Rechercher
Se connecter
Adhérer
Actualités de l'Urgence - APM
Retour
LA CNIL A TRAITÉ 453 DOSSIERS D'AUTORISATION EN SANTÉ EN 2022 (RAPPORT)
"La publication de son rapport d'activité permet à la Cnil de rendre compte de ses actions au regard de ses quatre grandes missions: informer et protéger le grand public, accompagner et conseiller les professionnels et les pouvoirs publics, anticiper et innover pour construire le numérique de demain, et enfin contrôler et sanctionner les manquements au règlement général sur la protection des données et à la loi", rappelle le régulateur.
"Les données de santé sont des données personnelles particulières car considérées comme sensibles. Elles font à ce titre l'objet d'une protection particulière par les textes (règlement européen relatif à la protection des données, loi 'informatique et libertés', code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes", insiste la commission en introduction du chapitre relatif à la santé dans son rapport.
Si 453 demandes d'autorisation en santé ont été traitées en 2022, la Cnil a relevé 455 demandes d'autorisation en recherche et santé et de façon générale, le secteur a mobilisé le régulateur qui a rapporté 8% de requêtes traitées spécifiques à la santé.
Sa plus grosse sanction dans le secteur a été adressée à Dedalus Biologie en avril 2022, rappelle-t-on (cf dépêche du 21/04/2022 à 15:14). La formation restreinte de la Cnil a infligé à cette société une amende de 1,5 million d'euros, notamment "pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500.000 personnes" en février 2021.
En 2022, la Cnil a reçu 120 plaintes dans lesquelles les usagers n'obtenaient pas l'accès à leur dossier médical, pointant le problème récurrent de la portabilité des données de santé, pourtant inscrit parmi les chantiers du Ségur du numérique en santé (cf dépêche du 11/10/2021 à 11:15).
Pour rappel, le dossier de spécifications de référencement (DSR) concernant la médecine de ville précise que l'éditeur doit s'engager à ce que le logiciel référencé dans le cadre du Ségur du numérique en santé permette la mise à disposition de l'historique des données de santé relevant du périmètre des logiciels de gestion de cabinet.
En outre, la Cnil a précisé fin 2022 les conditions encadrant la collecte de données de santé par les organismes d'assurance maladie complémentaire (Ocam) et a appelé à renforcer l'encadrement du secret médical via "l'adoption d'une loi", rappelle-t-on (cf dépêche du 15/11/2022 à 11:02). Cette "clarification" est survenue "à la suite de la réception de centaines de plaintes de personnes contestant les demandes de transmission de données de santé effectuées par les complémentaires", a précisé l'instance dans son rapport.
Dans un autre registre, la Cnil a rejeté en 2022 la demande du Point d'accéder à la base de données du programme de médicalisation des systèmes d'information (PMSI), rappelle-t-on (cf dépêche du 10/11/2022 à 17:38). Cet accès permettait à l'hebdomadaire d'établir chaque année un classement des hôpitaux et des cliniques. Dans une publication de novembre 2022, la commission a jugé nécessaire que le journal "précise et améliore la méthodologie de son classement".
Un important volet "référentiels"
En 2022, la Cnil a également planché sur ses référentiels en santé.
Elle a adopté deux nouveaux référentiels permettant aux laboratoires pharmaceutiques de mettre en oeuvre les traitements de données personnelles nécessaires pour permettre l'accès des patients à certains médicaments, dans le cadre des autorisations d'accès précoce ou compassionnel (cf dépêche du 10/11/2022 à 12:10). "Ces référentiels permettent aux laboratoires de mettre en oeuvre les traitements de données sans autorisation spécifique préalable de la Cnil, sous réserve de respecter en tout point le cadre prévu."
Les projets de mises à jour des méthodologies de référence MR-005 et MR-006 portant sur les traitements de données du programme de médicalisation des systèmes d'information (PMSI) et des résumés des passages aux urgences ont été soumis à consultation publique courant 2022. Il est ainsi prévu un toilettage des MR-005/006 existantes, afin d'apporter les ajustements nécessaires à la suite de l'évolution du cadre réglementaire et de la doctrine de la Cnil et la création des MR-007/008, qui porteront sur l'accès aux données de la base principale du système national des données de santé (SNDS), par les organismes publics et privés.
