RGPD compliance-télémédecine- Réglementation Covid-19

HAS : Consultation publique sur une proposition de classification fonctionnelle des solutions numériques selon leur finalité d’usage

Deadline : participation ouverte jusqu’au 30 juin 2020

Au regard de la diversité des solutions numériques existantes et à venir, la HAS propose un projet de classification des solutions numériques selon : i) leur finalité d’usage, ii) la capacité de la solution numérique à prendre en compte les paramètres de l’usager/du patient (conduisant à une personnalisation de la réponse), iii) l’autonomie fonctionnelle de la solution numérique. Elle propose 4 niveaux croissants (A-D) en personnalisation patient/ usager et autonomie de la solution numérique. Selon la HAS, l’évaluation systématique de toutes les solutions numériques n’est ni envisageable, ni pertinente. Les efforts doivent être concentrés sur la gestion des situations ou des technologies les plus à risque pour les personnes d’abord, et la collectivité ensuite, en visant deux objectifs complémentaires : i) ne pas entraver l’émergence d’innovations ; ii) faire en sorte que l’évaluation soit un levier de confiance via une évaluation positive. Dans son rapport d’analyse prospective de 2019, « Numérique : quelle (R)évolution? » la HAS recommande dans sa proposition 17 de : « Construire au plus tôt une matrice d’évaluation adaptée au numérique, construite par fonctionnalité, afin de définir le champ de ce qui doit être évalué et selon quelles modalités, en fonction des priorités nationales et des risques pour l’individu et la collectivité. ». Cette proposition de classification devra répondre à plusieurs questions : qu’est ce qui est déjà évalué, certifié etc.., par qui, pour quel objectif et comment ? Qu’est ce qui devrait être évalué, pourquoi, sur quels critères et par qui ? Ce projet de classification n’est donc pas une matrice d’évaluation mais une structuration pour contribuer à l’élaboration d’une matrice.

Un questionnaire est en ligne afin de recueillir toute suggestion pour optimiser la lisibilité et l’exhaustivité des catégories envisagées.

Réglementation COVID-19

Arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Article 10-7 (Créé par Arrêté du 21 avril 2020 – art. 1)

I. – Aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19, le groupement d’intérêt public mentionné à l’article L. 1462-1 du code de la santé publique et la Caisse nationale de l’assurance maladie sont autorisés à recevoir les catégories de données à caractère personnel suivantes : – les données issues du système national des données de santé mentionné à l’article L. 1461-1 du même code ; -des données de pharmacie ; – des données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine ; – des résultats d’examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville ; – des données relatives aux urgences collectées par l’Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences ; – des données relatives aux appels recueillis au niveau des services d’aide médicale urgente et des services concourant à l’aide médicale urgente ; – des données relatives à l’activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d’hébergement pour personnes âgées dépendantes ; – des enquêtes réalisées auprès des personnes pour évaluer leur vécu ; – des données non directement identifiantes issues du système d’identification unique des victimes mentionné à l’article L. 3131-9-1 du code de la santé publique ;- des données cliniques telles que d’imagerie, de pharmacie, de biologie, de virologie, de comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation.

II. – Le groupement d’intérêt public et la Caisse nationale de l’assurance maladie ne peuvent collecter que les données nécessaires à la poursuite d’une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19. Ils sont responsables du stockage et de la mise à disposition des données. Ils sont autorisés à croiser les données mentionnées au I. La Caisse nationale de l’assurance maladie est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques à cette fin. Seuls des responsables de traitement autorisés dans les conditions prévues aux articles 66 et 76 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, l’Etat mettant en œuvre des traitements mentionnés au 6° de l’article 65 de cette même loi, la Caisse nationale de l’assurance maladie mettant en œuvre des traitements mentionnés au 3° de l’article 65 de cette même loi, ou les organismes et les services chargés d’une mission de service public mentionnés à l’article 67 de cette même loi, peuvent traiter les données ainsi rassemblées par le groupement d’intérêt public.

