Comment être prêt en mai 2018 concernant le nouveau règlement européen sur la gestion des données personnelles ? Les spécificités de la protection des données de santé à caractère personnel Florence EON – Directrice du service juridique

L’ASIP Santé : trois missions fondamentales Créée en 2009, l’ASIP Santé, l’agence française de la santé numérique, rattachée au ministère chargé de la santé, est organisée autour de trois missions complémentaires. 1/ Créer les conditions du développement et de la régulation de la santé numérique   2/ Assister les pouvoirs publics dans la mise en œuvre de services numériques ou de systèmes d’information de santé de portée nationale 3/ Accompagner les acteurs de santé dans la transformation numérique et favoriser les usages L'ASIP Santé travaille à la construction d'un climat de confiance commun afin de faciliter la vie quotidienne des professionnels de la santé, des citoyens. Cet environnement de confiance est fondé sur des annuaires nationaux, des moyens sécurisés d'identification et d'authentification pour les professionnels de la santé, des normes de sécurité et d'interopérabilité pour permettre à différents systèmes de communiquer et d'échanger des données sur la santé en préservant la confidentialité des données de santé.

CADRE JURIDIQUE applicable aux données de santé Créer les conditions du développement et de la régulation de la santé numérique CADRE JURIDIQUE applicable aux données de santé Faire évoluer le cadre pour qu’il s’adapte aux usages Faire comprendre le cadre et en garantir l’application ESPACE DE CONFIANCE pour l’échange et le partage de données de santé Le cadre juridique de l’e-santé protège les droits de la personne (droit au respect de la vie privée) et la confidentialité des données de santé. Il est indispensable pour : définir les conditions d’utilisation des données personnelles de santé afin d’assurer la protection de ces données sensibles ; tout en préservant la capacité d’adaptation aux nouveaux besoins d’échange et de partage. Il repose sur un cadre législatif et réglementaire complexe… Protection des données personnelles Règles générales du code de la santé publique Réglementations spécifiques …complété par le recours à des outils juridiques souples Nécessité d’adapter les règles à l’évolution des nouvelles technologies et des nouveaux besoins des acteurs de terrain Recours à des outils juridiques au degré de normativité variable, dont certains relèvent de ce que l’on appelle le droit souple (« soft law ») : PGSSI-S, procédure de qualification, etc.

1 2 3 Régime général de la protection des données personnelles Les règles relatives aux traitements portant sur des données de santé à caractère personnel 1 Régime général de la protection des données personnelles Les règles relatives aux traitements portant sur des données de santé à caractère personnel 2 Règles particulières Echange et partage Hébergement des données de santé Numéro de sécurité sociale (NIR) Télémédecine Etc. 3 Les bons outils juridiques Contrats / marchés publics informatiques Référentiels et guides Labels et certifications

1 2 3 Règles particulières Les bons outils juridiques Régime général de la protection des données personnelles Les règles relatives aux traitements portant sur des données de santé à caractère personnel 2 Règles particulières 3 Les bons outils juridiques

Principe d’interdiction assorti d’exceptions Régime général de la protection des données personnelles (RGPD) Application au secteur de la santé Principes Données concernant la santé = catégorie spéciale de données personnelles Principe d’interdiction assorti d’exceptions Exceptions nécessaire aux fins de la médecine préventive […], de diagnostics médicaux, la prise en charge sanitaire ou sociale, ou la gestion des systèmes et des services sanitaires ou sociaux nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques Consentement Nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale nécessaire à la sauvegarde des intérêts vitaux de la personne concernée dans le cadre des activités légitimes et moyennant les garanties appropriées d’organismes à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations

