Le 22 février dernier, la CNIL a remis sur la table le sujet de l’« e-carte Vitale » qui reste bien en évidence sous sa surveillance. Lancée depuis 2019 en tant qu’expérimentation dans 4 départements, le dispositif sera officiellement proposé à tous les assurés sociaux à la fin 2025.
Dans cette perspective, l’expérimentation s’élargie territorialement et se met en place sur toute la France depuis le 1er janvier 2023.
Pour résumer, l’« e-carte Vitale », version dématérialisée du support physique, reste un dispositif facultatif.
Ce dispositif disponible comme application a pour objectif de simplifier l’accès et les droits des personnes concernées en ayant une meilleure gestion de leurs données, documents, remboursements et dépenses de santé. Cet accès permettra également de se connecter à d’autres plateformes d’institutions comme le permet FranceConnect mais cette fois dans le secteur de la santé.
Cette e-carte vitale contiendra des données importantes telles que : remboursements des soins, prises en charge en cas d’hospitalisation, identifications de l’assuré et ses ayants droit (nom, prénom, n° de sécurité sociale, adresse postale, adresse mail).
Le texte encadrant cette expérimentation a fait l’objet de plusieurs avis de la CNIL et globalement la Commission attire l’attention notamment sur les points suivants :
Le projet de déploiement est donc très bien engagé mais reste sous la surveillance de la CNIL qui le rappelle fortement par ce communiqué.
Consultez ici le communiqué de la CNIL : Carte Vitale électronique : quelles conséquences pour les personnes ?
Le 31 janvier, la CNIL a publié un communiqué de presse faisant état de son bilan de l’année 2022. Elle précise à cette occasion que les tendances de 2021 se sont confirmées en 2022.
Pour résumer en quelques chiffres :
-> 21 sanctions prononcées dont 13 rendues publiques
-> manquements fréquents : défaut d’information, non-respect des droits des personnes, défaut de coopération avec la CNIL
-> un tiers des décisions sanctionnent un défaut de sécurisation des données
-> 4 sanctions concernent une mauvaise gestion des cookies
-> 3 sanctions concernent la prospection commerciale
La CNIL met aussi en exergue sa coopération avec ses homologues européens dans plusieurs affaires, notamment l’affaire META
Au cours de l’année 2022, la CNIL a également envoyé de nombreuses mises en demeures (147) pour différents sujets de mise en conformité dont notamment
->obligation de désigner un DPO,
-> prospection commerciale,
-> transmission de données à des partenaires commerciaux,
-> transfert de données vers les Etats-Unis,
-> sécurisation des données,
-> … etc.
Consultez ici le communiqué de la CNIL : la CNIL présente le bilan 2022 de son action répressive
Le 15 décembre 2022, la Cour d’appel de Nîmes a rendu une décision concernant un contrat d’abonnement à un logiciel de télétransmission de feuilles de soins aux caisses et mutuelles dont l’éditeur ne bénéficiait pas de la certification HDS.
En l’espèce, une infirmière libérale ayant souscrit à cet abonnement a constaté que son éditeur ne bénéficiait pas de la certification HDS. En effet, ce dernier sous-traite, depuis plusieurs années, l’hébergement des données à OVH qui n’a reçu que très récemment l’agrément à l’hébergement de données de santé.
L’éditeur du logiciel de télétransmission fonde sa défense sur le fait qu’il n’héberge pas les données de santé mais qu’il les achemine vers une société tierce.
Or, et comme le rappelle la Cour d’appel, d’une part, un éditeur d’un logiciel de télétransmission doit être agréé s’il héberge des données de santé. S’il sous-traite cet hébergement, son sous-traitant doit être lui-même agréé. D’autre part, la Cour déduit que la télétransmission de données de santé est indissociable de leur hébergement sur un support physique de stockage de données.
Par conséquent, l’éditeur devait être en mesure de fournir un hébergement conforme aux règles de protection des données de santé à caractère personnel. Ainsi, la Cour d’appel décide que le contrat est illicite et prononce sa nullité.
Cette décision ayant pour effet d’obliger l’éditeur à rembourser à l’utilisateur l’intégralité des redevances qu’il a perçues, nous ne saurons que trop recommander aux OCAM et à leurs différents sous-traitants (concentrateurs TP, sociétés de Cloud, gestionnaires délégués, …) de vérifier la qualification HDS des plateformes de stockage auxquelles ils ont recours.
En effet, cette décision interroge sur les possibilités de remise en cause des différentes conventions qui peuvent être conclues à l’occasion d’une opération d’assurance santé y compris les contrats d’assurance eux-mêmes.