III. – Les données ne peuvent être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19 et pour la durée de l’état d’urgence sanitaire institué pour faire face à cette épidémie. Les données ne peuvent être traitées que sur la plateforme technologique du groupement d’intérêt public et sur la plateforme de la Caisse nationale de l’assurance maladie, et ne peuvent pas en être extraites. Au sein de ces plateformes, les données ci-dessus mentionnées ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse. Le groupement d’intérêt public établit et met à disposition sur son site internet un répertoire public qui recense la liste et les caractéristiques de tous les projets portant sur ces données.

IV. – Sans préjudice des dispositions de l’article 6 de l’arrêté du 23 décembre 2016 relatif au recueil et au traitement des données d’activité médicale et des données de facturation correspondantes, produites par les établissements de santé publics ou privés ayant une activité en médecine, chirurgie, obstétrique et odontologie, et à la transmission d’informations issues de ce traitement dans les conditions définies à l’article L. 6113-8 du code de la santé publique, les établissements de santé mentionnés à l’article 1er du même arrêté transmettent, selon une périodicité hebdomadaire, les fichiers mentionnés au I de l’article 5 du même arrêté directement à l’Agence technique de l’information sur l’hospitalisation. Cette agence traite les données et transmet sans délai à la Caisse nationale de l’assurance maladie les données ayant vocation à alimenter le système national des données de santé. Les données ainsi transmises ne peuvent être traitées pour les finalités mentionnées au premier alinéa de l’article L. 6113-8 du code de la santé publique, à l’exception de la veille et la vigilance sanitaires.

Télésoin (masseurs-kinésithérapeutes) : Arrêté du 16 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Art. 7-1. Certains actes listés de masso-kinésithérapie pourront être réalisés à distance par télésoin par vidéotransmission. La pertinence du recours au télésoin est déterminée par le praticien. Le professionnel doit avoir déjà promulgué un soin au patient en présentiel. Pour les mineurs, la présence d’un des parents majeurs ou d’un majeur autorisé est requise et celle d’un aidant l’est pour les patients présentant une perte d’autonomie.

Ces actes pourront être remboursés par l’assurance maladie.

Télésoin (ergothérapeutes et psychomotriciens) et IVG médicamenteuse : Arrêté du 14 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Des actes d’ergothérapie et de psychomotricité pourront être réalisés par télésoin par vidéotransmission si l’auxiliaire médical l’estime pertinent. Une consultation préalable en présentiel est nécessaire. Pour les mineurs de 18 ans, la présence d’un des parents majeurs ou d’un majeur autorisé est nécessaire. Pour les patients présentant une perte d’autonomie, la présence d’un aidant est requise. L’IVG médicamenteuse (Art 10-3): La première prise des médicaments peut être effectuée par téléconsultation avec un médecin ou une sage femme. Le consentement libre et éclairé de la patient et l’accord du professionnel de santé sont nécessaire. La délivrance du médicament prescrit à la patiente par le médecin est réglementée et s’effectue sans frais et anonymement. De plus, le délai pour recourir à une IVG médicamenteuse est prolongé de 2 semaines. Il passe de 5 à 7.

Télémédecine, ordonnances : Arrêté du 14 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Report du 15 avril au 11 mai de plusieurs mesures de l’arrêté du 23 mars.

COVID-19 : Agrément HDS prorogé

Art 3 de l’ordonnance n°2020-306 du 25 mars 2020

En raison de la pandémie du Covid-19 et de la crise sanitaire qui en découle, tout agrément d’hébergement de données de santé qui arrivera à échéance entre le 12 mars et à l’expiration d’une délai d’un mois à compter de la date de cessation de l’Etat d’urgence sanitaire sont prorogés de plein droit jusqu’à l’expiration d’un délai de 2 mois suivant la fin de cette période.