Pour accompagner les pharmaciens titulaires d'officine dans la conformité au RGPD, la Cnil a publié en juillet 2022 un référentiel expliquant comment appliquer les principes de la protection des données aux traitements couramment mis en oeuvre par les pharmaciens (cf dépêche du 12/07/2022 à 11:03). Il a été adopté à la suite d'une consultation publique (cf dépêche du 25/10/2021 à 17:47).
Enfin, après l'adoption du référentiel sur les entrepôts de données de santé en 2021 (cf dépêche du 25/10/2021 à 16:33), la Cnil a présenté en septembre 2022 une "check-list" pour que les responsables de traitement puissent vérifier leur conformité à celui-ci. "Cet outil aide à se poser les questions pertinentes pour la constitution de l'entrepôt. Une fois complétée et si le projet n'est pas conforme en tout point au référentiel, [la liste] peut être jointe à un dossier de demande d'autorisation."
En 2022, "10 entrepôts innovants et justifiés par l'intérêt public" ont été autorisés, apprend-on dans le rapport.
Focus sur l'Espace européen des données de santé
Autre "temps fort de 2022", l'adoption le 12 juillet d'un avis sur le projet de règlement instaurant l'Espace européen des données de santé (EEDS), établi par la Commission de Bruxelles.
La Cnil et ses homologues du Comité européen de la protection des données (CEPD) ont notamment invité à prévoir la localisation des données de santé sur le territoire de l'Union européenne, à clarifier les interactions entre ce texte et le RGPD et à retenir la compétence exclusive des autorités de protection de données dans le traitement de toute question relative à la protection des données personnelles (cf dépêche du 10/02/2023 à 17:27).
Dévoilé en mai 2022, l'EEDS vise à proposer un nouveau cadre de gouvernance pour les données de santé et prévoit notamment une distinction entre l'utilisation "primaire des données" par les patients et les professionnels de santé, et l'utilisation "secondaire" à des fins de recherche, d'innovation et d'élaboration de politiques et de réglementation, rappelle-t-on (cf dépêche du 03/05/2022 à 19:19).
Rapport annuel 2022 de la Cnil
wz/nc/APMnews
Informations professionnelles
- AFMU
- Agenda
- Annonces de postes
- Annuaire de l'urgence
- Audits
- Calculateurs
- Cas cliniques
- Cochrane PEC
- Consensus
- Consensus SFMU
- COVID-19
- DynaMed
- E-learning
- Géodes
- Grand public
- Librairie
- Médecine factuelle
- Outils professionnels
- Portail de l'urgence
- Recherche avancée
- Référentiels SFMU
- Textes réglementaires
- UrgencesDPC
- Webinaire
- Weblettre
Adhérer à la SFMU
Alerte sanitaire
Inscription newsletter Retour
LA CNIL A TRAITÉ 453 DOSSIERS D'AUTORISATION EN SANTÉ EN 2022 (RAPPORT)
"La publication de son rapport d'activité permet à la Cnil de rendre compte de ses actions au regard de ses quatre grandes missions: informer et protéger le grand public, accompagner et conseiller les professionnels et les pouvoirs publics, anticiper et innover pour construire le numérique de demain, et enfin contrôler et sanctionner les manquements au règlement général sur la protection des données et à la loi", rappelle le régulateur.
"Les données de santé sont des données personnelles particulières car considérées comme sensibles. Elles font à ce titre l'objet d'une protection particulière par les textes (règlement européen relatif à la protection des données, loi 'informatique et libertés', code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes", insiste la commission en introduction du chapitre relatif à la santé dans son rapport.
Si 453 demandes d'autorisation en santé ont été traitées en 2022, la Cnil a relevé 455 demandes d'autorisation en recherche et santé et de façon générale, le secteur a mobilisé le régulateur qui a rapporté 8% de requêtes traitées spécifiques à la santé.
Sa plus grosse sanction dans le secteur a été adressée à Dedalus Biologie en avril 2022, rappelle-t-on (cf dépêche du 21/04/2022 à 15:14). La formation restreinte de la Cnil a infligé à cette société une amende de 1,5 million d'euros, notamment "pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500.000 personnes" en février 2021.
En 2022, la Cnil a reçu 120 plaintes dans lesquelles les usagers n'obtenaient pas l'accès à leur dossier médical, pointant le problème récurrent de la portabilité des données de santé, pourtant inscrit parmi les chantiers du Ségur du numérique en santé (cf dépêche du 11/10/2021 à 11:15).
Pour rappel, le dossier de spécifications de référencement (DSR) concernant la médecine de ville précise que l'éditeur doit s'engager à ce que le logiciel référencé dans le cadre du Ségur du numérique en santé permette la mise à disposition de l'historique des données de santé relevant du périmètre des logiciels de gestion de cabinet.
