COVID-19 NEWS


News MAI 2020

La déclaration du Gouvernement relative aux innovations numériques dans la lutte contre l’épidémie de Covid-19 a été adoptée le 27 mai par l’Assemblée Nationale et le Sénat.

Au cours du débat, la Garde des Sceaux, a rappelé que « StopCovid est nécessaire non seulement d’identifier les cas contacts, c’est-à-dire les proches de la personne infectée comme les inconnus qu’elle a pu croiser, mais aussi de les contacter au plus vite afin de juguler les chaînes de contamination. C’est donc dans le cadre d’une mission d’intérêt public que le traitement des données sera mis en œuvre, sous la responsabilité du ministère des solidarités et de la santé. De nombreuses garanties ont été apportées. Le téléchargement de l’application, libre et gratuit, résulte d’une démarche volontaire ; le consentement sera requis à chaque étape, la désinstallation possible à tout moment. Aucune conséquence négative n’est attachée au non-recours à l’application : accès aux tests et aux soins, aux transports en commun, liberté d’aller et venir ne sauraient être conditionnés à l’installation de l’application. Aucun droit ou avantage n’est associé à son utilisation ». Sur les données, la Ministre a rappelé que les données traitées ne sont pas identifiantes, elles sont pseudonymisées. Ni listes de personnes contaminées ni d’interactions sociales. Seules des identifiants éphémères seront utilisés (2 garntie). Sur la durée de conservation, les données ne seront utilisées que pour la durée d’utilisation de l’application soit, comme Contact Covid et le Sidep, six mois. Les historiques de proximité ne seront conservés que quinze jours, soit la durée d’incubation du virus. L’utilisateur pourra à tout moment demander la suppression des données (3ème garantie).La transparence. Les utilisateurs seront pleinement informés de leurs droits en installant l’application (4ème garantie). Le code source est ouvert. L’application StopCovid est volontaire, temporaire, non-identifiante et transparente. La seule technologie utilisée est celle du Bluetooth, tout est anonyme. Les informations sont cryptées et la géolocalisation inexistante. Les données sont des listes de crypto-identifiants. Il n’existe pas de liste des personnes testées positives.

Le comité de liaison et de contrôle ; un contre-pouvoir Tous les trois mois, le gouvernement devra remettre au Parlement un rapport sur le fonctionnement des systèmes d’information créés dans le cadre de la lutte contre le Covid-19, « jusqu’à leur disparition », complété par un avis public de la Commission nationale de l’informatique et des libertés (Cnil).

L’utilité de cet outil sanitaire en question : Le contact tracing permettra de rompre les chaînes de transmission. Le suivi de contacts est déjà utilisé depuis longtemps pour de nombreuses pathologies infectieuses ; il repose sur les médecins de ville, biologistes, infirmiers et agents de l’assurance maladie. Près de 45 % des transmissions se font à partir de personnes asymptomatiques. StopCovid permet de repérer plus précocement les potentiels cas contacts qui peuvent s’isoler, consulter et se faire tester. Le Conseil scientifique a jugé un tel outil indispensable, même si la prévalence de l’épidémie est basse. L’Académie de médecine a également donné un avis favorable. Plus de soixante épidémiologistes reconnus, dans une tribune au Monde, y voient un atout incontestable pour gagner du temps. Dés les premières utilisations, elle sauve des vies. Elle a une efficacité systémique et linéaire à partir de quelques pourcentages d’utilisateurs.

Le Secrétaire d’Etat, auprès du ministre de l’économie et des finances et du ministre de l’action et des comptes publics, chargé du numérique, a précisé que le gouvernement travaillait au déploiement d’un support hors téléphone. En ce qui concerne le droit d’accès, il est impossible à mettre en œuvre dès lors que l’Etat, responsable de traitement n’a pas accès aux données identifiantes. Sur la coopération européenne, une réunion européenne s’est tenue avec les Italiens, les Espagnols, les Allemands et la Commission européenne. Concernant la Captcha, il n’existe pas de Captcha en France. Orange a travaillé à l’instauration d’un Captcha français qui devrait être disponible en juin. Le Secrétaire d’Etat a précisé qu’une solution a été trouvé avec ‘ANSSI  » le Captcha sera encapsulé dans WebView our éviter les fuites de données ». Sur le choix architecture centralisée et décentralisée, les solutions ne seront pas interopérables. Il faudra télécharger l’application du pays de destination. Pour l’Anssi et l’Inria, ainsi que des chercheurs opposés au tracing, la solution décentralisée est plus facile à attaquer. Sur la question de l’utilisation de StopCovid. Cette question a été au coeur des tests réalisés ces deux dernières semaines sur les cent portables de dix-sept marques différentes les plus utilisés par les Français. Il s’agissait de faire en sorte que le téléphone n’éteigne pas l’application quand elle était en arrière-plan. Une solution technique a été trouvée. Les Iphones représentent un peu moins de 20 % du marché. Ils sont « réveillés » par les Android quand ils se croisent. Ce mécanisme de contournement fonctionne bien (75 % à 80 % des personnes). Les spécialistes d’Ebola, du SRAS, du MERS avaient déjà, à l’époque de ces épidémies, envisagé de telles applications. L’étude de l’université d’Oxford et de l’Imperial College est la plus complète dans notre appréhension du problème. Les spécialistes de l’Inserm, de l’Institut Pasteur la considèrent comme très solide. Le temps est essentiel : en dix jours, en cas de prévenance des contacts, c’est une dizaine de milliers de morts qui sont évités. L’effet est exponentiel.

Les 3 briques de la politique sanitaire pour réduire les chaînes de contamination à la COVID-19

StopCovid : application de suivi de contact

Stratégie de « déconfinement ». Le Gouvernement envisage de mettre en œuvre une application, dénommée « StopCovid », disponible sur ordiphones (« smartphones ») et, le cas échéant, sur d’autres équipements mobiles. Elle vise à informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives à la COVID-19 et disposant de la même application, cette proximité induisant un risque de transmission du virus SARS-CoV-2. Le traitement vise ainsi à permettre une information et une alerte plus rapides des cas contacts quant aux risques d’exposition au virus, notamment lorsqu’il s’agit de cas contacts que les personnes contaminées ou exposées ne connaissent pas nécessairement, comme par exemple les personnes croisées dans les transports en commun ou dans les commerces. Il permet également d’alerter certains cas contacts de personnes qui ne souhaiteraient pas répondre aux enquêteurs sanitaires.

Avis de la Cnil sur les conditions de mise en oeuvre de « StopCovid »

Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid » : La Commission s’est prononcée, dans son avis du 24 avril 2020, sur la conformité générale aux règles de protection des données à caractère personnel d’un dispositif de « suivi de contacts » tel qu’envisagé alors par le Gouvernement. La saisine sur un projet de décret relatif à l’application dénommée « StopCovid », accompagnée de l’analyse d’impact sur la protection des données (ci-après « AIPD ») relative au dispositif envisagé, précise les conditions de mise en œuvre projetées de l’application de suivi de contacts. Ce traitement de données à caractère personnel, qui doit être conforme aux dispositions applicables du règlement (UE) 2016/679 du 15 avril 2016 susvisé (ci-après « le RGPD ») et de la loi « Informatique et Libertés »,

La responsabilité du traitement est confiée au Ministère en charge de la politique sanitaire. Le traitement est fondé sur une mission d’intérêt public intégrée à la politique sanitaire ( l’article 6.1.e) lu en conjonction avec l’article 9.2i) du RGPD (projet de décret en Conseil d’Etat)). Le traitement aura lieu exclusivement sur le territoire de l’Union

Il s’agit d’une application fondée sur le volontariat. Le volontariat se matérialise dans toutes les composantes du dispositif : installation de l’application, activation de la communication par Bluetooth, prise de contact avec un professionnel de santé, notification du caractère positif de son diagnostic ou résultat positif à un examen de dépistage à la COVID-19 dans l’application, réalisation du dépistage suite à la réception d’une notification, désinstallation de l’application. Elle est temporaire (six mois à compter de la fin de l’état d’urgence sanitaire par le projet de décret). Cette durée correspond à celle prévue pour les traitements « Contact Covid » et « SI-DEP », l’application n’ayant d’utilité qu’en lien avec le cadre plus général de conduite des enquêtes sanitaire.

Finalités

StopCovid a pour finalité l’information d’une personne utilisatrice de l’application qu’elle s’est trouvée à proximité d’au moins un autre utilisateur de cette même application ayant ultérieurement été diagnostiqué positif à la COVID-19, de sorte qu’il existe un risque qu’elle ait été contaminée à son tour ; la sensibilisation des utilisateurs de l’application, identifiés comme contact à risque d’avoir été contaminés par le SARS-CoV-2, sur les symptômes de la maladie, les gestes barrières et la conduite à adopter pour lutter contre la propagation du virus ; l’orientation des contacts à risque vers les acteurs de santé compétents pour leur prise en charge et l’accès aux examens de dépistage ; l’amélioration de l’efficacité du modèle utilisé par l’application pour la définition des cas contacts grâce à l’utilisation de données statistiques anonymes au niveau national. Le traitement ne doit pas non plus permettre de réaliser le suivi des interactions sociales des personnes.

Données collectées : respect du principe de minimisation de l’art 5.1.c)

La Commission relève que l’application StopCovid s’appuiera sur le protocole ROBERT, spécifié par INRIA. Elle relève que ce protocole a été conçu dans une logique de minimisation des donnés et de protection des données dès la conception. Elle relève également que ce protocole prend le parti de diffuser les identifiants des personnes exposées au virus plutôt que de diffuser les identifiants des personnes effectivement contaminées, et qu’il garantit qu’aucun lien ne sera conservé entre les personnes contaminées et la liste des personnes qu’elles auraient pu exposer. La Commission l’a déjà relevé dans sa délibération du 24 avril 2020, si le dispositif a vocation à traiter des données à caractère personnel au sens du RGPD, l’application ne collecte que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, dans le respect du principe de minimisation des données posé par l’article 5.1.c) du RGPD. Toutefois, certaines données évoquées dans l’AIPD ne sont pas mentionnées à l’article 2 du projet de décret. La Commission prend acte de l’engagement du ministère de modifier le projet afin de mentionner la collecte des périodes d’exposition des utilisateurs à des personnes contaminées ainsi que les codes pays. Par ailleurs, eu égard aux particularités du traitement, elle recommande que la collecte des dates de dernière interrogation du serveur soit également mentionnée.

Exactitude des données transmises au serveur central : absence de prise en compte des cas particuliers

L’application ne prend pas en compte les situation dans lesquelles l’utilisateur est en contact prolongé avec une personne protégée (port de masque, paroi séparatrice…) au moment de l’enregistrement du contact. L’alerte sera envoyée alors que ces contacts ne devaient pas être considérés comme potentiellement à risque (faux positifs). Afin de tenir compte de ces cas particuliers la Commission recommande que l’information délivrée aux utilisateurs puisse intégrer des recommandations quant à l’usage de l’application dans des contextes précis. La présence d’un bouton de désactivation temporaire, aisément accessible, sur l’écran principal de l’application pourrait être de nature à réduire le nombre de fausses alertes correspondant à des moments où l’utilisateur n’est pas réellement exposé. Le transfert de l’historique des identifiants pseudonymes des cas contacts d’une personne infectée, depuis une application mobile vers le serveur central, requiert l’utilisation d’un code à usage unique remis par un professionnel de santé suite à un diagnostic clinique positif ou un examen de dépistage positif à la COVID-19. La Commission relève également que cette transmission se fera sans que l’historique de contacts transmis au serveur puisse être rattaché à la personne infectée.

Destinataires et accédants aux données

Les destinataires de l’information sont les personnes qui ont été en contact avec un utilisateur diagnostiqué ou dépisté positif au virus. Par ailleurs, la Commission relève que l’AIPD transmise liste plusieurs organismes agissant en qualité de sous-traitants pour le compte du responsable de traitement. La Commission recommande que le projet de décret soit complété afin de mentionner que des sous-traitants seront accédants ou destinataires des données à caractère personnel dont ils auront besoin de connaître. La Commission prend acte de ce que le fournisseur de service d’informatique en nuage (« cloud computing ») hébergeant l’infrastructure de l’application, agissant en qualité de sous-traitant, possède des centres de données localisés en France. Le contrat de sous-traitance le liant au responsable de traitement devra notamment préciser les zones géographiques depuis lesquelles les administrateurs accèdent à l’infrastructure. Elle relève que l’article 1er du projet de décret qualifie INRIA de sous-traitant et précise que la mise en œuvre du traitement par INRIA, pour le compte du ministère, se fait dans les conditions prévues à l’article 28 du RGPD. Elle s’interroge sur une telle qualification au regard de la définition du sous-traitant donnée par l’article 4.8 du RGPD.