Consultez ici l’intégralité de la décision : CA Nîmes, 15 décembre 2022, n°21/01215
Par un communiqué du 24 janvier dernier, l’ANSSI a publié son panorama sur les grandes tendances de la menace cyber pendant l’année 2022. Nous pourrons y constater notamment :
-> la poursuite de la convergence des outils et technique des différents profils d’attaquant ainsi que l’évolution de leur ciblage, notamment le ciblage des équipements périphériques ;
-> la propagation de la menace par rançongiciel, notamment contre les TPE, PME (40 % ), les collectivité territoriales (23 %) et les établissements publics de santé (10 %) ;
-> l’augmentation des attaques par sabotage informatique en lien avec l’invasion russe de l’Ukraine;
-> le maintien de différentes faiblesses dans la sécurisation des données, notamment en cas d’externalisation des services auprès des entreprises de services numériques, laquelle n’est pas accompagnée par des clauses de cyber sécurité adaptées. Ce qui augmente l’opportunité de menaces informatiques ;
-> le rappel aux organismes publics et privés de prendre le risque cyber au juste niveau et d’adopter les bonnes mesures pour se protéger contre ce risque. Il s’agit notamment de la mise à jour du guide d’hygiène informatique, de la sensibilisation du personnel sur ce risque et du développement de capacités de détection et de traitement d’incident permettant de se prémunir des menaces les plus courantes.
Consultez ici l’intégralité du document : ANSSI : Panorama de la Cybermenace 2022
Saisie par la Cour fédérale de la justice allemande, la CJUE a rendu, le 8 décembre dernier, une décision contre Google concernant le droit à la protection des données personnelles, plus particulièrement sur le droit à l’oubli.
L’affaire concerne le recours fait par deux dirigeants d’une société contre Google afin de :
Ces demandes avaient été refusées par Google, laquelle prétend son ignorance du caractère exact ou inexact des informations référencées d’une part, et le contexte professionnel dans lequel ces informations sont inscrites d’autre part.
C’est ainsi que la Cour fédérale allemande, saisie du litige, a demandé à la CJUE d’interpréter les dispositions du RGPD relatives au droit à l’oubli et celles de la directive sur la protection des données personnelles des personnes physiques à la lumière de la charte des Droit fondamentaux de l’Union Européenne.
Ainsi, la CJUE va tout d’abord rappeler que le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux comme le droit à la liberté d’expression et ce, conformément au principe de proportionnalité.
Cependant, cette liberté d’expression ne peut pas être prise en compte lorsque les informations référencées sont inexactes.
La Cour redéfinit ensuite les obligations des demandeurs de déréférencement pour inexactitude d’informations d’une part, et celles du moteur de recherche d’autre part. Le requérant devra ainsi :
Le moteur de recherche, quant à lui, est dans l’obligation de faire droit à la demande de déréférencement, lorsque le requérant fourni des « éléments de preuve pertinents et suffisants, aptes à étayer sa demande et établissant le caractère manifestement inexact des informations ».
Néanmoins, la Cour précise que le moteur de recherche n’a pas à jouer un rôle actif dans la recherche des éléments de preuve de l’inexactitude et qu’il doit se fonder sur l’ensemble des droits, des intérêts en présence et des circonstances du cas d’espèces pour prendre sa décision au regard de la demande de déréférencement.
Consultez ici le communiqué de la CJUE : Droit à l’effacement (« droit à l’oubli ») : l’exploitant du moteur de recherche doit déréférencer des informations figurant dans le contenu référencé lorsque le demandeur prouve qu’elles sont manifestement inexactes ; ARRÊT DE LA COUR (grande chambre)-8 décembre 2022
Le 14 novembre dernier, le CEPD a adopté une mise à jour de ses recommandations relatives aux règles d’entreprises contraignantes « responsable de traitement ou BCR-C ; en ce mois de décembre la CNIL se saisi du sujet et revient sur ce référentiel actualisé.
Pour mémoire, les BCR (outils issus du RGPD) sont des règles applicables aux entités d’un même groupe qui ne situeraient pas toutes dans l’Union Européenne et qui se transfèrent entre elles des données personnelles. Ainsi, ces BCR permettent de garantir un niveau de protection des données personnelles dans toutes les entités du groupe même en dehors de l’Union Européenne.
La CNIL rappelle dans son communiqué que les BCR créent des droits pour les personnes concernées en tant que tiers bénéficiaires et engagent les entités du groupe à garantir un niveau de protection équivalent à celui imposé par le RGPD.
L’actualisation réalisée en cette fin d’année concerne plus particulièrement le référentiel d’approbation des BCR « responsable de traitement » et le formulaire d’instruction présenté aux autorités de protection.
Les mises à jour adoptées concernant notamment :
Le CEPD est également en train de revoir les BCR « sous-traitant » qui seront sans doute bientôt adoptées.
Consultez ici le communiqué de la CNIL : Le CEPD met à jour le référentiel BCR « responsable de traitement »