Soins infirmiers, sages-femmes et téléconsult
ation : Arrêté du 31 mars 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

L’arrêté fixe une liste de soins infirmiers qui, même si l’ordonnance est expirée, pouvaient être prodigués jusqu’au 15 avril afin d’éviter toute interruption de traitement préjudiciable à la santé du patient. S’ils sont remboursables, ces actes ainsi que les dispositifs médicaux délivrés seront pris en charge par l’assurance maladie. Il autorise les sages femmes libérales à facturer à l’assurance maladie certains actes listés réalisés par téléconsultation.

TELESOIN : ORTHOPHONIE Arrêté du 25 mars 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Cet arrêté prévoit que des actes d’orthophonie pourront être réalisés par télésoin par vidéotransmission si l’orthophoniste l’estime pertinent. Une consultation préalable en présentiel est nécessaire. Pour les mineurs de 18 ans, la présence d’un des parents majeurs ou d’un majeur autorisé est nécessaire. Pour les patients présentant une perte d’autonomie, la présence d’un aidant est requise. L’arrêté autorise les orthophonistes à facturer à l’assurance maladie ces actes réalisés par télésoin

Arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Télésuivi infirmier : Les infirmiers peuvent assurer le télésuivi, c’est-à-dire la surveillance clinique par vidéotransmission ou téléphone des patients suspectés d’infection ou reconnus atteints du codiv-19. La valorisation du télésuivi est à hauteur d’un AMI 3.2 par les infirmiers libéraux ou les structures mentionnées à l’article L 162-1-7 code de la sécurité sociale.

Téléconsultation pour les sages-femmes : Pour les téléconsultations réalisées par les sages-femmes, ces dernières sont valorisées à hauteur d’une téléconsultation simple (code TCG). Le code TCG permet aux professionnels de santé téléconsultants en secteur à honoraires opposables [secteur 1] ou en secteur à honoraires différents [secteur 2] adhérant aux dispositifs de pratique tarifaire maîtrisée de facturer l’acte de téléconsultation à 25 euros. L’avenant n°6, entré en vigueur le 15 septembre 2018, détaille le montant des rémunérations prévues pour les professionnels de santé et les conditions à respecter pour bénéficier d’un remboursement de droit commun des actes de téléconsultation et de télé-expertise

Extension du régime dérogatoire à la Télésurveillance des patients insuffisants cardiaques chroniques ( patients à risque) : Les patients éligibles à un projet de télésurveillance mis en œuvre sur le fondement de l’article 54 de la loi FSS du 30 décembre 2017 pour 2018 (prorogation de 4 ans du programme Expérimentations de financement de la télémédecine pour l’amélioration des parcours en santé (2018-2022), ne sont pas soumis à l’obligation de satisfaire l’une des deux conditions suivantes : 1/ Hospitalisation au cours des 30 derniers jours pour une poussée d’insuffisance cardiaque chronique (diagnostic principal, au regard du compte rendu ou du codage CIM 10 – I500/I501/I502/I509); 2/ Hospitalisation au moins une fois au cours des 12 derniers mois pour une poussée d’insuffisance cardiaque chronique (diagnostic principal, au regard du compte rendu ou du codage CIM 10 – I500/I501/I502/I509) et actuellement en classe NYHA 2 ou plus avec un taux de peptides natriurétiques élevé (BNP >100 pg/ml ou NT pro BNP >1000 pg/ml). Dans son avis du 14 mars 2020, le Haut Conseil de la Santé publique (HCSP), à la demande de la direction générale de la santé, avait listé les personnes à risque de développer des formes sévères de Covid-19

TELESOINS REALISES PAR LES INFIRMIERS régime dérogatoire jusqu’au 31 mai 2020

Décret no 2020-277 du 19 mars 2020 modifiant le décret no 2020-73 du 31 janvier 2020 portant adoption de conditions adaptées pour le bénéfice des prestations en espèces pour les personnes exposées au coronavirus Le décret détermine les conditions dérogatoire de prise en charge