Information et droits des personnes

S’agissant du respect des obligations de transparence (articles 5.1.a) et 12 à 14 du RGPD), l’article 5 du projet de décret précise, d’une part, que les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits au moment de l’installation de l’application « StopCovid » et, d’autre part, que des mentions d’information sont également mises à la disposition du public par l’intermédiaire du site web « https://www.stopcovid.gouv.fr ». La Commission attire l’attention du ministère sur le fait que l’intégralité des informations doit être mise à disposition de l’utilisateur au sein même de l’application. En ce qui concerne l’information des utilisateurs mineurs, la Commission demande une information spécifique à la fois pour les mineurs eux-mêmes mais aussi pour leurs parents. Le droit d’accès est écarté compte tenu de l’importance de la pseudonymisation dans ce dispositif. Les droit d’effacement et d’opposition sont possibles selon l’AIPD.

Mesures de sécurité

Concernant la sécurité du serveur chargé de la centralisation des identifiants des personnes exposées au virus, le ministère aura recours à des modules de sécurité afin de protéger les clés de chiffrement permettant l’accès aux identifiants des personnes concernées. Le responsable de traitement prévoit la mise en place d’un comité regroupant plusieurs entités auxquelles seraient confiés des fragments des clés de chiffrement, afin de garantir l’impossibilité pour un seul acteur d’opérer un détournement d’usage des données. Elle estime qu’une telle mesure est de nature à limiter les risques de détournement de la base centrale, et elle appelle le ministère a inclure dans ce comité des organismes de natures différentes et présentant un haut niveau d’indépendance, Sur le recours à des mécanismes cryptographiques, la Commission rappelle s’être prononcée dans son avis sur la nécessité d’utiliser des algorithmes cryptographiques à l’état de l’art et conformes au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle note à cet égard que le protocole a évolué, l’algorithme de chiffrement 3DES ayant été remplacé par SKINNY-CIPHER64/192, tel que recommandé par l’ANSSI. Le projet de décret mentionne que certains éléments du « code informatique » de l’application ou du serveur central ne seront pas rendus publics pour des raisons de sécurité de l’application. En revanche, l’intégralité du code source sera rendu public. En ce qui concerne les personnes habilités à accéder aux données enregistrées sur le serveur central, la Cnil recommande l’adoption de mécanismes d’authentification forte.

La Commission prend acte de ce que le fournisseur de l’infrastructure hébergeant la plateforme « StopCovid », agissant en qualité de sous-traitant, est qualifié SecNumCloud par l’ANSSI, qu’il est certifié hébergeur de données de santé (HDS) et qu’il met en œuvre des centres de données certifiés ISO/IEC 27001.Une homologation de sécurité de « StopCovid » est prévue, préalablement à la mise en production de l’application. Des audits seront réalisés par des tiers. Concernant les données relatives aux erreurs techniques, la Commission recommande que seul le minimum de données strictement nécessaire à la vérification du bon fonctionnement du système soit journalisé, et notamment que ces journaux soient exempts d’identifiants ou de clés cryptographiques relatives aux utilisateurs. Concernant la journalisation des actions réalisées par les administrateurs, la Commission recommande que celle-ci soit conservée pendant une durée de six mois dans des conditions permettant de garantir son intégrité, et que des mécanismes d’analyse automatiques soient mis en place afin de détecter toute opération anormale.

Contact-Covid et SI-DEP : suivi manuel de propagation des chaînes de transmission / enquêtes sanitaires

« Contact Covid » et « SI-DEP » visent à permettre l’identification des chaînes de contamination du virus SARS-CoV-2 et à assurer le suivi et l’accompagnement des personnes concernées

Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions : Dans le cadre de la stratégie globale de « déconfinement progressif » mise en œuvre à compter du 11 mai, la loi de prorogation de l’état d’urgence sanitaire du même jour a autorisé la création temporaire de deux fichiers nationaux : le fichier SI-DEP (système d’information national de dépistage), mis en œuvre par le ministère de la santé (direction générale de la santé), qui centralisera les résultats des tests au SARS-CoV-2, et le fichier « Contact Covid », mis en œuvre par la Caisse nationale d’assurance maladie (CNAM),sur le fondement de l’exécution d’une mission d’intérêt public (art 6.1.e) RGPD) et dont l’objet principal est de permettre la conduite des enquêtes sanitaires,

Le fichier SI-DEP centralisera notamment les résultats des tests au Covid-19, tandis que le fichier Contact Covid recueillera des informations sur les cas contact et les chaînes de contamination. Ils doivent permettre d’identifier les personnes infectées (« patients 0 »), les personnes qu’elles sont susceptibles d’avoir contaminées (« cas contact ») et les chaînes de contamination. Ils visent à assurer la prise en charge sanitaire et l’accompagnement des personnes atteintes du virus ou susceptibles de l’être car ayant été en contact avec elles, ainsi que la surveillance épidémiologique du virus. Ces fichiers comprendront des données de santé et d’autres données personnelles (identité, hébergement, déplacement, participation à des rassemblements, etc.). Elles pourront être consultées par un grand nombre d’acteurs, notamment par les enquêteurs sanitaires, le législateur ayant autorisé la levée du secret médical. Selon le ministère des solidarités et de la santé, Contact Covid a été « élaboré dans le respect de la loi française en matière de protection des données personnelles et du RGPD ». L’identité de la personne infectée sera révélée aux cas contacts avec son consentement. De même les médecins n’ont pas l’obligation d’inscrire leurs patients dans l’application « Contact Covid ». En tout état de cause, le refus des médecins, des patients ou des personnes « contacts » de participer aux enquêtes sanitaires ne saurait entraîner de conséquences de quelque ordre que ce soit (administrative, financière, prise en charge, etc.). Les patients n’ont pas l’obligation de révéler l’identité des personnes avec lesquelles ils ont été en contact, ni aux personnes qui seraient contactées dans le cadre d’une enquête sanitaire de répondre à l’enquêteur. La démarche s’inscrit dans une politique sanitaire en imposant aux professionnels de santé de participer à la politique de traçage des personnes dépistées. En revanche, les laboratoires effectuant les tests auront pour obligation de saisir les données à caractère personnel des personnes dépistées dans le SI-DEP.

Délibération n° 2020-051 du 8 mai 2020 portant avis sur un projet de décret relatif aux systèmes d’information mentionnés à l’article 6 du projet de loi prorogeant l’état d’urgence sanitaire : La CNIL s’est prononcée sur un projet de décret encadrant deux fichiers, SI-DEP et Contact Covid. Ils seront utilisés dans le cadre du dépistage du Covid-19 et de la conduite des enquêtes sanitaires dont l’objectif est de déterminer qui a pu être contaminé par une personne testée positive. La CNIL estime le dispositif conforme au RGPD si certaines garanties sont respectées. Elle relève que ces fichiers sont nécessaires à la mise en place de la politique sanitaire envisagée par le Gouvernement pour le déconfinement. Elle demande que cette nécessité soit régulièrement réévaluée. Elle a également formulé une série de recommandations pour la mise en œuvre de ces systèmes d’information, notamment s’agissant de la sécurité du dispositif et de la responsabilisation des personnes accédant aux fichiers. 

Contact Covid

Finalités

Selon le ministère, les finalités du traitement « Contact Covid », telles que prévues par l’article 1er du projet de décret, sont de : collecter des informations nécessaires à la détermination des personnes ayant été en contact avec les personnes diagnostiquées comme porteuses du SARS-CoV-2 ou présentant des symptômes avérés ; contacter ces personnes pour assurer leur suivi et permettre leur prise en charge ; réaliser des enquêtes sanitaires ; assurer l’information des autorités compétentes pour adapter les mesures en fonction des circonstances des contaminations (identification d’un foyer/cluster, mise en quarantaine, etc.) ; permettre la prise en charge des examens de biologie médicale de dépistage pour les « cas contacts » le nécessitant ; permettre la dispensation des masques en officine pour les cas contacts le nécessitant ; informer les organismes qui assurent l’accompagnement social de certaines des personnes contactées ; assurer le pilotage et le suivi statistique des actions ; permettre la réalisation d’études, recherches et évaluation sur ces actions. Dans sa délibération la Cnil a considéré que les finalités poursuivies, notamment la mise en œuvre d’une politique de dépistage et d’enquêtes sanitaires sur tout le territoire, apparaissent déterminées, explicitées et légitimes, conformément à l’article 5 -1-b du RGPD. La CNIL a appelé à une réflexion plus fine sur les durées de conservation des données. Elle prend acte de ce que la loi du 11 mai 2020 a, postérieurement à sa délibération, apporté de fortes garanties sur ce point en limitant la conservation des données dans le système d’information à trois mois à compter de leur collecte

Levée du secret médical : protection particulière des données collectées

Les données contenues dans le dispositif seront accessibles à la fois au patient, au médecin, à Santé Publique France, à l’Assurance maladie et aux Agences régionales de santé. Levée du secret médical, conduit à retirer la protection spécifique relative au partage des données (équipe de soin/ hors équipe de soin art L 1110-4 CSP). La Cnil a considéré que ces données doivent faire l’objet d ‘une protection particulière. Le projet de décret prévoit également la collecte du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). La CNIL prend acte de ce que cette collecte est justifiée par des motifs d’identitovigilance ainsi que pour permettre l’organisation et la prise en charge financière sans ordonnance des examens de biologie médicale ainsi que la distribution de masques. Elle rappelle que la minimisation de la collecte des données nécessite, dans une logique de protection des données dès la conception (« privacy by design »), certaines mesures fonctionnelles dans le paramétrage du traitement. Elle appelle notamment à exclure les zones « commentaires » ou « zones blocs notes » susceptibles de contenir des données non pertinentes. Lorsqu’un choix multiple est nécessaire, il doit être proposé au moyen de menus déroulants proposant des informations et appréciations objectives.

Le contrôle d’accès : élément central de la sécurité du traitement

L’accès soumis au principe de la nécessité d’en connaître : La CNIL estime que la mention présente à l’article 3 du projet de décret selon laquelle les personnes consultent ou enregistrent les données « dans la limite de leurs besoins d’en connaître » constitue une garantie essentielle. Le projet de décret distingue notamment les personnes qui, du fait de leur fonction, sont autorisées à consulter et enregistrer, d’une part, l’ensemble des données (médecins, membres des équipes d’enquête sanitaire, agents des ARS, etc.) et, d’autre part, certaines données énumérées limitativement (professionnels des laboratoires de biologie médicale et pharmaciens). Ces accès différenciés doivent se traduire par des limitations d’accès. Il appartiendra au responsable de traitement « Contact Covid » de paramétrer ces accès en écriture et en lecture selon les fonctions de chacun des organismes ou personnes autorisés par le décret. Cette matrice d’habilitation doit être un élément central de la sécurité du traitement. Le responsable de traitement doit ainsi définir des profils fonctionnels strictement limités aux besoins d’en connaître pour l’exercice des missions des personnels habilités. Par ailleurs, des mesures devront être mises en place dès que possible, pour que, dans la mesure du possible, les personnes habilitées ne puissent accéder aux différentes données relatives aux personnes concernées que lorsqu’elles en ont effectivement besoin, et notamment, pour certaines personnes habilitées, uniquement en présence des personnes concernées. Ces mesures peuvent par exemple consister en l’attribution des droits d’accès par un supérieur hiérarchique, ou bien par la remise d’une information qui lui est spécifique (code confidentiel, QR code, etc.) à la personne concernée qui devra être transmis à la personne habilitée afin qu’elle puisse déverrouiller l’accès aux données. Le ministère indique, au regard des finalités poursuivies et des contraintes opérationnelles rencontrées, qu’il n’entend pas paramétrer le dispositif de façon à limiter davantage les accès aux seuls besoins de chaque type d’utilisateur, par exemple en restreignant la consultation à un périmètre géographique ou à certains cas contacts pertinents au regard de la mission d’un enquêteur. La CNIL attire l’attention des organismes concernés de recourir à des mesures complémentaires (dont l’information et la sensibilisation à la protection des DCP). Pour la CNIL, iI est également nécessaire de définir une politique d’habilitation de leurs agents très stricte afin que seuls ceux qui ont en besoin d’en connaître accèdent à « Contact Covid ». Les habilitations délivrées doivent être limitées dans le temps et régulièrement revues, notamment pour intégrer les éventuels départs d’agents ou changements d’affectation. L’attention du ministère est attirée sur les très fortes garanties devant entourer la possible délégation de missions d’enquêtes sanitaires à d’autres organisations, dans le cadre de l’urgence sanitaire, notamment à des utilisateurs en dehors de la sphère des acteurs formés à l’accès et au traitement de données de santé au vu des risques que ferait peser une telle délégation compte tenu des mesures d’authentification prévues. Le projet de décret énumère de manière imprécise les personnes qui pourront être destinataires de certaines données. Pour la CNIL, les catégories des destinataires des données devront être précisées.

Transmission des données listées dans l’arrêté : accord de la personne concernée

Seules les données des personnes l’ayant expressément souhaité peuvent être transmises. La Caisse nationale de l’assurance maladie, en sa qualité de responsable de traitement, de pourra transmettre des données qu’à des organismes en mesure d’assurer la sécurité des données qui seraient transmises. Le projet de décret prévoit que des organismes compétents en matière de santé publique (Agence nationale de santé publique, ministère de la santé (DREES), Plateforme des données de santé (PDS), etc.) peuvent être destinataires de certaines données sous forme « pseudonymisée ». Cette transmission devra être conforme à la loi telle qu’elle sera promulguée. Les seules données transmises dans ce cadre sont celles listées dans l’arrêté.

