpad), la CNIL a été saisie de plusieurs demandes de conseil concernant l’installation de dispositifs de vidéosurveillance dans les chambres des résidents de ces établissements. Afin de répondre à ces préoccupations, la CNIL a ainsi soumis un projet de recommandation à une consultation publique en 2023. Les nombreuses contributions reçues lui ont permis de mieux comprendre les préoccupations du public et les besoins du secteur, et d’enrichir sa recommandation définitive. Cette recommandation rappelle notamment que les Ehpad ne sont pas censés installer des dispositifs de vidéosurveillance dans les chambres des résidents, sauf circonstances exceptionnelles.

Disponible sur: CNIL.fr

CNIL

Prenez date – mise à jour des référentiels « santé » : la CNIL vous consultera à partir du 16 mai afin d’identifier vos priorités !

La CNIL souhaite faire évoluer ses référentiels santé en concertation avec les acteurs impliqués dans la recherche et les traitements de données de santé. Elle publiera ainsi un questionnaire le 16 mai et organisera un webinaire le 21 mai 2024.

Disponible sur: CNIL.fr

HAAS Avocats

Un accès au dossier patient informatisé surveillé par la CNIL !

Un accès au dossier patient informatisé surveillé par la CNIL !

Par Haas Avocats

Plusieurs établissements de santé ont été mis en demeure par la CNIL de mettre en place les mesures nécessaires pour garantir la sécurité du dossier patient informatisé (DPI), soulignant, en adéquation avec le principe de minimisation[1], que les données des patients ne doivent être accessibles qu’aux personnes justifiant le besoin d’en avoir connaissance.

Disponible sur: haas-avocats.com

HAAS Avocats

RGPD : Deux opérateurs de tiers payant sanctionnés par la CNIL

RGPD : Deux opérateurs de tiers payant sanctionnés par la CNIL

Par Haas Avocats

Fin janvier, deux opérateurs, Viamedis et Almerys, assurant la gestion du tiers payant pour des nombreuses complémentaires santé et mutuelles ont subi une violation de données.

Disponible sur: haas-avocats.com

Retour en haut