Le télésoin est une forme de pratique de soins à distance utilisant les technologies de l’information et de la communication. Il met en rapport un patient avec un ou plusieurs pharmaciens ou auxiliaires médicaux dans l’exercice de leurs compétences (Article L6316-2 du Code de la santé publique). Le régime dérogatoire relatif aux activités de télémédecine est étendu aux activités de télésoin réalisées par les infirmiers pour les personnes dont le diagnostic d’infection à covid-19 a été posé cliniquement ou biologiquement. Le remboursement par l’assurance maladie à un infirmier libéral ou une structure de soin de l’art L 162-14-1 CSS dérogent aux conditions de droit commun ( « la connaissance préalable du patient par une première consultation en présentiel avec l’infirmier, et le matériel nécessaire à la vidéotransmission) . L’activité de télésoin pourra être effectuée par téléphone. Le présent décret prévoit également une exonération du ticket modérateur sur les téléconsultations réalisées pour les personnes dont le diagnostic d’infection à covid-19 a été posé ou suspectées de l’être ainsi que pour les actes de télésuivi infirmier. Ce régime dérogatoire est mis en œuvre jusqu’au 31 mai 2020.

L’ordre infirmier s’en félicite, cette mesure ayant en effet été demandé dans le cadre de ses 7 mesures d’urgence pour lutter efficacement contre le coronavirus. 

La Haute Autorité de santé donne un avis favorable à l’inscription de l’acte de télésuivi infirmier renforçant un suivi médical des patients COVID-19 maintenus à domicile ou en retour au domicile après avoir été hospitalisés sur la liste des actes et prestations, mentionnée à l’article L. 162-1-7 du code de la sécurité sociale (service attendu suffisant et amélioration du service attendu de niveau IV) compte tenu : − du contexte d’urgence sanitaire lié à l’épidémie de COVID-19 ; − de la nécessité de réserver le recours aux établissements de santé à la prise en charge de patients COVID-19 présentant des formes graves ; − de la nécessité de limiter l’exposition des personnels infirmiers. L’objectif du télésuivi infirmier est double : − réaliser à distance l’évaluation régulière de l’état de santé du patient (état général, stabilité respiratoire, relevé de prise de température bi-quotidienne) ; − s’assurer de la bonne compréhension du patient au regard de sa situation et de sa bonne application des consignes de protection barrières pour lui-même et/ou son entourage.Lorsque l’infirmier(e) estime que les conditions d’un télésuivi de qualité ne sont plus réunies pour lui permettre de remplir ces deux objectifs, l’infirmier(e) réalise alors un suivi en présentiel, en informe le médecin et trace sa décision de ne plus réaliser le télésuivi dans le dossier du patient. Le télésuivi se déroule préférentiellement par vidéotransmission ou par téléphone (dans ce dernier cas, autant que possible après une première visite présentielle), en fonction des équipements de l’infirmier(e) et du patient. La HAS rappelle qu’une vidéotransmission permet aux interlocuteurs à la fois de s’identifier et de communiquer plus aisément, contrairement à un appel téléphonique.

COVID-19 CYBERSECURITE : ETABLISSEMENTS DE SANTE

ACSS de l’ANS : liste des services offerts gracieusement aux structures de santé par les acteurs de la cybersécurité

L’article L. 1111-8-2 du code de santé publique  rend obligatoire pour les établissements de santé la déclaration des incidents graves de sécurité des SI. La cellule ACSS récupère les signalements des incidents de sécurité sur les systèmes d’information effectués sur le portail de signalement. Elle est chargée d’analyser les déclarations et de qualifier les incidents signalés. En cas d’incident de sécurité majeur, la cellule ACSS informe le HFDS/FSSI qui assurera le pilotage du traitement. 