Durée : soumise à évaluation

Le projet de décret prévoit que les données sont conservées dans le traitement « Contact Covid » pendant une durée maximale d’un an à compter de la date de la publication de la loi prorogeant l’état d’urgence sanitaire. Si la CNIL ne sous-estime pas l’intérêt, dans une logique notamment de politique sanitaire et dans un contexte évolutif de connaissances sur l’épidémie, de conserver les données ainsi collectées pour une période d’un an, elle estime que ce seul impératif ne doit pas guider la détermination de la durée de conservation des données. Elle souhaite qu’à l’issue de trois mois d’usage du dispositif « Contact Covid », la pertinence de cette durée fasse l’objet d’une évaluation. prend par ailleurs acte de l’engagement du ministère de mettre en place un mécanisme qui basculera en archivage intermédiaire dans un délai de trois mois après la clôture d’une enquête, les données ne présentant plus d’utilité dans le cadre d’une enquête sanitaire. Ces données ne seront plus accessibles en base active de l’outil « Contact Covid ».

S’agissant des données qui seraient susceptibles d’être transmises à la CNAM et à la PDS, la CNIL estime, au vu notamment des finalités et des durées de conservation prévues tant dans le projet de décret que dans l’arrêté du 23 mars 2020, que les données de « Contact Covid » n’auront vocation à intégrer le Système national des données de santé (SNDS) ou un entrepôt pérenne au sein de la PDS, que dans l’hypothèse où le droit commun l’autoriserait. A défaut de modification du cadre juridique applicable à la PDS et au SNDS à l’issue la durée de conservation prévue par le projet de décret, l’ensemble des données collectées pendant cette période devra être détruit. Pour la CNIL, les traitements mis en œuvre à partir des données transmises à la CNAM et à la PDS ne pourront, en dehors de la réalisation de nouvelles formalités, être mis en œuvre au-delà de l’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020, comme le prévoit l’arrêté du 23 mars 2020.

Par ailleurs la CNIL considère que la mise en œuvre du traitement « Contact Covid » devra en particulier garantir la maîtrise de l’authentification des personnes et de la traçabilité des actions des utilisateurs. En conséquence, celui-ci devrait prévoir la mise en place d’un mécanisme de surveillance et de scellement des traces, par exemple via des systèmes de détection automatique des connexions anormales ainsi que par la mobilisation d’équipes opérationnelles dédiées à l’analyse de ces traces de connexion, afin de garantir que d’éventuelles opérations illégitimes soient non seulement tracées mais effectivement détectées. A ce titre, la CNIL prend acte de ce qu’une supervision centralisée par un centre de sécurité opérationnel avec une gestion des alertes de sécurité est prévue et considère que ce système de supervision devrait inclure les alertes concernant la traçabilité des accès.

« SI-DE » : système national de dépistage : les observations de la CNIL sur la compatibilité du SI-DE à la PGSSIS sont semblables à celles relatives au traitement Contact Covid.

Décret no 2020-572 du 15 mai 2020 relatif au Comité de contrôle et de liaison covid-19

Le décret fixe sa composition, qui inclut ainsi deux députés et deux sénateurs désignés par les présidents de leurs assemblées respectives et compte, en outre: un membre de la Conférence nationale de santé (CNS) , un membre du Conseil national de l’ordre des médecins (Cnom), un membre du comité de scientifiques, un membre de la Commission nationale de biologie médicale (CNBM), un membre du Conseil national du numérique (CNNum), un membre du Comité consultatif national d’éthique pour les sciences de la vie et de la santé (CCNE), un membre de la Société française de santé publique (SFSPdeux membres de France Assos Santé.

Ces membres sont nommés « sur proposition des organismes auxquels ils appartiennent par le ministre chargé de la santé, qui désigne l’un d’eux comme président du comité », indique le décret. Le secrétariat du comité est assuré par la direction générale de la santé (DGS).

LOI no 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire
et complétant ses dispositions
: Comité de liaison Covid-19

l’article 11 de la loi no 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions a instauré un Comité de contrôle et de liaison covid-19 chargé d’associer la société civile et le Parlement aux opérations de lutte contre la propagation de l’épidémie par suivi des contacts ainsi qu’au déploiement des systèmes d’information prévus à cet effet. Ce comité est chargé, par des audits réguliers d’évaluer, grâce aux retours d’expérience des équipes sanitaires de terrain, l’apport réel des outils numériques à
leur action, et de déterminer s’ils sont, ou pas, de nature à faire une différence significative dans le traitement de l’épidémie. Il est également chargé de vérifier tout au long de ces opérations le respect des garanties entourant le secret médical et la protection des données personnelles.

News AVRIL 2020

StopCovis : AVIS du Conseil National du Numérique du 24 avril 2020

Dans le cadre de la réponse à la crise du COVID-19, le secrétaire d’État chargé du Numérique a saisi1 le Conseil national du numérique pour émettre un avis sur les modalités de fonctionnement et de déploiement de l’application pour téléphones mobiles StopCOVID , dont le développement a été annoncé le 8 avril 2020. Le Conseil est favorable au principe de StopCOVID, en tant que brique d’une stratégie plus globale. Le Conseil pose les conditions nécessaires pour garantir l’intérêt général et l’État de droit. Il insiste sur les facteurs-clefs de réussite pour une appropriation citoyenne : inclusion numérique, accessibilité et loyauté de l’information. Le Conseil tient cependant à souligner que ce type d’application, comme StopCOVID, ne sont qu’une partie de la réponse sanitaire dont l’efficacité dépendra sûrement plus des mesures de distanciation sociale et de la mise à disposition de tests. Pour le CNum,  » ces applications doivent être utilisées pour informer, aider et responsabiliser, plutôt que pour contrôler, stigmatiser ou réprimer les individus. Les citoyennes et citoyens doivent être rendus acteurs de la protection de leur santé et de celle des autres dans un objectif d’intérêt public ». Le CNum pose des conditions nécessaires pour garantir l’intérêt général et l’Etat de droit. En ce qui concerne la confiance, le Conseil propose de créer « un comité de contrôle, avec des parlementaires, des chercheurs et des citoyens-experts, disposant d’un pouvoir d’arrêt de l’application (recommandation n°1). Ce comité de contrôle pourrait s’assurer de la bonne mise en oeuvre du système et garantir le respect des valeurs qui le fondent tout au long de son usage. Le Conseil souhaite aussi insister sur l’importance de la limitation dans le temps du système, qui doit rester une réponse exceptionnelle à une crise. Il recommande d’encadrer l’application par un décret fixant les conditions de sa mise en oeuvre, sa durée dans le temps et des garanties sur la protection des données (base légale, finalité, proportionnalité, durée de conservation des données et du système, minimisation des données, responsable de traitement, voies de recours…). (recommandation n°2). Par ailleurs, le Conseil recommande la publication du code source de l’application et des systèmes associés ainsi que leur documentation sous des licences libres et des éléments de vulgarisation (recommandation 5). Il propose également de « Permettre le signalement des mésusages et des dérives de l’application en créant un numéro vert dédié (pression de l’employeur à installer, interdiction d’accès dans un lieu public). »(recommandation 7).

Sur la question de l’efficacité sans masse critique d’utilisateurs :

Les épidémiologistes auditionnés par le CNum estiment que l’application apportera toujours des bénéfices, car même sans atteindre un seuil critique d’utilisateurs, l’application peut avoir une utilité au sein de l’ensemble des mesures de post-confinement. Le Conseil considère que réduire la tension autour de la question du seuil serait alors de nature à favoriser son usage. L’obtention d’une masse critique d’utilisateurs dépend de plusieurs facteurs, tels que l’acceptabilité sociale de l’application et la communication dont elle sera entourée, qui influenceront son appropriation par la population, mais également l’émergence d’un consensus national autour d’un outil unique, afin d’éviter la multiplication des applications et la dispersion des efforts.

Sur le choix du bluetooth

La technologie Bluetooth est utilisée pour mesurer les distances entre les utilisateurs. La capacité du Bluetooth à mesurer précisément cette distance est encore un sujet de recherche au sein de la communauté scientifique, car cette technologie n’a pas été conçue dans ce but. Enfin, pour que l’efficacité de l’application soit optimale, il faut qu’elle soit en mesure d’enregistrer le plus de contacts possible, malgré l’accès contraint aux fonctionnalités Bluetooth sur une part importante de smartphones, pour des raisons d’économie d’énergie et pour en éviter les mésusages. Le bluetooth a été préféré au GPS, technologie considérée comme trop intrusive. Mais cette technologie qui permet de connecter des objets à un téléphone dès lors qu’ils se trouvent à faible distance. Elle n’a pas été pensé pour mesurer des distances entre deux appareils de façon précise. Le Bluetooth (tout comme le Bluetooth Low-Energy qui devrait servir dans l’appli Stop Covid) exploite la bande de fréquence des 2,4 GHz déjà largement utilisés par de nombreux autres protocoles de communication, et donc prompt aux interférences. Le Bluetooth est relativement peu sécurisé. Ou plutôt, le Bluetooth est un protocole si complexe que des failles peuvent apparaître en fonction de la façon dont il a été implémenté par le constructeur de votre appareil.

Les choix de santé publique doivent être du ressort de la puissance publique

Apple et Google se sont proposés d’aider les gouvernements dans le développement de solutions d’historique de proximité. Alors que la caractérisation des contacts pertinents (caractéristiques de qualification s’intéressent au temps d’exposition, à la distance entre deux individus, aux types de protection entre les deux individus, etc) se fait au niveau national au sein des comités scientifiques, les briques logicielles proposées par les deux géants contraignent les possibilités de calibrage de la caractérisation des contacts. Cette solution technique a un impact sur la maîtrise qu’ont les gouvernements (l’algorithme de la solution étant une composante de la politique publique) et du choix de l’architecture de l’application (centralisée ou décentralisée). Les fournisseurs de systèmes d’exploitation mobiles doivent respecter les choix souverains des Etats sans imposer ni favoriser une architecture ou un algorithme précis. Le Comité européen de la protection des données a mis en avant que les deux architectures (centralisée ou décentralisée) pouvaient être des options viables pour la protection des données, à condition que des mesures de sécurité adéquates soient en place. Néanmoins, il faut éviter le morcellement dans la mise en œuvre de la stratégie sanitaire sur le territoire national. La multiplication d’applications en France entraînerait une fragmentation du dispositif qui pourrait nuire à son efficacité. Il serait plus opportun d’associer les sociétés privées volontaires au développement d’autres outils numériques utiles dans le cadre de la crise du COVID-19.

Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » (demande d’avis n° 20006919)

Dans un contexte d’état d’urgence sanitaire et plus particulièrement dans la stratégie de dé confinement, le Gouvernement envisage de développer une application de contact tracing Stop Covid. Le secrétaire d’Etat chargé du numérique a le 20 avril 2020 saisi la CNIL pour avis concernant les conditions et modalités sur l’éventuelle mise en place de cette application.  La Commission demande, après la tenue du débat au Parlement et s’il était décidé de recourir à un tel instrument, qu’elle soit à nouveau saisie pour se prononcer sur les modalités définitives de mise en œuvre du dispositif. La Commission rappelle que la présence de données à caractère personnel ne fait pas obstacle, par principe, à la mise en œuvre du dispositif. Elle impose cependant de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives, garanties au titre desquelles l’atténuation des possibilités de réidentification constitue une mesure essentielle.

Finalité limitée à l’alerte de personnes exposées au risque de contamination : Il s’agit d’informer les personnes ayant été en contact avec une personne infectée et non d’organiser une prise de contact avec la personne alertée, de réaliser un suivi du nombre de personnes infectées ou d’identifier les zones de déplacement. Un enrichissement des finalités de l’application nécessiterait de prendre en compte le juste équilibre entre ces nouveaux objectifs et la protection de la vie privée.

Une application fondée sur le volontariat des utilisateurs. En ce qui concerne la base légale de l’application StopCovid,

Le traitement de données personnelles n’est possible que dans certaines hypothèses constituant des bases légales. Stop Covid pourrait correspondre à 2 d’entre elles : le consentement et l’intérêt public. Chaque base légale obéit à des conditions spécifiques et emporte des conditions juridiques particulières. Le choix est une opération délicate et il faut en choisir une seule. Selon la CNIL, la lutte contre l’épidémie de COVID-19 constitue une mission d’intérêt général dont la poursuite incombe en premier lieu aux autorités publiques. Donc la mission d’intérêt publique est la base légale la plus appropriée pour StopCovid (Avis CEPD 21 avril 2020 :l’intérêt publique est la base légale la plus appropriée). La Commission recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national.