Régime général de la protection des données personnelles (RGPD) Définition de la donnée de santé et champ d’application Pas d’application aux données anonymisées /aux activités exclusivement personnelles Donnée de santé Données à caractère personnel relatives à la santé physique ou mentale d'une personne physique (Art. 4 15 et considérant 35) Données génétiques / Données Biométriques Principe général d’interdiction de collecte et de traitement, avec des dérogations Données à caractère personnel Données directement identifiantes : nom et prénom, photo, e-mail nominatif, … Données indirectement identifiantes : numéro de carte bancaire… Recoupements d’informations : « le fils aîné du notaire habitant au 11 bd Raspail à Paris », … La loi Informatique & Libertés ne s’applique pas aux données anonymisées, ce qui permet ou simplifie : l’utilisation de données hors de leur finalité d’origine ou au-delà du délai de conservation prévu ; la réalisation sans formalités de transferts de données hors « pays adéquats » ; la mise à disposition de fichier au grand public sur Internet ; la réalisation de jeux de test pour le développement de logiciels ou pour des formations. Donnée Anomyme s’il est démontré qu’il n’est pas possible : - d’isoler des informations relatives à un seul individu ; - ni de relier les données d’un même individu ou groupe d’individus ; ni de déduire d’un ensemble d’attributs la valeur d’un autre attribut. OU si une analyse de risques de ré-identification a été effectuée à la satisfaction des autorités compétentes. En France, cela signifie des risques résiduels nuls. Activités personnelles exclues Maintien dans le Règlement européen 2016/679 avec introduction des nouvelles pratiques relatives aux réseaux sociaux et activités en ligne des personnes physiques sans lien avec une activité professionnelle ou commerciale (cf Considérant 18)

Les formalités simplifiées existantes Formalités à l’heure du RGPD Régime général de la protection des données personnelles (RGPD) Les formalités préalables dans le secteur santé Les formalités simplifiées existantes Les autorisations uniques : AU-013 : Pharmacovigilance ; AU-037 : Messagerie sécurisée ; AU-047: Accompagnement et suivi social et médico-social des personnes handicapées et des personnes âgées Les normes simplifiées NS-050: Cabinet médical et paramédical Les méthodologies de référence : MR-001 : recherches biomédicales (en cours de mise à jour) MR-002 : études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro  MR-003 : recherches non interventionnelles Formalités à l’heure du RGPD Disparition des déclarations normales Désignation d’un DPO Analyse d’impact (PIA) Conformité à un référentiel sectoriel Notification des violations de données Les Etats membres peuvent fixer des conditions ou des restrictions supplémentaires au niveau national  En France, maintien du régime d’autorisation/avis : Santé, biométrie, génétique Numéro d’identification national (NIR) Emploi, travail Missions d’intérêt public ou d’autorité publique Archivage, Recherche => Régime relatif à l’hébergement des données de santé

PIA Respect des principes fondamen-taux Régime général de la protection des données personnelles (RGPD) Privacy Impact Assessment Respect des principes fondamen-taux Gestion des risques sur la vie privée PIA Privacy Impact Assessment Les principes et droits fondamentaux (finalité, information…), « non négociables », fixés par la loi, devant être respectés et ne pouvant faire l’objet d’aucune modulation La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données Le Privacy Impact Assessment (PIA) est un moyen de se mettre en conformité et de le démontrer (notion d’accountability)

1 2 3 Règles particulières Les bons outils juridiques Régime général de la protection des données personnelles 2 Règles particulières Echange et partage Hébergement des données de santé Numéro de sécurité sociale (NIR) Télémédecine Etc. 3 Les bons outils juridiques

Le consentement éclairé aux soins Règles particulières L’essentiel des droits des patients à prendre en compte dans un projet e-santé Le consentement éclairé aux soins art. L.1111-4 du code de la santé publique La décision médicale doit être prise conjointement par le patient dûment informé et le professionnel de santé qui le prend en charge. Le patient doit consentir aux soins de façon libre et éclairée. Aucun acte médical ni aucun traitement ne peut être pratiqué sans le consentement libre et éclairé de la personne. Cas dérogatoire : urgence, impossibilité d’informer la personne, volonté de la personne d’être tenue dans l’ignorance d’un diagnostic. Cas particulier du mineur ou du majeur protégé.

Le secret professionnel Règles particulières L’essentiel des droits des patients à prendre en compte dans un projet e-santé Le secret professionnel Art. L.1110-4 du code de la santé publique Toute personne prise en charge par un professionnel / établissement /structure du secteur sanitaire, médico-social ou social a droit au respect de sa vie privée et du secret des informations la concernant. Sauf exception prévue par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les professionnels intervenant dans le système de santé.

