Comment tre prt en mai 2018 concernant le

Comment être prêt en mai 2018 concernant le nouveau règlement européen sur la gestion des données personnelles ? Les spécificités de la protection des données de santé à caractère personnel Florence EON – Directrice du service juridique

L’ASIP Santé : trois missions fondamentales Créée en 2009, l’ASIP Santé, l’agence française de la santé numérique, rattachée au ministère chargé de la santé, est organisée autour de trois missions complémentaires. 1/ Créer les conditions du développement et de la régulation de la santé numérique 2/ Assister les pouvoirs publics dans la mise en œuvre de services numériques ou de systèmes d’information de santé de portée nationale 3/ Accompagner les acteurs de santé dans la transformation numérique et favoriser les usages L'ASIP Santé travaille à la construction d'un climat de confiance commun afin de faciliter la vie quotidienne des professionnels de la santé, des citoyens. Cet environnement de confiance est fondé sur - des annuaires nationaux, - des moyens sécurisés d'identification et d'authentification pour les professionnels de la santé, - des normes de sécurité et d'interopérabilité pour permettre à différents systèmes de communiquer et d'échanger des données sur la santé en préservant la confidentialité des données de santé. 2

Créer les conditions du développement et de la régulation de la santé numérique CADRE JURIDIQUE applicable aux données de santé Faire évoluer le cadre pour qu’il s’adapte aux usages Faire comprendre le cadre et en garantir l’application ESPACE DE CONFIANCE pour l’échange et le partage de données de santé 3

Les règles relatives aux traitements portant sur des données de santé à caractère personnel 1 Régime général de la protection des données personnelles 2 Règles particulières 3 Les bons outils juridiques Les règles relatives aux traitements portant sur des données de santé à caractère personnel Echange et partage Hébergement des données de santé Numéro de sécurité sociale (NIR) Télémédecine Etc. Contrats / marchés publics informatiques Référentiels et guides Labels et certifications 4

1 Régime général de la protection des données personnelles 2 Règles particulières 3 Les bons outils juridiques Les règles relatives aux traitements portant sur des données de santé à caractère personnel 5

Régime général de la protection des données personnelles (RGPD) Application au secteur de la santé Principes Données concernant la santé = catégorie spéciale de données personnelles Principe d’interdiction assorti d’exceptions Exceptions - - - Consentement Nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale nécessaire à la sauvegarde des intérêts vitaux de la personne concernée dans le cadre des activités légitimes et moyennant les garanties appropriées d’organismes à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice - nécessaire aux fins de la médecine préventive […], de diagnostics médicaux, la prise en charge sanitaire ou sociale, ou la gestion des systèmes et des services sanitaires ou sociaux - nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique - fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations 6

Régime général de la protection des données personnelles (RGPD) Définition de la donnée de santé et champ d’application Données à caractère personnel Données directement identifiantes : nom et prénom, photo, e-mail nominatif, … Données indirectement identifiantes : numéro de carte bancaire… Recoupements d’informations : « le fils aîné du notaire habitant au 11 bd Raspail à Paris » , … Donnée de santé Données à caractère personnel relatives à la santé physique ou mentale d'une personne physique (Art. 4 15 et considérant 35) Données génétiques / Données Biométriques Principe général d’interdiction de collecte et de traitement, avec des dérogations Pas d’application aux données anonymisées /aux activités exclusivement personnelles 7

Régime général de la protection des données personnelles (RGPD) Les formalités préalables dans le secteur santé Les formalités simplifiées existantes Les autorisations uniques : AU-013 : Pharmacovigilance ; AU-037 : Messagerie sécurisée ; AU-047: Accompagnement et suivi social et médicosocial des personnes handicapées et des personnes âgées Formalités à l’heure du RGPD Disparition des déclarations normales Désignation d’un DPO Analyse d’impact (PIA) Conformité à un référentiel sectoriel Notification des violations de données Les normes simplifiées NS-050: Cabinet médical et paramédical Les méthodologies de référence : MR-001 : recherches biomédicales (en cours de mise à jour) MR-002 : études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro MR-003 : recherches non interventionnelles Les Etats membres peuvent fixer des conditions ou des restrictions supplémentaires au niveau national En France, maintien du régime d’autorisation/avis : Santé, biométrie, génétique Numéro d’identification national (NIR) Emploi, travail Missions d’intérêt public ou d’autorité publique Archivage, Recherche => Régime relatif à l’hébergement des données de santé 8

Régime général de la protection des données personnelles (RGPD) Privacy Impact Assessment Respect des principes fondamentaux Les principes et droits fondamentaux (finalité, information…), « non négociables » , fixés par la loi, devant être respectés et ne pouvant faire l’objet d’aucune modulation Gestion des risques sur la vie privée La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données PIA Privacy Impact Assessment Le Privacy Impact Assessment (PIA) est un moyen de se mettre en conformité et de le démontrer (notion d’accountability) 9