L’atteinte portée à la vie privée ne sera en l’espèce admissible que si, en l’état des informations immanquablement lacunaires et incertaines dont il dispose pour affronter l’épidémie, le gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population qui porte par lui-même une atteinte très forte à la liberté d’aller et venir. L’application comporte aussi des limites ex : elle nécessite qu’une proportion l’utilise alors qu’une partie de la population ne dispose pas de téléphone. De plus, l’application serait inutile quand les personnes infectées sont asymptomatiques. La CNIL rajoute que cette mesure doit être complémentaire, dans le cadre d’une réponse sanitaire globale. Elle ne peut pas être une mesure autonome. L’identification du responsable de traitement permet d’établir qui est responsable du respect des règles en matière de protection des données personnelles. Compte tenu de la sensibilité des données collectées, la Commission est d’avis que le dispositif devrait être conçu de telle manière que le ministère chargé de la santé ou toute autre autorité sanitaire impliquée dans la gestion de la crise sanitaire puisse assurer la responsabilité de traitement. Comme tout traitement susceptible de présenter des risques élevés une analyse d’impact sur la protection des données (AIPD) devra être réalisée avant toute mise en œuvre d’un tel dispositif.

Sécurité

La Commission souligne que le présent avis s’appuie sur le corpus documentaire qui lui a été transmis, qu’il ne couvre pas l’ensemble des caractéristiques du traitement et que le protocole proposé est encore à ce jour en constante évolution. Elle estime néanmoins nécessaire d’attirer dès maintenant l’attention du Gouvernement sur les quatre points suivants. La Commission relève que :

– le dispositif envisagé comprend un serveur chargé de la centralisation des identifiants des personnes exposées. Afin d’apporter les garanties les plus élevées possibles contre tout détournement de finalité lié à ce choix, elle estime nécessaire que des mesures de sécurité organisationnelles et techniques de très haut niveau soient mises en place, en accord avec un modèle de sécurité adapté prenant en compte tout acte malveillant. A ce titre, elle attire l’attention sur les clés de chiffrement permettant l’accès aux identifiants des personnes concernées, qui pourraient par exemple être protégées via des modules de sécurité matériels, ainsi que des tiers de confiance indépendants.

Des mesures doivent être mises en œuvre à la fois dans le serveur central et dans l’application pour éviter de pouvoir recréer un lien entre ces pseudonymes temporaires et des informations spécifiques au terminal liées à la technologie Bluetooth (comme le nom de l’équipement mobile ou son adresse MAC) permettant d’identifier les utilisateurs.

Seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en œuvre, afin d’assurer l’intégrité et la confidentialité des échanges. Elle relève à cet égard l’usage de l’algorithme 3DES, envisagé à ce stade, et attire l’attention du ministère sur le fait que conformément au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information cet algorithme ne devrait en principe plus être utilisé.

– Le dispositif envisagé ne prévoit pas de mécanisme d’enrôlement des personnes lors de la première utilisation de l’application, ce qui permet de limiter les données personnelles collectées. Toutefois, il pourrait en résulter un risque d’attaque accru qui n’est acceptable que dans la mesure où un tel mécanisme d’enrôlement des personnes remettrait en question la logique de pseudonymat du traitement. Il faudrait donc mettre en place des mesures appropriées afin de lutter contre ce risque.

Par ailleurs, la Commission accueille favorablement le fait que des éléments de documentation technique ont déjà été rendus publics. Elle souligne à cet égard l’importance d’assurer le libre accès aux protocoles utilisés ainsi qu’au code source de l’application, du serveur central et leur paramétrage. Il s’agit tant de permettre à la communauté scientifique de contribuer à l’amélioration constante du dispositif et à la correction des éventuelles vulnérabilités que de garantir une parfaite transparence visà-vis de l’ensemble des citoyens. Elle recommande par ailleurs, afin de maximiser la qualité de la solution, que les commentaires et débats de la communauté scientifique soient pris en compte.

Délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Le ministre des solidarités et de la santé a saisi la CNIL d’une demande d’avis concernant un projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire. Le projet d’arrêté a pour objet, dans le contexte d’urgence lié à la gestion de la crise sanitaire actuelle, d’organiser le regroupement de données à caractère personnel, comprenant des données de santé, afin de permettre leur utilisation en vue de suivre et projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie et d’organiser le système de santé pour combattre l’épidémie et en atténuer les impacts.

Co-responsabilité (art 26 du RGPDP) : Accort de coresponsabilité définissant de manière transparente les obligations du HDH et de la CNAM. En outre, cet accord devra préciser les modalités de transfert des données entre le HDH et la CNAM

le HDH et la CNAM seront conjointement responsables des traitements décrits dans le projet. Le HDH est responsable du stockage et de la mise à disposition des données et est autorisé à opérer des croisements de données . Le projet mentionne par ailleurs que la CNAM est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques à cette fin. La Commission relève cependant que le projet prévoit que les données peuvent être traitées dans la solution technique de la Plateforme des données de santé, ainsi que dans celle de la CNAM. Il en résulte que la CNAM pourrait également être amenée à stocker et à mettre à disposition des données dans le cadre du traitement envisagé.

Traitements ultérieurs soumis à autorisation de la Cnil pas de recours à la MR-004. Le projet prévoit que seuls peuvent traiter les données ainsi rassemblées par la Plateforme des données de santé les acteurs suivants : des responsables de traitement autorisés dans les conditions prévues aux articles 66 et 76 de la LIL, l’Etat mettant en œuvre des traitements mentionnés au 6° de l’article 65 ou les organismes et les services chargés d’une mission de service public mentionnés à l’article 67. Le ministère envisage de prendre l’arrêté prévu par l’article 67, afin de déterminer les listes des organismes et services chargés d’une mission de service public en lien avec l’alerte sanitaire. La CNIL rappelle donc qu’en dehors des organismes et services figurant sur cette liste, ainsi que l’Etat, pour les traitements prévus à l’article 65-6° de la LIL, les traitements mis en œuvre à partir des données contenues dans cet entrepôt devront faire l’objet d’une demande d’autorisation auprès d’elle, qui ne pourra intervenir, s’agissant des recherches, études et évaluations dans le domaine de la santé, qu’après avis du comité compétent. La conformité de ces traitements à la méthodologie de référence MR-004 est de fait exclue, dans la mesure où les personnes concernées ne seront informées individuellement ni de la constitution de cet entrepôt, ni des traitements ultérieurs mis en œuvre à partir des données qu’il contient.

Finalité : réalisation des traitements mis en œuvre dans le cadre des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de COVID-19

La constitution de l’entrepôt de données a pour objet de permettre leur mise à disposition pour la réalisation de traitements ultérieurs. Le projet mentionne que les données contenues dans cet entrepôt ne pourront être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de COVID-19. Cette finalité, très générale, sera interprétée au regard des finalités de constitution de l’entrepôt indiquées à l’article 1er et des considérants du projet, qui précisent notamment que « la capacité à mobiliser les données de santé est un axe essentiel de la lutte contre l’épidémie de covid-19 et qu’il est nécessaire de poursuivre et anticiper les évolutions de l’épidémie, prévenir, diagnostiquer et traiter au mieux la pathologie et adapter l’organisation de notre système de santé pour combattre l’épidémie et en atténuer les impacts ». Elle relève par ailleurs que le projet d’arrêté ne fait, sinon à travers la mention de sa base légale, référence ni à l’urgence qui s’attache la production des résultats des analyses réalisées dans le cadre de ces traitements, ni à la durée de leur mise en œuvre. S’agissant d’une solution temporaire et déployée spécifiquement afin de faire face à l’épidémie de -COVID19 dans le cadre de l’état d’urgence sanitaire, la Commission prend acte de l’engagement du ministère de préciser dans l’arrêté que les traitements 5 mis en œuvre à partir des données de l’entrepôt n’ont pas vocation à s’inscrire dans la durée et ne pourront, en dehors de la réalisation de nouvelles formalités, être mis en œuvre au-delà de l’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020

Données collectées : limitées aux données nécessaires à la réalisation des traitements mis en œuvre dans le cadre des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de COVID-19 (principe de minimisation)

La Commission relève, au-delà du caractère très générique des catégories décrites, qu’il n’est fait mention ni de la profondeur historique des données, ni de leur nature exacte, notamment au regard de l’intérêt que peut présenter leur analyse dans le cadre de l’épidémie de COVID-19. A titre d’exemple, le projet mentionne, sans plus de détail, la remontée possible de données issues du SNDS ou de « données de pharmacie ». Elle rappelle qu’en application du principe de minimisation des données prévu par l’article 5-1-c du RGPD, les données devront être adéquates, pertinentes et limitées à ce qui est nécessaire au vu de la finalité poursuivie, tant s’agissant des données figurant dans l’entrepôt au sein de la Plateforme des données de santé, que des données mises à disposition pour la réalisation de traitements ultérieurs. A cet égard, la Commission prend acte de l’engagement du ministère de compléter le projet afin qu’il précise clairement que la Plateforme des données de santé et la CNAM ne peuvent, dans le cadre de l’arrêté examiné, collecter que les données nécessaires à la réalisation des traitements mis en œuvre dans le cadre des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de COVID-19. Elle rappelle que l’arrêté ne doit pas permettre une remontée systématique et exhaustive de l’ensemble des données dont la liste figure dans le projet, indépendamment des besoins de ces projets. La Commission rappelle par ailleurs, concernant chacun des traitements qui viendrait alimenter l’entrepôt ainsi constitué, qu’il devra préalablement avoir été créé et mis en œuvre conformément aux dispositions du RGPD et de la LIL, notamment s’agissant des formalités prévues par cette dernière le cas échéant. Enfin, elle relève que le projet prévoit que les solutions techniques de mise à disposition des données ne peuvent contenir ni les nom et prénoms des personnes, ni leur numéro d’inscription au répertoire d’identification des personnes physiques (NIR), ni leur adresse.

Durée de conservation : durée de l’état d’urgence sanitaire et durée de droit commun (si adoption d’un cadre juridique de droit commun applicable au HDH)

Le projet ne mentionne pas de durée de conservation précise, s’agissant des données contenues dans l’entrepôt. Cependant, le projet s’inscrivant dans le cadre de l’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020, la Commission en déduit que les données ne devront être conservées dans celui-ci que pour la durée de l’état d’urgence sanitaire. S’agissant de ces données, le ministère a précisé que celles dont la conservation sera prévue par le décret mentionné à l’article L. 1461-7 CSP, ainsi que par l’arrêté qui viendra préciser les bases de données figurant au « catalogue » de 6 la Plateforme des données, seront conservées en application des règles de droit commun, tandis que les autres catégories de données seront détruites. La Commission en prend acte. Elle considère cependant que dans l’hypothèse où l’adoption du cadre juridique de droit commun applicable au HDH n’aurait pas pu être finalisé à l’issue de l’état d’urgence sanitaire, l’ensemble des données collectées pendant cette période devra être détruit.

Sur l’information des personnes et exercice des droits : nécessité d’une information des personnes sur la constitution de l’entrepôt et de la valorisation de ces données dans le cadre de projets de recherche

Le projet ne prévoit aucune modalité d’information ou d’exercice des droits particulière quant à la constitution de l’entrepôt ou aux traitements mis en œuvre ultérieurement. La Commission rappelle cependant que les personnes concernées devront être informées, s’agissant du traitement de données visant à la constitution de l’entrepôt, puis de chaque projet de recherche menée à partir des données qu’il contient, dans les conditions prévues par l’article 14 du RGPD. A ce titre, en application des dispositions de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions dans l’hypothèse où la fourniture d’une telle information se révèlerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, il appartient au responsable de traitement de prendre des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes des personnes concernées, y compris en rendant les informations publiquement disponibles. Elle demande donc, en prenant en considération le contexte de crise sanitaire actuel ne permettant pas de procéder à une information individuelle de l’ensemble des personnes concernées, que des mesures appropriées soient prises et que l’information relative au traitement de données visant à la constitution de l’entrepôt et à chaque projet de recherche mené à partir des données qu’il contient soit rendue publique, notamment en faisait figurer dans le répertoire public mentionné dans le projet, l’ensemble des informations prévues à l’article 14 du RGPD. Elle rappelle notamment que cette information devra détailler les modalités d’exercice des droits des personnes concernées et que les responsables de traitement devront prévoir les mesures nécessaires pour faire droit à ces demandes.

Transferts hors UE : le HDH doit exiger de son hébergeur que les données au repos soient hébergées au sein de l’UE

La Commission relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur. Le contrat permet cependant à la Plateforme, à travers les « Conditions des services en ligne » de choisir le lieu d’hébergement des données. En outre, les informations fournies par la Plateforme des données de santé mentionnent explicitement le recours à un hébergeur certifié « hébergeur de données de santé ». A cet égard, la Commission prend acte de ce que le ministère s’est engagé à ce que le HDH exige de son hébergeur que les données « au repos » soient hébergées au sein de l’Union européenne.