En outre, la Cnil a précisé fin 2022 les conditions encadrant la collecte de données de santé par les organismes d'assurance maladie complémentaire (Ocam) et a appelé à renforcer l'encadrement du secret médical via "l'adoption d'une loi", rappelle-t-on (cf dépêche du 15/11/2022 à 11:02). Cette "clarification" est survenue "à la suite de la réception de centaines de plaintes de personnes contestant les demandes de transmission de données de santé effectuées par les complémentaires", a précisé l'instance dans son rapport.
Dans un autre registre, la Cnil a rejeté en 2022 la demande du Point d'accéder à la base de données du programme de médicalisation des systèmes d'information (PMSI), rappelle-t-on (cf dépêche du 10/11/2022 à 17:38). Cet accès permettait à l'hebdomadaire d'établir chaque année un classement des hôpitaux et des cliniques. Dans une publication de novembre 2022, la commission a jugé nécessaire que le journal "précise et améliore la méthodologie de son classement".
Un important volet "référentiels"
En 2022, la Cnil a également planché sur ses référentiels en santé.
Elle a adopté deux nouveaux référentiels permettant aux laboratoires pharmaceutiques de mettre en oeuvre les traitements de données personnelles nécessaires pour permettre l'accès des patients à certains médicaments, dans le cadre des autorisations d'accès précoce ou compassionnel (cf dépêche du 10/11/2022 à 12:10). "Ces référentiels permettent aux laboratoires de mettre en oeuvre les traitements de données sans autorisation spécifique préalable de la Cnil, sous réserve de respecter en tout point le cadre prévu."
Les projets de mises à jour des méthodologies de référence MR-005 et MR-006 portant sur les traitements de données du programme de médicalisation des systèmes d'information (PMSI) et des résumés des passages aux urgences ont été soumis à consultation publique courant 2022. Il est ainsi prévu un toilettage des MR-005/006 existantes, afin d'apporter les ajustements nécessaires à la suite de l'évolution du cadre réglementaire et de la doctrine de la Cnil et la création des MR-007/008, qui porteront sur l'accès aux données de la base principale du système national des données de santé (SNDS), par les organismes publics et privés.
Pour accompagner les pharmaciens titulaires d'officine dans la conformité au RGPD, la Cnil a publié en juillet 2022 un référentiel expliquant comment appliquer les principes de la protection des données aux traitements couramment mis en oeuvre par les pharmaciens (cf dépêche du 12/07/2022 à 11:03). Il a été adopté à la suite d'une consultation publique (cf dépêche du 25/10/2021 à 17:47).
Enfin, après l'adoption du référentiel sur les entrepôts de données de santé en 2021 (cf dépêche du 25/10/2021 à 16:33), la Cnil a présenté en septembre 2022 une "check-list" pour que les responsables de traitement puissent vérifier leur conformité à celui-ci. "Cet outil aide à se poser les questions pertinentes pour la constitution de l'entrepôt. Une fois complétée et si le projet n'est pas conforme en tout point au référentiel, [la liste] peut être jointe à un dossier de demande d'autorisation."
En 2022, "10 entrepôts innovants et justifiés par l'intérêt public" ont été autorisés, apprend-on dans le rapport.
Focus sur l'Espace européen des données de santé
Autre "temps fort de 2022", l'adoption le 12 juillet d'un avis sur le projet de règlement instaurant l'Espace européen des données de santé (EEDS), établi par la Commission de Bruxelles.
La Cnil et ses homologues du Comité européen de la protection des données (CEPD) ont notamment invité à prévoir la localisation des données de santé sur le territoire de l'Union européenne, à clarifier les interactions entre ce texte et le RGPD et à retenir la compétence exclusive des autorités de protection de données dans le traitement de toute question relative à la protection des données personnelles (cf dépêche du 10/02/2023 à 17:27).
Dévoilé en mai 2022, l'EEDS vise à proposer un nouveau cadre de gouvernance pour les données de santé et prévoit notamment une distinction entre l'utilisation "primaire des données" par les patients et les professionnels de santé, et l'utilisation "secondaire" à des fins de recherche, d'innovation et d'élaboration de politiques et de réglementation, rappelle-t-on (cf dépêche du 03/05/2022 à 19:19).
Rapport annuel 2022 de la Cnil
wz/nc/APMnews