Règles particulières Secret professionnel et données de santé : les règles d’échange et de partage L’article L.1110-4 du CSP définit les règles d’échange et de partage des données de santé Echange Partage Professionnels participant à la coordination, la continuité des soins et le suivi social et médico-social d’un même patient Professionnels identifiés participant à la coordination, la continuité des soins et le suivi social et médico-social d’un même patient Au sein de la même équipe de soins En dehors de la même équipe de soins Information préalable + droit d’opposition Information préalable + droit d’opposition Consentement exprès

Se sont vus reconnaître cette qualité par le patient Règles particulières Secret professionnel et données de santé : la notion d’équipe de soins Un régime d’échange et de partage désormais fondé sur la notion d’équipe de soins : art. L.1110-12 du CSP Ensemble de professionnels qui participent directement au profit d’un même patient à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap ou de prévention de perte d’autonomie, ou aux actions nécessaires à leur coordination, et qui : Exercent dans la même structure (ES, ESMS, structures de coopération, etc.) Se sont vus reconnaître cette qualité par le patient Exercent dans un semble comprenant au moins un ES et respectant un cahier des charges OU OU Décret 2016-994 du 20 juillet 2016 Conditions d’échange et de partage d’informations entre professionnels de santé et non professionnels de santé du champ social et médico-social. Liste des non professionnels de santé habilités à échanger et partager des informations de santé. Décret 2016-1349 du 10 octobre 2016 Définition des conditions de d’expression du consentement du patient (y compris dématérialisé) pour le partage d’informations entre des professionnels de santé ne faisant pas partie de la même équipe de soins. Décret 2016-996 du 20 juillet 2016 Arrêté du ministre chargé de la santé du 25 novembre 2016

Règles particulières La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) Cf. Article L1110-4-1 du CSP créé par LOI n° 2016-41 du 26 janvier 2016 Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, les professionnels de santé, les établissements et services de santé, les hébergeurs de données de santé à caractère personnel et tout autre organisme participant à la prévention, aux soins ou au suivi médico-social et social utilisent, pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d'information conformes aux référentiels d'interopérabilité et de sécurité élaborés par le groupement d'intérêt public mentionné à l'article L. 1111-24.

Règles particulières La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) Une logique de paliers Lorsque c’est judicieux, proposition d’un ensemble de paliers numérotés: un palier cible (palier dont le numéro est le plus élevé) et des paliers intermédiaires permettant de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires, un palier minimal (palier 1) déjà opérationnel ou rapide à atteindre comportant les exigences de sécurité indiscutables. Palier 3 Palier 2 Palier 1 Conférence débat 22 /11/2017_Congrès FEHAP_FEON

Règles particulières Référentiels et guides sectoriel Il existe des documents de référence concernant la sécurité des données de santé. Corpus documentaire de la PGSSI-S Référentiel d’agrément HDS Référentiel de bonnes pratiques pour les applications et les objets connectés en santé Il existe des référentiels sectoriels opposables. Certains référentiels PGSSI-S ont vocation à être rendus opposables : gouvernance, authentification, traçabilité (Art. L1110-4-1 du code de la santé publique) Obligation de recourir à un hébergeur agréé ( => certifié) – (Art. L1111-8 du code de la santé publique) Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous les systèmes mettant à disposition des données du SNDS. (Arrêté du 22 mars 2017)

Règles particulières L’identifiant national de santé ( le NIR) La loi n°2016-41 du 26/01/2016 codifiée à l’article L. 1111-8-1 CSP « Le numéro d’inscription au répertoire national d’identification des personnes physiques est utilisé comme identifiant de santé des personnes pour leur prise en charge à des fins sanitaires et médico-sociales dans les conditions prévues à l’article L. 1110-4 […].» Le décret n°2017-412 du 27 mars 2017 codifié aux articles R. 1111-8-1 à 7 CSP Le référentiel mentionné à l’article R.1111-8-7 : le « référentiel INS »

Règles particulières Hébergement des données de santé (1/2) Principe de l’agrément des hébergeurs de données de santé à caractère personnel prévu par la loi (art. L. 1111-8 du code de la santé publique) Données recueillies à l’occasion des activités de prévention, de diagnostic, de soin ou de suivi médico-social Responsable de traitement de données à caractère personnel Hébergement externalisé Obtenir un agrément ou utiliser les services d’un hébergeur agréé S’assurer que le périmètre de l’agrément est adapté au service fourni par l’hébergeur et aux fonctionnalités de l’application Informer clairement les utilisateurs de l’application : de l’hébergement externalisé de leurs données de santé, de leur droit de s’y opposer pour motif légitime. Agrément par le Ministère chargé de la santé (remplacé par une certification en 2018)