La Commission souligne toutefois que cette localisation ne s’applique qu’aux données « au repos », alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident. A cet égard, les dispositions contractuelles de sous-traitance conclues entre la Plateforme des données de santé et le prestataire chargé de l’hébergement des données, stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés. Ces transferts font l’objet d’un encadrement conformément au Chapitre V du RGPD, étant régis en l’espèce par des clauses contractuelles types, conformément à l’article 46-2-c de ce règlement. La Commission rappelle, dans ce contexte, les inquiétudes soulevées à plusieurs reprises par le CEPD concernant l’accès par les autorités des Etats-Unis aux données transférées aux Etats-Unis, plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale en vertu de l’article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333.

Ces problématiques sont actuellement soumises à la Cour de justice de l’Union européenne dans le cadre d’une demande de décision préjudicielle formée par la High Court of Ireland concernant la validité de la décision 2010/87/UE, par laquelle la Commission européenne a établi des clauses contractuelles types pour certaines catégories de transferts. Un arrêt de la Cour dans cette affaire (C-311/18) est attendu dans les mois qui viennent. La Commission rappelle également que les traitements mis en œuvre par le soustraitant sont soumis aux dispositions du RGPD, et notamment aux restrictions relatives aux transferts et divulgations non autorisées par le droit de l’Union. Toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers, adressée au sous-traitant, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée, ne pourrait donc être considérée comme licite. Elle relève également que les dispositions contractuelles de sous-traitance prévoient une obligation de notification au responsable du traitement de toute demande de divulgation des données traitées adressée au sous-traitant en France, sauf interdiction légale, qui ne saurait être fondée qu’en droit de l’Union ou national. Au vu de ce contexte et de la sensibilité des données dont le traitement est envisagé, pour lesquelles une protection plus élevée doit être assurée, ainsi que des éventuels risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers, la Commission demande qu’une vigilance particulière soit accordée, dans la mise en œuvre de l’arrêté, aux conditions de conservation et aux modalités d’accès aux données, et recommande que la Plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l’Union européenne.

A plus long terme, elle prend acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire et souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.

Sécurité : seules les données anonymisées seront exportées…

A titre liminaire, La Commission se doit de souligner que la mise en œuvre effective de la solution technique de conservation et de mise à disposition des données de la Plateforme des données de santé, ainsi que la constitution de son « catalogue » de données, ne devaient initialement intervenir que postérieurement à l’entrée en vigueur d’un cadre juridique précis accompagné de la mise en œuvre de l’ensemble d’un plan d’action. En effet, la Commission relève que la solution technique a fait l’objet d’une analyse globale des risques et des impacts sur la vie privée, suivie d’une homologation le 16 décembre 2019 selon le référentiel de sécurité du SNDS, avec un plan d’action conséquent de mise en œuvre de mesures de sécurité s’étalant sur une période de plusieurs mois. Elle relève en outre que l’homologation des espaces projets par les responsables de traitement des projets pourrait faire l’objet d’une procédure dérogatoire dans le cadre de la crise sanitaire. La Commission s’interroge donc sur les conditions de démarrage anticipé de la solution technique dans un contexte où la Plateforme de données de santé a dû accomplir en quelques semaines des opérations, dont certaines structurantes, pour garantir la sécurité des données traitées étaient prévues pour s’étaler sur plusieurs mois. La Commission souligne en conséquence que le HDH devra s’assurer que cette mise en œuvre anticipée n’engendre pas de risque supplémentaire pour les personnes concernées. Par ailleurs, la Commission rappelle l’importance de la mise en place d’une gouvernance centralisée de la sécurité informatique de la solution technique, qui doit être assurée avec un niveau d’indépendance suffisant vis-à-vis de la direction du HDH. Elle relève que cette exigence ne semble actuellement pas remplie, alors que le contexte de mise en place en urgence de la solution technique rend cette exigence d’autant plus d’actualité. Bien que la situation actuelle ne soit que transitoire, la Commission appelle la Plateforme des données de santé à mettre en place dans les plus brefs délais une gouvernance dédiée et indépendante chargée de la sécurité.

La Commission relève par ailleurs que la Plateforme des données de santé a réalisé une analyse d’impact relative à la protection des données consacrée à la solution technique dans sa version dédiée aux projets en lien avec le COVID-19, ainsi qu’une analyse actualisée de conformité au référentiel de sécurité du SNDS. Elle relève que cette analyse permet d’appréhender correctement l’ensemble des mesures mises en place par la Plateforme des données de santé dans sa démarche de conformité aux principes de la protection des données personnelles, et souligne que cette analyse a été réalisée en conformité avec les principes du RGPD.

Concernant la transmission des données des producteurs de données vers la Plateforme, la Commission prend acte que la procédure qui sera appliquée a fait l’objet d’échanges avec l’Agence nationale de sécurité des systèmes d’information. Les données seront chiffrées avec des clés de chiffrement renouvelées à chaque échange et transmises à travers un canal sécurisé mis en place à l’initiative des opérateurs projets, assurant notamment l’authentification de la source et du destinataire et le chiffrement du flux. Etant donné la diversité des sources possibles, des discussions au cas par cas sur les modalités de transferts sont également envisagées. La Commission rappelle que si les modalités opérationnelles de transfert peuvent en effet être adaptées à des cas particuliers, cela ne devra en aucun cas affaiblir le niveau de sécurité des données. A cet égard, une convention de transfert des données devra être signée entre le HDH et chaque fournisseur de données afin d’encadrer la transmission des informations, en précisant notamment la fréquence des mises à jour et les conditions de sécurité du transfert. La Commission prend acte de ce que le HDH recevra uniquement des données préalablement pseudonymisées par les producteurs de données, selon les modalités également précisées dans la convention de transfert des données. Suite à des échanges avec le ministère, il a été indiqué à la Commission que dans le cas particulier d’un appariement déterministe au moyen du NIR des personnes concernées, via le circuit CNAM, un pseudonyme obtenu à partir d’une fonction cryptographique irréversible appliquée au NIR est également fourni à la Plateforme des données de santé. Pour autant, la Commission relève que ces modalités de pseudonymisation ne semblent pas détaillées dans l’analyse d’impact relative à la protection des données et que les conséquences en termes de risques de ré identification pour les personnes ne semblent pas clairement établies à ce stade. Elle relève également que le projet d’arrêté ne prévoit pas la transmission du NIR à la Plateforme des données de santé. Compte tenu du contexte de la saisine et des informations transmises, la Commission n’est pas en capacité d’appréhender pleinement les conséquences du recours à un tel pseudonyme et ne saurait se prononcer sur ce point. Après réception des données, les pseudonymes utilisés pour la transmission seront remplacés par des pseudonymes aléatoires dans l’espace opérateur de la solution technique. La Commission relève qu’une table de correspondance entre les pseudonymes initiaux et ceux générés par la Plateforme sera conservée. La Commission prend acte que cette table de correspondance sera conservée dans une sous-partie isolée de l’espace opérateur, qu’elle sera chiffrée avec une clé dédiée et dont l’utilisation nécessitera l’action conjointe de deux employés de la Plateforme des données de santé ayant des rôles distincts. Afin d’améliorer encore le niveau de sécurité et dans la mesure où l’accès à ces clés ne semble pas nécessaire dans le cadre du fonctionnement courant des projets, la Commission recommande que ces clés soient stockées dans une base distincte gérée par la Plateforme de données de santé elle même ou bien par un autre sous-traitant. Lors de la mise à disposition des données au sein des espaces projets, de nouveaux pseudonymes seront générés, assurant ainsi l’utilisation d’identifiants différents au sein de chaque projet pour un même individu. La Commission s’interroge toutefois sur les modalités pratiques de pseudonymisation mise en œuvre par la Plateforme des données de santé pour cette mise à disposition, notamment en cas de mise à jour des données au sein de ces espaces projets. Elle attire donc l’attention du ministère sur la nécessité de prévoir des modalités de pseudonymisation des données précisant, le cas échéant, le choix de l’opération cryptographique irréversible utilisée ainsi que la procédure de gestion des secrets associés ou encore la sécurité renforcée appliquée en conséquence à la table de correspondance. La Commission prend acte de ce que l’ensemble des échanges de données ayant lieu lors de l’utilisation des espaces projets de la solution technique seront réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et du destinataire.

La Commission prend également acte de ce que les données stockées seront chiffrées avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la Plateforme sur un boîtier chiffrant maitrisé par la Plateforme des données de santé. La Commission relève toutefois qu’afin de bénéficier de toutes les capacités de la solution technique de l’hébergeur ces clés devront lui être confiées. Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données. La Commission relève que des mesures techniques sont mises en place afin de maitriser les accès des administrateurs des sous-traitants en charge de la solution technique. Une fonctionnalité d’autorisation préalable des accès administrateurs est activée selon l’analyse d’impact relative à la protection des données réalisée. Néanmoins, la Commission relève que cette fonctionnalité ne semble pas mentionnée dans les contrats fournis. En outre, la Commission s’interroge sur l’effectivité de cette mesure qui ne semble pas couvrir la totalité des accès possibles.

La Commission relève que le projet prévoit que les données ne peuvent être traitées que dans les solutions techniques de la Plateforme des données de santé et de la CNAM, et ne peuvent pas en être extraites. Les fonctionnalités d’exportation automatique ne seront pas utilisables par les entités accédant aux données dans les espaces projets. La Commission s’interroge toutefois sur l’effectivité du blocage de toute possibilité d’exportation. Les pièces du dossier indiquent que les procédures d’audits systématiques des exportations par les opérateurs de données sont maintenues, ainsi que l’obligation, pour les utilisateurs de s’engager à ne pas exporter de données à caractère personnel et à mettre en place des mécanismes de traçabilité des opérations d’exportation. En conséquence la Commission appelle le ministère à indiquer explicitement que toutes les fonctionnalités d’exportation des données seront totalement désactivées et inaccessibles aux utilisateurs, soit en indiquant que les données à caractère personnel hébergées sur la plateforme ne pourront faire l’objet d’aucune exportation, que seules des données ayant fait l’objet d’une procédure d’anonymisation dans les règles de l’art pourront être exportées et que ces exports seront préalablement et systématiquement audités afin de s’assurer du caractère anonyme des données exportées. La Commission rappelle en effet que seules des données anonymes peuvent être exportées hors d’un environnement homologué conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS. Le ministère s’est engagé à ce que le HDH tienne à sa disposition un registre incluant notamment l’ensemble des projets mis en œuvre et détaillant tous les accès ouverts pour et par les responsables de traitement des projets. La Commission en prend acte. La Commission prend également acte qu’une procédure de gestion des identités et des habilitations est définie par le responsable de la sécurité des systèmes d’information (RSSI) de la Plateforme des données de santé et mise en œuvre sous la responsabilité du directeur technique.

Circuit de remontée hebdomadaire des données du PMSI :

L’article1-II du projet prévoit que, sans préjudice du circuit prévu par l’arrêté du 23 décembre 2016 modifié, les établissements de santé mentionnés à l’article 1er du même arrêté transmettent, selon une périodicité hebdomadaire, les fichiers anonymes mentionnés au I de l’article 5 du même arrêté directement à l’Agence technique de 11 l’information sur l’hospitalisation (ATIH). Ces données seront ensuite transmises sans délai à la CNAM afin d’alimenter le SNDS. La Commission relève cependant que le projet ne précise pas, à l’inverse du courrier de saisine l’accompagnant, que cette remontée d’informations « n’a pas vocation, dans le contexte de forte mobilisation des établissements, à faire réaliser par ceux-ci des remontées exhaustives d’activité de façon hebdomadaire mais d’ouvrir une remontée hebdomadaire permettant d’intégrer en priorité l’activité liée à l’épidémie ». Elle demande donc que cette précision soit ajoutée dans le projet. La Commission prend toutefois acte de l’engagement du ministère de mentionner dans le projet que les données remontées dans ce cadre ne pourront pas être utilisées pour les finalités pour lesquelles elles sont habituellement collectées, détaillées à l’article L. 6113-8 CSP, sauf s’agissant de la veille et la vigilance sanitaires. La Commission rappelle que les données auxquelles il est fait référence, qui sont des données pseudonymisées, ne sauraient être considérées comme anonymes au sens du RGPD, tel qu’éclairé par l’avis du G29 n° 05/2014 du 10 avril 2014 relatif aux techniques d’anonymisation. Elle prend acte de l’engagement du ministère de modifier le projet sur ce point, afin qu’il ne soit plus fait référence à des données « anonymes ». Tout traitement de ces données devra donc intervenir dans le respect des dispositions du RGPD et de la loi « informatique et libertés », s’agissant de données à caractère personnel.