1 Régime général de la protection des données personnelles 2 Règles particulières 3 Les bons outils juridiques Echange et partage Hébergement des données de santé Numéro de sécurité sociale (NIR) Télémédecine Etc. 10

Règles particulières L’essentiel des droits des patients à prendre en compte dans un projet e-santé • La décision médicale doit être prise conjointement par le patient dûment informé et le professionnel de santé qui le prend en charge. Le consentement éclairé aux soins art. L. 1111 -4 du code de la santé publique • Le patient doit consentir aux soins de façon libre et éclairée. • Aucun acte médical ni aucun traitement ne peut être pratiqué sans le consentement libre et éclairé de la personne. • Cas dérogatoire : urgence, impossibilité d’informer la personne, volonté de la personne d’être tenue dans l’ignorance d’un diagnostic. • Cas particulier du mineur ou du majeur protégé. 11

Règles particulières L’essentiel des droits des patients à prendre en compte dans un projet e-santé Toute personne prise en charge par un professionnel / établissement /structure du secteur sanitaire, médico-social ou social a droit au respect de sa vie privée et du secret des informations la concernant. Le secret professionnel Art. L. 1110 -4 du code de la santé publique Sauf exception prévue par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les professionnels intervenant dans le système de santé. 12

Règles particulières Secret professionnel et données de santé : les règles d’échange et de partage L’article L. 1110 -4 du CSP définit les règles d’échange et de partage des données de santé Professionnels identifiés participant à la coordination, la continuité des soins et le suivi social et médico-social d’un même patient Professionnels participant à la coordination, la continuité des soins et le suivi social et médicosocial d’un même patient Au sein de la même équipe de soins Information préalable + droit d’opposition Echange Information préalable + droit d’opposition En dehors de la même équipe de soins Consentement exprès Partage 13

Règles particulières Secret professionnel et données de santé : la notion d’équipe de soins Un régime d’échange et de partage désormais fondé sur la notion d’équipe de soins : art. L. 1110 -12 du CSP Ensemble de professionnels qui participent directement au profit d’un même patient à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap ou de prévention de perte d’autonomie, ou aux actions nécessaires à leur coordination, et qui : Exercent dans la même structure (ES, ESMS, structures de coopération, etc. ) Décret 2016 -996 du 20 juillet 2016 OU Se sont vus reconnaître cette qualité par le patient OU Exercent dans un semble comprenant au moins un ES et respectant un cahier des charges Arrêté du ministre chargé de la santé du 25 novembre 2016 14

Règles particulières La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) Cf. Article L 1110 -4 -1 du CSP créé par LOI n° 2016 -41 du 26 janvier 2016 Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, les professionnels de santé, les établissements et services de santé, les hébergeurs de données de santé à caractère personnel et tout autre organisme participant à la prévention, aux soins ou au suivi médico-social et social utilisent, pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d'information conformes aux référentiels d'interopérabilité et de sécurité élaborés par le groupement d'intérêt public mentionné à l'article L. 1111 -24. 15

Règles particulières La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) Une logique de paliers Lorsque c’est judicieux, proposition d’un ensemble de paliers numérotés: • un palier cible (palier dont le numéro est le plus élevé) et des paliers intermédiaires permettant de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires, • un palier minimal (palier 1) déjà opérationnel ou rapide à atteindre comportant les exigences de sécurité indiscutables. Palier 3 Palier 2 Palier 1 Conférence débat 22 /11/2017_Congrès FEHAP_FEON 16

Règles particulières Référentiels et guides sectoriel Il existe des documents de référence concernant la sécurité des données de santé. Corpus documentaire de la PGSSI-S Référentiel d’agrément HDS Référentiel de bonnes pratiques pour les applications et les objets connectés en santé Il existe des référentiels sectoriels opposables. Certains référentiels PGSSI-S ont vocation à être rendus opposables : gouvernance, authentification, traçabilité (Art. L 1110 -4 -1 du code de la santé publique) Obligation de recourir à un hébergeur agréé ( => certifié) – (Art. L 1111 -8 du code de la santé publique) Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous les systèmes mettant à disposition des données du SNDS. (Arrêté du 22 mars 2017) 17

Règles particulières L’identifiant national de santé ( le NIR) La loi n° 2016 -41 du 26/01/2016 codifiée à l’article L. 1111 -8 -1 CSP « Le numéro d’inscription au répertoire national d’identification des personnes physiques est utilisé comme identifiant de santé des personnes pour leur prise en charge à des fins sanitaires et médico-sociales dans les conditions prévues à l’article L. 1110 -4 […]. » Le décret n° 2017 -412 du 27 mars 2017 codifié aux articles R. 1111 -8 -1 à 7 CSP Le référentiel mentionné à l’article R. 1111 -8 -7 : le « référentiel INS » 18