Règles particulières Hébergement des données de santé (2/2) Future certification des hébergeurs de données de santé Deux certificats selon l’activité de l’hébergeur : hébergeur d’infrastructure physique hébergeur infogérant La procédure de certification repose sur un audit documentaire ET un audit sur site. Le référentiel de certification est composé d’exigences issues de plusieurs normes ISO (ISO 27001, ISO 20000, ISO 27018…) et d’exigences spécifiques à l’hébergement de données de santé. Le certificat est délivré pour une durée de trois ans par l’organisme certificateur. Textes de référence : Ordonnance n° 2017-27 du 12 janvier relative à l’hébergement de données de santé Futur décret en Conseil d’Etat pris après avis de la CNIL et des ordres des professions de santé

Autres règles particulières Télémédecine Encadrement des actes de médecine à distance (périmètre, consentement, échange d’information, tenue du dossier, garanties…) Articles L6316-1 et suivants du CSP Pharmacies en ligne Encadrement de la vente en ligne de médicaments (types et présentation des médicaments, modalités de création et d’exploitation, responsabilité, fonctionnalités…) Articles L5125-33 et svt du CSP et arrêtés du 28 novembre 2016 relatifs aux bonnes pratiques de dispensation des médicaments et aux règles techniques applicables aux sites internet des pharmaciens Dispositifs médicaux Règlement 2017/745 relatif aux dispositifs médicaux Règlement 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro,

1 2 3 Règles particulières Les bons outils juridiques Régime général de la protection des données personnelles 2 Règles particulières 3 Les bons outils juridiques Les questions essentielles Contrats / marchés publics informatiques Référentiels et guides Labels et certifications

Quelques questions essentielles Quelles sont les données traitées ? Quel régime juridique s’applique aux données, au support, ou à l’activité ? Quelles formalités à remplir avant de lancer l’application ? Quels droits possèdent les personnes ? Quelles mesures de sécurité sont nécessaires ? Qui est responsable de l’application, du point de vue du traitement des données, de la sécurité des données, de la qualité de l’application ?

Contrats informatiques / marchés publics : clauses essentielles Objet et périmètre du contrat Protection des données à caractère personnel Engagement de niveau de services (ou Service Level Agreement) Procédure de réversibilité

Contrats informatiques / marchés publics : nouvelles règles et nouveaux outils Textes de référence Ordonnance n° 2015-899 du 23 juillet 2015 relative aux marchés publics Décret n° 2016-360 du 25 mars 2016 relatif aux marchés publics Nouvel outil pour les grands projets SI publics : la procédure concurrentielle avec négociation

Référentiels et guides Référentiels de sécurité des systèmes d’information de santé http://esante.gouv.fr/services/politique-generale-de-securite-des-systemes-d-information-de-sante-pgssi-s/en-savoir-plus-0 Le cadre d’interopérabilité des systèmes d’information de santé http://esante.gouv.fr/services/referentiels/referentiels-d-interoperabilite/cadre-d-interoperabilite-des-systemes-d Le cadre commun des projets de e-santé http://esante.gouv.fr/actus/politique-publique/publication-de-l-instruction-relative-au-cadre-commun-des-projets-de-e Guides de l’ANAP (Agence Nationale d'Appui à la Performance des établissements de santé et médico-sociaux) http://www.anap.fr/publications-et-outils/detail/actualites/guide-methodologique-des-cooperations-territoriales/ Guides et recommandations de CNIL : délibérations, pack de conformité, guides sécurité des données personnelles, outils du CIL, études d’impact https://www.cnil.fr

Labels et certifications Label e-santé Logiciel Maisons et centres de santé http://esante.gouv.fr/services/label-e-sante-logiciel-maisons-et-centres-de-sante Certification Qualité Hôpital Numérique http://esante.gouv.fr/services/certification-qualite-hopital-numerique/qualite-hopital-numerique Certifications relatives à la qualité des soins et la sécurité des patients de la HAS http://www.has-sante.fr/portail/jcms/fc_1249603/fr/accreditation-certification Labels CNIL (Formation, Gouvernance, Audit, Coffre fort numérique) https://www.cnil.fr/fr/les-labels-cnil Future certification européenne en matière de protection des données https://www.cnil.fr/fr/vers-une-certification-europeenne-en-matiere-de-protection-des-donnees