COVID-19 Data Portal : Plateforme européenne de partage de données sur le COVID-19 pour la recherche

Cette plateforme européenne de données sur le COVID-19 ,va permettre de recueillir et de partager rapidement les données de recherche disponibles. La plateforme, qui fait partie du plan d’action ERAvsCorona, Les chercheurs pourront stocker et partager des ensembles de données, tels que des séquences d’ADN, des structures protidiques, des données provenant de la recherche préclinique et des essais cliniques, ainsi que des données épidémiologiques. Elle est le résultat d’un effort conjoint entre la Commission européenne, l’Institut européen de bioinformatique du Laboratoire européen de biologie moléculaire (EMBL-EBI), l’infrastructure Elixir et le projet COMPARE, ainsi que les États membres de l’UE et d’autres partenaires. La plateforme européenne de données sur la COVID-19 respecte les principes définis dans la déclaration sur le partage de données lors d’urgences de santé publique et renforce l’engagement de la Commission à promouvoir les données issues de la recherche ouverte ainsi que la science ouverte, dont l’objectif est de rendre la science plus efficiente, plus fiable et plus réactive face aux défis sociétaux. Dans ce contexte, la plateforme constitue aussi un projet pilote prioritaire, qui vise à atteindre les objectifs du nuage européen pour la science ouverte (EOSC), et qui tire parti des contacts établis entre le EMBL-EBI et les infrastructures nationales de données de santé publique.

Plateforme européenne de données sur la COVID-19

https://wellcome.ac.uk/press-release/statement-data-sharing-public-health-emergencies

Recommandations de la Commission européenne pour le maintien des essais cliniques

La Commission a publié ce jour des orientations visant à garantir que les essais cliniques puissent continuer à avoir lieu dans l’UE durant la pandémie de COVID-19. L’objectif est de maintenir la recherche sur les traitements critiques, y compris les maladies chroniques et les maladies rares, au moyen d’essais cliniques en Europe. S’appuyant sur plus de 200 essais cliniques sur le coronavirus actuellement enregistrés dans la base de données de l’Union européenne (EudraCT), les orientations recommandent des mesures simples et flexibles pour répondre à la situation actuelle et garantir que les patients qui participent à des essais cliniques dans l’UE continuent à recevoir leurs médicaments. Ces mesures seront utilisées exclusivement pendant la pandémie de COVID-19 et seront abrogées une fois que la crise sanitaire actuelle dans l’UE/EEE sera résolue. Le 4 mai, la conférence internationale des donateurs marquera le début de la coopération à l’échelle mondiale et du soutien pour ces travaux, l’objectif étant de mobiliser 7,5 milliards d’euros au bénéfice de la communauté mondiale.

Arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Article 10-7 (Créé par Arrêté du 21 avril 2020 – art. 1)

I. – Aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19, le groupement d’intérêt public mentionné à l’article L. 1462-1 du code de la santé publique et la Caisse nationale de l’assurance maladie sont autorisés à recevoir les catégories de données à caractère personnel suivantes : – les données issues du système national des données de santé mentionné à l’article L. 1461-1 du même code ; -des données de pharmacie ; – des données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine ; – des résultats d’examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville ; – des données relatives aux urgences collectées par l’Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences ; – des données relatives aux appels recueillis au niveau des services d’aide médicale urgente et des services concourant à l’aide médicale urgente ; – des données relatives à l’activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d’hébergement pour personnes âgées dépendantes ; – des enquêtes réalisées auprès des personnes pour évaluer leur vécu ; – des données non directement identifiantes issues du système d’identification unique des victimes mentionné à l’article L. 3131-9-1 du code de la santé publique ;- des données cliniques telles que d’imagerie, de pharmacie, de biologie, de virologie, de comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation.

II. – Le groupement d’intérêt public et la Caisse nationale de l’assurance maladie ne peuvent collecter que les données nécessaires à la poursuite d’une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19. Ils sont responsables du stockage et de la mise à disposition des données. Ils sont autorisés à croiser les données mentionnées au I. La Caisse nationale de l’assurance maladie est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques à cette fin. Seuls des responsables de traitement autorisés dans les conditions prévues aux articles 66 et 76 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, l’Etat mettant en œuvre des traitements mentionnés au 6° de l’article 65 de cette même loi, la Caisse nationale de l’assurance maladie mettant en œuvre des traitements mentionnés au 3° de l’article 65 de cette même loi, ou les organismes et les services chargés d’une mission de service public mentionnés à l’article 67 de cette même loi, peuvent traiter les données ainsi rassemblées par le groupement d’intérêt public.

III. – Les données ne peuvent être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19 et pour la durée de l’état d’urgence sanitaire institué pour faire face à cette épidémie. Les données ne peuvent être traitées que sur la plateforme technologique du groupement d’intérêt public et sur la plateforme de la Caisse nationale de l’assurance maladie, et ne peuvent pas en être extraites. Au sein de ces plateformes, les données ci-dessus mentionnées ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse. Le groupement d’intérêt public établit et met à disposition sur son site internet un répertoire public qui recense la liste et les caractéristiques de tous les projets portant sur ces données.

IV. – Sans préjudice des dispositions de l’article 6 de l’arrêté du 23 décembre 2016 relatif au recueil et au traitement des données d’activité médicale et des données de facturation correspondantes, produites par les établissements de santé publics ou privés ayant une activité en médecine, chirurgie, obstétrique et odontologie, et à la transmission d’informations issues de ce traitement dans les conditions définies à l’article L. 6113-8 du code de la santé publique, les établissements de santé mentionnés à l’article 1er du même arrêté transmettent, selon une périodicité hebdomadaire, les fichiers mentionnés au I de l’article 5 du même arrêté directement à l’Agence technique de l’information sur l’hospitalisation. Cette agence traite les données et transmet sans délai à la Caisse nationale de l’assurance maladie les données ayant vocation à alimenter le système national des données de santé. Les données ainsi transmises ne peuvent être traitées pour les finalités mentionnées au premier alinéa de l’article L. 6113-8 du code de la santé publique, à l’exception de la veille et la vigilance sanitaires.

Télésoin (masseurs-kinésithérapeutes) : Arrêté du 16 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Art. 7-1. Certains actes listés de masso-kinésithérapie pourront être réalisés à distance par télésoin par vidéotransmission. La pertinence du recours au télésoin est déterminée par le praticien. Le professionnel doit avoir déjà promulgué un soin au patient en présentiel. Pour les mineurs, la présence d’un des parents majeurs ou d’un majeur autorisé est requise et celle d’un aidant l’est pour les patients présentant une perte d’autonomie.

Ces actes pourront être remboursés par l’assurance maladie.

Télésoin (ergothérapeutes et psychomotriciens) et IVG médicamenteuse : Arrêté du 14 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Des actes d’ergothérapie et de psychomotricité pourront être réalisés par télésoin par vidéotransmission si l’auxiliaire médical l’estime pertinent. Une consultation préalable en présentiel est nécessaire. Pour les mineurs de 18 ans, la présence d’un des parents majeurs ou d’un majeur autorisé est nécessaire. Pour les patients présentant une perte d’autonomie, la présence d’un aidant est requise. L’IVG médicamenteuse (Art 10-3): La première prise des médicaments peut être effectuée par téléconsultation avec un médecin ou une sage femme. Le consentement libre et éclairé de la patient et l’accord du professionnel de santé sont nécessaire. La délivrance du médicament prescrit à la patiente par le médecin est réglementée et s’effectue sans frais et anonymement. De plus, le délai pour recourir à une IVG médicamenteuse est prolongé de 2 semaines. Il passe de 5 à 7.

Télémédecine, ordonnances : Arrêté du 14 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Report du 15 avril au 11 mai de plusieurs mesures de l’arrêté du 23 mars.

Covid-19 : ouverture complète des publications et données scientifiques issues de la recherche française sur le Covid-19.

Pour assurer la diffusion immédiate des résultats, indispensable à l’avancée rapide vers des solutions, il est demandé aux porteurs des projets qui ont été sélectionnés dans le cadre de l’appel à projets « flash » de l’Agence nationale de la recherche, ou dans celui de la procédure accélérée Covid-19 du ministère des Solidarités et de la Santé, de mettre à disposition du public leurs données ainsi que leurs résultats. Pour l’ensemble des projets mise en oeuvre, cela consiste à : i) Diffuser de manière précoce des résultats via des plateformes de prépublication ouvertes, ii) Déposer sans délai des publications acceptées en texte intégral sur une archive ouverte. La publication dans des revues en accès ouvert est fortement encouragée; iii) Partager les protocoles et les données provisoires, puis finales dans le respect des règles établies (R.G.P.D.), iv) Mettre en place un « plan de gestion des données » avec mise à jour et transmission au financeur. Plus largement, et dans le cadre général d’une politique de partage des données de recherche publique selon la logique FAIR (Facile à trouver, Accessible, Interopérable, Réutilisable), les ministres souhaitent la mise à disposition au public de l’ensemble des publications, dans toutes les disciplines, qui peuvent nourrir la recherche sur l’épidémie de COVID.

COVID-19 : Agrément HDS prorogé

Art 3 de l’ordonnance n°2020-306 du 25 mars 2020

En raison de la pandémie du Covid-19 et de la crise sanitaire qui en découle, tout agrément d’hébergement de données de santé qui arrivera à échéance entre le 12 mars et à l’expiration d’une délai d’un mois à compter de la date de cessation de l’Etat d’urgence sanitaire sont prorogés de plein droit jusqu’à l’expiration d’un délai de 2 mois suivant la fin de cette période.

COVID -19 : L’AP-HP, l’Inria et SFR surveillance épidémiologique

SFR va fournir les données mobiles liées au positionnement géographiques de ses clients à l’Assistance publique-hôpitaux de Paris (AP-HP) et à l’Institut national de recherche en sciences et technologies du numérique (Inria). Ce transfert de données anonymisées et agrégées vise à affiner les modèles de prévision des afflux de patients attendus dans les hôpitaux de l’AP-HP et les autres hôpitaux situés dans les autres régions. Il s’agit d’une surveillance généralisée des déplacements de population. Ce projet est semblable au projet entre Orange et l’Institut National de la santé et de la recherche médicale (Inserm). L’analyse des données de déplacement avant et après le confinement vise à mieux prévoir la propagation du virus. Sur l’aspect protection des données à caractère personnel, dès lors que les données sont anonymisées, le RGPD n’est plus applicable. Le risque d’atteinte à la vie privée devrait en principe être limité. Cependant, le risque de ré-identification existe.

Comité de pilotage : Recherche COVID-19 AP-HP

L’AP-HP a créé un comité de pilotage Recherche Covid -19 AP-HP afin d’aider en liaison avec l’Inserm et les Universités, à piloter et organiser la recherche sur Covid-19. Elle dispose dans un même CHU du continuum recherche fondamentale / translationnelle / clinique / médico-économique / organisationnelle et travaille en liaison étroite avec le consortium REACTing, piloté par l’Inserm et Aviesan et avec les universités. Ce comité sera , en liaison avec la direction de la recherche clinique et de l’innovation de l’AP-HP notamment de :diffuser aux chercheurs AP-HP l’information sur l’effort collectif et collaboratif de recherche, recenser et prioriser les projets de recherche au sein de l’institution, pour éviter les doublons, consolider les thématiques, fédérer les disciplines, aider à l’obtention d’une promotion, aider à la soumission et au franchissement accéléré des étapes réglementaires, et dans la mesure du possible leur allouer des moyens, avant ou après la soumission aux appels d’offres. Yannick Vacher est chargé de centraliser les projets…, homogénéiser le codage Covid-19 dans le PMSI sur la base des recommandations du département d’information médicale (DIM) pour les cas avérés et les cas suspects, …organiser une biobanque AP-HP pour stocker et centraliser les différents prélèvements, des cohortes et essais relatifs au Covid-19

COVID-19 : Autorisation de la téléconsultation par téléphone

Le ministre des solidarités et de la santé a autorisé par exception les consultations par téléphone. Ces consultations, qui seront donc réservées aux patients atteints ou suspectés de Covid, ou bien en affection de longue durée ou âgés de plus de 70 ans, sans moyens vidéo, seront prises en charge comme les autres téléconsultations dans le cadre de la crise sanitaire.

La « Coalition Innovation Santé – Crise Sanitaire » initiée par France Biotech, France Digitale, MedTech in France et AstraZeneca, avec la participation et l’appui de l’Assistance PubliqueHôpitaux de Paris (AP-HP) et de France Assos Santé, les soutiens de Bpifrance et d’EIT Health, s’est constituée pour contribuer à désengorger le système de soins et permettre aux patients atteints de maladies chroniques de continuer à être pris en charge. La « Coalition Innovation Santé – Crise Sanitaire » a rallié de nombreux acteurs engagés pour soutenir cette initiative. Parmi eux, le LEEM, Sanofi, Servier, Ipsen, Novartis, GSK, UCB, Amgen, Takeda, Chugai, et l’appel à coalition reste ouvert à tous les acteurs qui pourraient apporter leur soutien dans cette mission. En pratique, l’objectif principal de cette coalition est de permettre le développement et la mise en œuvre de solutions innovantes dans le domaine de la santé sur la base des besoins identifiés et remontés par les structures de soins, les professionnels de santé et les associations de patients. Pour répondre à ces besoins exprimés par les acteurs de terrain, des appels à projets thématiques sont lancés afin d’identifier rapidement des porteurs de projets, startups, PME et ETI françaises capables de déployer des solutions concrètes (information, soins à domicile, suivi des patients, prise en charge médicale, etc.). Ces appels à projets sont opérés par Digital Pharma Lab (DPL) via une plateforme disponible dès aujourd’hui pour accompagner, soutenir financièrement et déployer les solutions sélectionnées : https://www.coalitioncovid.org

ACSS de l’ANS : liste des services offerts gracieusement aux structures de santé par les acteurs de la cybersécurité

L’article L. 1111-8-2 du code de santé publique  rend obligatoire pour les établissements de santé la déclaration des incidents graves de sécurité des SI. La cellule ACSS récupère les signalements des incidents de sécurité sur les systèmes d’information effectués sur le portail de signalement. Elle est chargée d’analyser les déclarations et de qualifier les incidents signalés. En cas d’incident de sécurité majeur, la cellule ACSS informe le HFDS/FSSI qui assurera le pilotage du traitement. 