Règles particulières Hébergement des données de santé (1/2) Principe de l’agrément des hébergeurs de données de santé à caractère personnel prévu par la loi (art. L. 1111 -8 du code de la santé publique) Responsable de traitement de données à caractère personnel Données recueillies à l’occasion des activités de prévention, de diagnostic, de soin ou de suivi médico-social Obtenir un agrément ou utiliser les services d’un hébergeur agréé S’assurer que le périmètre de l’agrément est adapté au service fourni par l’hébergeur et aux fonctionnalités de l’application Informer clairement les utilisateurs de l’application : - de l’hébergement externalisé de leurs données de santé, - de leur droit de s’y opposer pour motif légitime. Hébergement externalisé Agrément par le Ministère chargé de la santé (remplacé par une certification en 2018) 19

Règles particulières Hébergement des données de santé (2/2) Future certification des hébergeurs de données de santé Deux certificats selon l’activité de l’hébergeur : - hébergeur d’infrastructure physique - hébergeur infogérant La procédure de certification repose sur un audit documentaire ET un audit sur site. Le référentiel de certification est composé d’exigences issues de plusieurs normes ISO (ISO 27001, ISO 20000, ISO 27018…) et d’exigences spécifiques à l’hébergement de données de santé. Le certificat est délivré pour une durée de trois ans par l’organisme certificateur. Textes de référence : Ordonnance n° 2017 -27 du 12 janvier relative à l’hébergement de données de santé Futur décret en Conseil d’Etat pris après avis de la CNIL et des ordres des professions de santé 20

Autres règles particulières Télémédecine Encadrement des actes de médecine à distance (périmètre, consentement, échange d’information, tenue du dossier, garanties…) Articles L 6316 -1 et suivants du CSP Pharmacies en ligne Encadrement de la vente en ligne de médicaments (types et présentation des médicaments, modalités de création et d’exploitation, responsabilité, fonctionnalités…) Articles L 5125 -33 et svt du CSP et arrêtés du 28 novembre 2016 relatifs aux bonnes pratiques de dispensation des médicaments et aux règles techniques applicables aux sites internet des pharmaciens Dispositifs médicaux Règlement 2017/745 relatif aux dispositifs médicaux Règlement 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro, 21

1 Régime général de la protection des données personnelles 2 Règles particulières 3 Les bons outils juridiques Les questions essentielles Contrats / marchés publics informatiques Référentiels et guides Labels et certifications 22

Quelquestions essentielles Quelles sont les données traitées ? Quel régime juridique s’applique aux données, au support, ou à l’activité ? Quelles formalités à remplir avant de lancer l’application ? Quels droits possèdent les personnes ? Quelles mesures de sécurité sont nécessaires ? Qui est responsable de l’application, du point de vue du traitement des données, de la sécurité des données, de la qualité de l’application ? 23

Contrats informatiques / marchés publics : clauses essentielles Objet et périmètre du contrat Protection des données à caractère personnel Engagement de niveau de services (ou Service Level Agreement) Procédure de réversibilité 24

Contrats informatiques / marchés publics : nouvelles règles et nouveaux outils Textes de référence Ordonnance n° 2015 -899 du 23 juillet 2015 relative aux marchés publics Décret n° 2016 -360 du 25 mars 2016 relatif aux marchés publics Nouvel outil pour les grands projets SI publics : la procédure concurrentielle avec négociation 25

Référentiels et guides Référentiels de sécurité des systèmes d’information de santé http: //esante. gouv. fr/services/politique-generale-de-securite-des-systemes-dinformation-de-sante-pgssi-s/en-savoir-plus-0 Le cadre d’interopérabilité des systèmes d’information de santé http: //esante. gouv. fr/services/referentiels-d-interoperabilite/cadre-dinteroperabilite-des-systemes-d Le cadre commun des projets de e-santé http: //esante. gouv. fr/actus/politique-publique/publication-de-l-instruction-relative-aucadre-commun-des-projets-de-e Guides de l’ANAP (Agence Nationale d'Appui à la Performance des établissements de santé et médico-sociaux) http: //www. anap. fr/publications-et-outils/detail/actualites/guide-methodologique-descooperations-territoriales/ Guides et recommandations de CNIL : délibérations, pack de conformité, guides sécurité des données personnelles, outils du CIL, études d’impact https: //www. cnil. fr 26

Labels et certifications Label e-santé Logiciel Maisons et centres de santé http: //esante. gouv. fr/services/label-e-sante-logiciel-maisons-et-centres-de-sante Certification Qualité Hôpital Numérique http: //esante. gouv. fr/services/certification-qualite-hopital-numerique/qualite-hopitalnumerique Certifications relatives à la qualité des soins et la sécurité des patients de la HAS http: //www. has-sante. fr/portail/jcms/fc_1249603/fr/accreditation-certification Labels CNIL (Formation, Gouvernance, Audit, Coffre fort numérique) https: //www. cnil. fr/fr/les-labels-cnil Future certification européenne en matière de protection des données https: //www. cnil. fr/fr/vers-une-certification-europeenne-en-matiere-de-protection-desdonnees 27

28