Les industriels de la cybersécurité (prestataires de services (veille, réponse à incidents, conseil, etc…) et éditeurs) proposent gratuitement leurs services et leurs offres aux acteurs de la santé pendant la crise sanitaire COVID-19. Les premiers d’entre eux sont listés ci-dessous. L’ACSS recommande de réaliser une analyse de risques de sécurité et une analyse d’impact sur le SI avant de prendre la décision de mettre en œuvre un nouveau dispositif de sécurité. La liste des services offerts gracieusement aux structures de santé sera mise à jour au fil de l’eau et prendra en compte les demandes adressées à cyberveille@sante.gouv.fr.

To go beyond compliance …Evaluer en quelques minutes le niveau de conformité de votre entreprise avec le RGPD : l’outil RegTech de Constellation Avocats « Diagnostic RGPD Compliance niveau 1 »

Le diagnostic évaluera le degré de compliance pour chacun des 7 critères et vous proposera des actions à mettre en œuvre pour être conforme avec les exigences du RGPD

Outil regtech conçu par Constellation Avocats www.constellation.law

NOTRE PRESTATION RGPD : UNE PRESTATION 4 P

Une prestation juridique : 4 P

Pilotage de votre compliance RGPD


Le RGPD sanctionne lourdement les entreprises pour non-respect de ses dispositions par des amendes pouvant s’élever jusqu’à 4% du Chiffre d’affaires mondial, ou 20 millions d’euros. Dans certains cas pour les données sensibles, la sanction administrative peut être complétée par une sanction pénale ( 5 ans d’emprisonnement maximum et 300.000 euros d’amendes). La réputation de l’entreprise risque d’être impactée par cette sanction, si l’entreprise ne réagit pas rapidement, en adoptant des mesures visant à garantir le respect de la protection des données à caractère personnel.

10 minutes chrono pour évaluer automatiquement votre niveau de compliance RGPD et pour vous conseiller dans l’élaboration de votre programme de conformité

Pour évaluer votre degré de compliance RGPD, Constellation Avocats a élaboré une gamme de diagnostics RGPD COMPLIANCE comprenant 3 niveaux (basique, intermédiaire, groupe), qui vous permettra en quelques minutes d’identifier les principaux écarts de conformité. Le questionnaire du Diagnostic RGPD COMPLIANCE niveau 1 est accessible à l’adresse www.constellation.avocats

Une fois vos réponses au questionnaire validées, vous recevrez par mail des suggestions pour améliorer votre conformité sur les écarts de conformité identifiés et un programme de conformité priorisant les actions à implémenter pour être RGPD compliance.

Une méthodologie d’audit externe ou interne fondée sur l’outil diagnostic adapté aux spécificités de l’entreprise

Par ailleurs, Constellation Avocats a élaboré une méthodologie d’audit qui lui permet de customiser l’outil de diagnostic pour des missions d’audit RGPD interne ou externe en fonction des demandes de l’entreprise. Cette méthodologie réduit considérablement le temps de collecte de l’information pertinente et de son traitement.

Cet auto-diagnostic vise à identifier les écarts de non-conformité avec la réglementation de protection des données personnelles par une série de questions, relatives à 7 critères.

L’évaluation de la sécurité est fondée sur la norme ISO 27701

Norme ISO 27701 & RGPD

ANNEXE D dédiée AU RGPD (Mapping to the General Data Protection Regulation)

IMPORTANT Les suggestions en fin de rapport pour améliorer votre conformité au RGPD, ne résultent pas d’un examen approfondi de votre situation compte tenu du nombre limité de questions de la version gratuite. Elles ne sauraient être considérées comme des conseils engageant la responsabilité des avocats de Constellation. La génération automatique du rapport est réalisée sans intervention humaine. L’équipe de Constellation Avocats se tient à votre disposition pour réaliser avec vous ce diagnostic et rédiger un rapport d’analyse et recommandations personnalisées.
Constellation Avocats proposent d’autres niveaux de diagnostics qui permettent une analyse plus fine des écarts de conformité et définissent un plan d’actions priorisées en fonction de la gravité et de la proportionnalité des risques sur les droits et les libertés des personnes concernées identifiés au cours de l’évaluation

https://app.uperia.tech/form/1553552498v9fq0cx316