Les industriels de la cybersécurité (prestataires de services (veille, réponse à incidents, conseil, etc…) et éditeurs) proposent gratuitement leurs services et leurs offres aux acteurs de la santé pendant la crise sanitaire COVID-19. Les premiers d’entre eux sont listés ci-dessous.

L’ACSS recommande de réaliser une analyse de risques de sécurité et une analyse d’impact sur le SI avant de prendre la décision de mettre en œuvre un nouveau dispositif de sécurité. La liste des services offerts gracieusement aux structures de santé sera mise à jour au fil de l’eau et prendra en compte les demandes adressées à cyberveille@sante.gouv.fr.

News de MARS 2020

L’ATIH : consigne aux établissements de santé de codage des séjours liés au Covid-19 dans tous les champs du PMSI

Le code U07.1 Maladie respiratoire à Coronavirus 2019 (COVID-19) a été introduit dans la CIM-10 FR le 31 janvier 2020. Son libellé a depuis été modifié par l’OMS, il est désormais U07.1 COVID-19, avec une note indiquantque des codes additionnels peuvent préciser la pneumonie ou les autres manifestations cliniques. Afin de répondre au besoin de description dans le PMSI ‘programme de médicalisation des systèmes d’information) de toutes les situations cliniques liées au COVID-19, l’ATIH a créé des extensions au code U07.1. Il est désormais possible de repérer précisément, au-delà des cas confirmés, les cas possibles ou probables non
confirmés, ainsi que les cas confirmés asymptomatiques. Les définitions des cas correspondent à la dernière version à jour communiquée par Santé Publique France (SPF). L’ATIH a regroupé dans un fichier Excel  les différents cas au moment de l’admission, le tableau clinique en cours d’hospitalisation de ces derniers, si un prélèvement est effectué ou non, le résultat du test, le diagnostic principal et le diagnostic associé. https://www.atih.sante.fr/consignes-de-codage-des-sejours-lies-au-covid-19-2

 COVID-19 Host Genetics Initiative Mise en commun des données génétiques des patients COVID-19 du monde entier

Le généticien Andrea Ganna, de l’Institut de médecine moléculaire de l’Université d’Helsinki en Finlande (FIMM) et du Broad Institute aux Etats-Unis, a lancé une initiative « visant à mettre en commun les données génétiques des patients COVID-19 du monde entier », la « COVID-19 Host Genetics Initiative ». Plus d’« une douzaine de biobanques » ont manifesté leur intérêt pour ce projet. Parmi elles, « FinnGen, qui possède des échantillons d’ADN et des données sur la santé de 5 % des 5 millions de Finlandais, ou la biobanque de l’école de médecine Icahn du Mont Sinaï, qui compte 50 000 participants ». Et des patients malades du COVID-19 sont maintenant recrutés spécifiquement dans les hôpitaux.

Par ailleurs, l’une des plus importantes biobanques du monde avec des données ADN de 500 000 patients, la biobanque britannique, prévoit d’intégrer les données de santé en lien avec le COVID-19 à sa base de données. En Islande, la société deCODE Genetics, qui aide au dépistage d’une grande partie de la population du pays, « a reçu l’autorisation du gouvernement d’ajouter ces données, et tout symptôme COVID-19 qui serait identifié ultérieurement, à sa base, qui contient des données sur le génome et la santé de la moitié des 364 000 habitants de l’Islande ». Un autre projet, coordonné par l’Université d’Harvard, le « Personal Genome Project », dont les milliers de volontaires partagent les données relatives à leur génome et leur santé à des fins de recherche, a sollicité ses participants pour connaitre « leur statut COVID-19 ».

PIA : appel à projets pour développer
des solutions thérapeutiques préventives ou curatives contre le Covid-19
: Secrétariat Général pour l’Investissement et PIA

« le Gouvernement souhaite soutenir les entreprises et partenaires publics qui proposent des solutions thérapeutiques contre le Covid-19, en finançant des essais cliniques sur le sol français jusqu’à 50 millions d’euros par projet. L’appel à projets, lancé en lien avec le secrétariat général pour l’investissement dans le cadre du Programme d’investissements d’avenir (PIA), sera opéré par Bpifrance. Les projets candidats devront présenter des solutions thérapeutiques à visée préventive ou curative contre le Covid-19. Ils concerneront l’épidémie actuelle mais permettront également de lutter, à l’avenir, contre les pandémies apparentées. Toutes les stratégies thérapeutiques sont éligibles (vaccinales, antivirales, mixtes, etc.) ainsi que toutes les technologies (chimie, biotechnologie, intelligence artificielle et exploitation de données massives ou dispositif médical si pertinent). Concernant le stade de développement, les projets proposés devront avoir fait leur preuve de concept et disposer de données précliniques solides. L’objectif de l’appel à projets est de financer des projets de R&D incluant des essais cliniques de phase 1 ou 2 réalisés avec des partenaires académiques français ». Cet appel à projets s’inscrit dans le cadre de l’action « Projets de recherche et développement structurants pour la compétitivité » (PSPC) du PIA« .

Soins infirmiers, sages-femmes et téléconsultation : Arrêté du 31 mars 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

L’arrêté fixe une liste de soins infirmiers qui, même si l’ordonnance est expirée, pouvaient être prodigués jusqu’au 15 avril afin d’éviter toute interruption de traitement préjudiciable à la santé du patient. S’ils sont remboursables, ces actes ainsi que les dispositifs médicaux délivrés seront pris en charge par l’assurance maladie. Il autorise les sages femmes libérales à facturer à l’assurance maladie certains actes listés réalisés par téléconsultation.

TELESOIN : ORTHOPHONIE : Arrêté du 25 mars 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Cet arrêté prévoit que des actes d’orthophonie pourront être réalisés par télésoin par vidéotransmission si l’orthophoniste l’estime pertinent. Une consultation préalable en présentiel est nécessaire. Pour les mineurs de 18 ans, la présence d’un des parents majeurs ou d’un majeur autorisé est nécessaire. Pour les patients présentant une perte d’autonomie, la présence d’un aidant est requise. L’arrêté autorise les orthophonistes à facturer à l’assurance maladie ces actes réalisés par télésoin

Arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Télésuivi infirmier : Les infirmiers peuvent assurer le télésuivi, c’est-à-dire la surveillance clinique par vidéotransmission ou téléphone des patients suspectés d’infection ou reconnus atteints du codiv-19. La valorisation du télésuivi est à hauteur d’un AMI 3.2 par les infirmiers libéraux ou les structures mentionnées à l’article L 162-1-7 code de la sécurité sociale.

Téléconsultation pour les sages-femmes : Pour les téléconsultations réalisées par les sages-femmes, ces dernières sont valorisées à hauteur d’une téléconsultation simple (code TCG). Le code TCG permet aux professionnels de santé téléconsultants en secteur à honoraires opposables [secteur 1] ou en secteur à honoraires différents [secteur 2] adhérant aux dispositifs de pratique tarifaire maîtrisée de facturer l’acte de téléconsultation à 25 euros. L’avenant n°6, entré en vigueur le 15 septembre 2018, détaille le montant des rémunérations prévues pour les professionnels de santé et les conditions à respecter pour bénéficier d’un remboursement de droit commun des actes de téléconsultation et de télé-expertise

Extension du régime dérogatoire à la Télésurveillance des patients insuffisants cardiaques chroniques ( patients à risque) : Les patients éligibles à un projet de télésurveillance mis en œuvre sur le fondement de l’article 54 de la loi FSS du 30 décembre 2017 pour 2018 (prorogation de 4 ans du programme Expérimentations de financement de la télémédecine pour l’amélioration des parcours en santé (2018-2022), ne sont pas soumis à l’obligation de satisfaire l’une des deux conditions suivantes : 1/ Hospitalisation au cours des 30 derniers jours pour une poussée d’insuffisance cardiaque chronique (diagnostic principal, au regard du compte rendu ou du codage CIM 10 – I500/I501/I502/I509); 2/ Hospitalisation au moins une fois au cours des 12 derniers mois pour une poussée d’insuffisance cardiaque chronique (diagnostic principal, au regard du compte rendu ou du codage CIM 10 – I500/I501/I502/I509) et actuellement en classe NYHA 2 ou plus avec un taux de peptides natriurétiques élevé (BNP >100 pg/ml ou NT pro BNP >1000 pg/ml). Dans son avis du 14 mars 2020, le Haut Conseil de la Santé publique (HCSP), à la demande de la direction générale de la santé, avait listé les personnes à risque de développer des formes sévères de Covid-19

TELESOINS REALISES PAR LES INFIRMIERS : régime dérogatoire jusqu’au 31 mai 2020

Décret no 2020-277 du 19 mars 2020 modifiant le décret no 2020-73 du 31 janvier 2020 portant adoption de conditions adaptées pour le bénéfice des prestations en espèces pour les personnes exposées au coronavirus Le décret détermine les conditions dérogatoire de prise en charge

Le télésoin est une forme de pratique de soins à distance utilisant les technologies de l’information et de la communication. Il met en rapport un patient avec un ou plusieurs pharmaciens ou auxiliaires médicaux dans l’exercice de leurs compétences (Article L6316-2 du Code de la santé publique). Le régime dérogatoire relatif aux activités de télémédecine est étendu aux activités de télésoin réalisées par les infirmiers pour les personnes dont le diagnostic d’infection à covid-19 a été posé cliniquement ou biologiquement. Le remboursement par l’assurance maladie à un infirmier libéral ou une structure de soin de l’art L 162-14-1 CSS dérogent aux conditions de droit commun ( « la connaissance préalable du patient par une première consultation en présentiel avec l’infirmier, et le matériel nécessaire à la vidéotransmission) . L’activité de télésoin pourra être effectuée par téléphone. Le présent décret prévoit également une exonération du ticket modérateur sur les téléconsultations réalisées pour les personnes dont le diagnostic d’infection à covid-19 a été posé ou suspectées de l’être ainsi que pour les actes de télésuivi infirmier. Ce régime dérogatoire est mis en œuvre jusqu’au 31 mai 2020.

L’ordre infirmier s’en félicite, cette mesure ayant en effet été demandé dans le cadre de ses 7 mesures d’urgence pour lutter efficacement contre le coronavirus. 

La Haute Autorité de santé donne un avis favorable à l’inscription de l’acte de télésuivi infirmier renforçant un suivi médical des patients COVID-19 maintenus à domicile ou en retour au domicile après avoir été hospitalisés sur la liste des actes et prestations, mentionnée à l’article L. 162-1-7 du code de la sécurité sociale (service attendu suffisant et amélioration du service attendu de niveau IV) compte tenu : − du contexte d’urgence sanitaire lié à l’épidémie de COVID-19 ; − de la nécessité de réserver le recours aux établissements de santé à la prise en charge de patients COVID-19 présentant des formes graves ; − de la nécessité de limiter l’exposition des personnels infirmiers. L’objectif du télésuivi infirmier est double : − réaliser à distance l’évaluation régulière de l’état de santé du patient (état général, stabilité respiratoire, relevé de prise de température bi-quotidienne) ; − s’assurer de la bonne compréhension du patient au regard de sa situation et de sa bonne application des consignes de protection barrières pour lui-même et/ou son entourage.Lorsque l’infirmier(e) estime que les conditions d’un télésuivi de qualité ne sont plus réunies pour lui permettre de remplir ces deux objectifs, l’infirmier(e) réalise alors un suivi en présentiel, en informe le médecin et trace sa décision de ne plus réaliser le télésuivi dans le dossier du patient. Le télésuivi se déroule préférentiellement par vidéotransmission ou par téléphone (dans ce dernier cas, autant que possible après une première visite présentielle), en fonction des équipements de l’infirmier(e) et du patient. La HAS rappelle qu’une vidéotransmission permet aux interlocuteurs à la fois de s’identifier et de communiquer plus aisément, contrairement à un appel téléphonique.

Protection des données de santé : la priorité de la Cnil

La Commission nationale de l’informatique et des libertés (Cnil) a fixé ses trois priorités de contrôle pour 2020 : les cookies et traceurs, la géolocalisation et les données de santé. Plus d’une cinquantaine de contrôles sont programmés dans ces domaines en 2020. Avec Ma Santé 2022, qui favorise le virage numérique dans le domaine de la santé (création de trois plateformes numériques : Health Data Hub (HDH), l’Espace Numérique Santé (ENS), le bouquet de services pour les professionnels) et l’épidémie du virus Covid-19, qui conduit à un développement à marche forcée de la téléconsultation pour limiter les risques de propagation du virus dans les salles d’attente des médecins, les données de santé sont et vont être de plus en plus exposées à un risque de cyberattaque. Au RU, les données de santé de millions de patients britanniques ont été vendues à des laboratoires américains. Les licences payées par les industriels de la pharmacie, Merck, Brystol-Myers Squibb (BMS), Eli Lilly, ont coûté « jusqu’à 333 000 livres par dossier ». L’objectif affiché, pour les laboratoires, est de « tenter de mettre au point de nouveaux médicaments, de nouvelles stratégies de traitement et mieux comprendre le fonctionnement de certaines maladies ». Il semblerait que les patients britanniques n’aient pas été correctement informés de la vente de leurs données. En 2018, Amazon a pu acheter un accès aux données pour « améliorer ses produits et services », notamment de son assistant vocal Alexa et « prodiguer les meilleurs conseils médicaux ». Google a, quant à lui, réussi à collecter des millions de données de santé via un partenariat avec Nightingale, une société de médecine prédictive. Et Facebook a « tenté de se procurer des données médicales auprès d’hôpitaux »Le 15 mars 2020 au soir, en pleine crise du coronavirus, l’U.S. Health and Human Services Department, a subi une cyberattaque. Des fake news ont été diffusées par des pirates informatiques. Cette attaque relève plus d’une tentative de déstabilisation qu’une violation de données. La cybersécurité devient un enjeu primordial pour les données de santé. La Cnil a décidé de porter une attention particulière notamment sur les mesures de sécurité mises en œuvre par les professionnels de santé « comme, par exemple, la sécurité des accès aux locaux, les antivirus, la sécurisation des mots de passe… ».

MaSanté2022 renforce la sécurité des données de santé

En ce qui concerne la sécurité opérationnelle, la feuille de route MaSanté 2022 prévoit une extension du dispositif de déclaration des incidents de cybersécurité à l’ensemble des acteurs de santé à partir de 2020, le développement d’un outil en ligne d’analyse de risque des services exposés sur le web, le lancement des audits de cybersurveillance de l’ensemble des GHT, l’observatoire national de la cybersurveillance (le premier rapport présentera un panorama des vulnérabilités les plus critiques par typologie de structures et leurs évolutions au sein des structures). Il est également prévu d’adopter dans la Politique Générale de Sécurité SIS (PGSSI-S) des référentiels de sécurit é (référentiels socles). Au niveau des services socles, le recours à la MSSanté (la messagerie sécurisée de santé) sera généralisé pour les professionnels de santé et étendu au secteur médico-social. Un PoC Messagerie Sécurisée de Santé pour les usagers en tant que brique de base de l’ENS est prévu pour mi-2020. Dans le prolongement du programme Hôpital numérique, le Programme HOP’EN (2019-2023), qui concerne +75% des établissements de santé, fixe 4 prérequis sécuritaires (identités, mouvements/ sécurité/confidentialité/échanges et partage) pour pouvoir bénéficier d’un financement. Un dispositif de certification des SI des établissements de santé pour évaluer la maturité des SIS est prévu. Les premiers pilotes sont programmés pour septembre-décembre 2020.

CoviDIAB

Programme personnalisé d’accompagnement en ligne pour les diabétiques en période d’épidémie COVID-19. Ce programme est animé par des médecins et soignants hospitaliers, et soutenu par l’AP-HP et des équipes de recherche INSERM. L’application permet de réaliser son parcours personnalisé, recevoir des messages, consulter sa médiathèque de médias (vidéos, fiches conseil…) L’application constitue un véritable lien interactif avec les soignants, et une source fiable et actualisées d’informations validées . Cette application e-santé est proposée par la Fédération des Services Hospitaliers de Diabétologie (Hôpital Bichat, Pr Roussel ; Hôpital Cochin, Pr Larger, Hôpital Lariboisière, Pr Gautier) et le Centre de Responsabilité de Santé Connectée de l’AP-HP (Dr Boris Hansel, Pr Patrick Nataf)

Sessions Live dédiées au Diabète en contexte d’épidémie COVID-19 : La plateforme d’accompagnement personnalisé CoviDIAB va proposer à ses inscrits de paticiper à des sessions LIVE programmées

MaladieCoronavirus.fr

autoévaluations et orientation responsable des patients dans leur parcours de soins

L’enjeu : apporter une réponse au risque de saturation des services d’urgence : le site MaladieCoronavirus.fr permet à toute personne pensant avoir été exposée au COVID-19 de réaliser simplement en quelques clics une autoévaluation et de bénéficier de préconisations d’orientation adaptées à son état de santé. Son objectif est d’accompagner le plus grand nombre de personnes se sentant concernées, de réduire leur anxiété et de permettre une meilleure prise en charge des cas graves. Cette initiative d’intérêt collectif est portée par l’Alliance Digitale contre le COVID19, un consortium d’acteurs du numérique et de l’e-santé. Les préconisations ont été établies sous l’égide du groupe de travail COVIDTELE qui réunit des médecins spécialistes de l’AP-HP, des CHRU de Rennes, Lille et Angers et de l’Institut Pasteur avec la contribution de médecins spécialistes de médecine libérale, de médecine d’urgence, infectiologues, des ingénieurs en e-santé et des plateformes de téléconsultation et télésurveillance. Le site est mis à jour en continu par une équipe de médecins, ingénieurs et spécialistes de l’épidémie.

Sécurité des données : une priorité :

Une attention particulière est portée à la vie privée des utilisateurs et à la sécurité des données saisies dans l’application. Le site n’utilise pas de cookies, il n’est pas fait usage de tiers outils de suivi des visiteurs. Le test est anonyme et gratuit. Les données sont stockées dans le plus strict respect de la sécurité, de la confidentialité et des réglementations en vigueur dans les data center installés et opérés en France par Docaposte. La filiale numérique de La Poste est aussi le premier hébergeur français de données de santé en France. Par sa position de tiers de confiance numérique, Docaposte permet de fédérer un écosystème large d’acteurs autour de cette action d’intérêt collectif . Les données non nominatives seront mises à disposition de l’Institut Pasteur à des fins d’étude épidémiologique permettant de mieux analyser l’évolution de la maladie et de ses symptômes dans le but d’améliorer la connaissance du coronavirus et d’accélérer la recherche d’un traitement.

Informations Covid19 par et pour les jeunes médecins : Le site anti-virus des jeunes médecins

Le site Information Covid 19 centralise toutes les informations dont les externes, les internes et les jeunes médecins ont besoin pour faire face à la crise sanitaire. Le site propose aussi des informations sur l’aide que peuvent apporter les jeunes dans les différents services en fonction de leurs compétences. Des fiches de bonnes pratiques vont être diffusées comme « suivi du patient à domicile » ou  « gestion du syndrome respiratoire aiguë » ou encore « faire son masque en tissu », déjà en ligne.

Median Technologies & AP-HP : iBiopsy

Median Technologies

Median Technologies a conclu un contrat de collaboration avec l’AP-HP visant à réaliser des études devant permettre la validation clinique de sa plateforme d’exploitation des images médicales iBiopsy. L’IA de iBiopsy permet d’identifier les signatures spécifiques de certaines maladies chroniques, dont les cancers, pour leur détection précoce et leur suivi. iBiopsy participe au développement de cette médecine 4P (personnalisée, prédictive, préventive et participative). Le contrat de collaboration annoncé concerne la réalisation de deux études cliniques sur le cancer du foie dans deux hôpitaux de l’AP-HP, la Pitié-Salpêtrière et Paul Brousse. En décembre 2019, Median Technologies avait obtenu un accord de financement avec la Banque Européenne d’Investissement d’un montant de 35 millions d’euros.

Covidom : télésuivi des patients porteurs ou suspectés Covid-19 ne nécessitant pas d’hospitalisation

Covidom est une application e-santé développée par l’AP-HP et Nouveal e-santé, qui permet aux patients porteurs ou suspectés du Covid-19 sans signe de gravité de bénéficier d’un télésuivi à domicile via des questionnaires médicaux numériques dont la fréquences est adaptée à l’état du patient et qui génèrent des alertes en cas de forte fièvre et de gêne respiratoire. Alertée l’équipe soignante du centre de télésurveillance médicale adapte le suivi. Cet outil est déployé dans les hôpitaux Bichat et Pitié-Salpêtrière, deux établissements de santé de référence (ESR) pour le Covid-19 de l’AP-HP, l’application Covidom va être utilisée plus largement, dans un premier temps au sein de l’AP-HP, pour suivre les patients passés par l’AP-HP.

CCNE : Avis n°133 « Enjeux éthiques des modifications ciblées du génome : entre espoir et vigilance »

adopté le 19 septembre 2019

Le 3 mars 2020, le Comité Consultatif National d’Ethique (CCNE) publiait son avis n°133 sur les « Enjeux éthiques des modifications ciblées du génome : entre espoir et vigilance ». Cet avis, adopté le 19 septembre 2019, est motivé par les « progrès technologiques de l’ingénierie génomique », fruit d’une « double révolution technologique » : « le séquençage à haut débit » et des outils tels que CRISPR-Cas9 qui « permettent de modifier de façon ciblée et précise les séquences du génome ». Dans son appel à « la vigilance et à la surveillance », le CCNE formule finalement quatre recommandations : 1/ « développer des approches expérimentales visant à rendre les techniques de modification ciblée du génome plus sûres, voire réversibles, et de les encadrer strictement lors de leur application au monde du vivant » ; 2/ « considérer les éventuelles conséquences non maîtrisables, voire dramatiques, comme le bouleversement d’écosystèmes et d’ensembles évolutifs », « prendre en compte le bien-être animal », « considérer comme OGM les plantes, champignons et animaux dont le génome a été ainsi transformé et leur appliquer en conséquence la législation en vigueur pour les OGM » ; 3/ « s’agissant des thérapies géniques somatiques chez l’homme, les questionnements éthiques (…) sont (…) à considérer au même titre que ceux concernant toute thérapie génique » ; 4/ mettre en place « un moratoire international préalable à toute mise en œuvre », une dernière recommandation faite de concert avec les comités d’éthique allemand et anglais.

Pour le CCNE, la communauté scientifique doit « faire preuve d’humilité » et la législation jouer un rôle crucial de garde-fou. Le Comité se rassure en affirmant qu’« une approche technologique qui modifierait le génome germinal est aujourd’hui interdite, à l’exception du champ de la recherche fondamentale, car en contravention avec la Convention d’Oviedo et l’article 16-4 du Code civil ».

OPEN.URSSAF : Les données de l’URSSAF en open data

L’Agence centrale des organismes de sécurité sociale (Acoss) a lancé la plate-forme « open.urssaf » le 12 mars 2020. Ce portail met à disposition du grand public, des entreprises et de la recherche les données récoltées par les unions des recouvrements des cotisations de sécurité sociale et d’allocations familiales (Urssaf) pour construire de nouveaux services. Afin de faciliter la réutilisation des données publiques, l’Acoss a choisi d’avoir recours à la licence « open database » (ODbl).

Téléconsultation & Covid-19 : un régime dérogatoire

Téléconsultation et Coronavirus : Sécurité des données de santé vs Urgence

Chloe Picavez, Juriste et Eléonore Scaramozzino, Avocat

Coronavirus & Téléconsultation : régime dérogatoire jusqu’au 30 avril 2020

Le Décret n° 2020-227 du 9 mars 2020 adaptant les conditions du bénéfice des prestations en espèces d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au Covid-19, facilite le recours à la téléconsultation jusqu’au 30 avril 2020. L’avenant n °6 de la convention médicale, en vigueur depuis le 15 septembre 2018, concerne le remboursement des actes de téléconsultations et télé expertise. En principe, pour obtenir le remboursement d’une téléconsultation, le patient doit avoir été préalablement orienté par son médecin traitant vu dans les 12 derniers mois, en respectant le parcours de soins coordonné.

Le décret détermine notamment les conditions dérogatoires de prise en charge des actes de télémédecine pour les personnes atteintes ou potentiellement infectées par le coronavirus, qui pourront en bénéficier même si : i) elles n’ont pas de médecin traitant pratiquant la téléconsultation, ii) ni été orientées par lui, iii) ni été connues du médecin téléconsultant. Cet assouplissement des conditions d’accès à un médecin pour les personnes présentant les symptômes du virus, doit être salué dans un contexte sanitaire marqué par la propagation du coronavirus, même si, selon les médecins, les symptômes respiratoires du Covid-19 nécessitent une auscultation du patient . Un accompagnement par un professionnel de santé (infirmière/infirmier libéral(e) au domicile, pharmacien(ne) d’officine à la pharmacie, infirmière/infirmier à l’Ehpad) assistant le professionnel médical pendant la téléconsultation, permettrait d’optimiser la pratique médicale à distance. Le cadre juridique et financier pour réaliser des téléconsultations assistées est en place, bien avant la survenue de l’épidémie du Covid-19. Les pharmaciens d’officine sont rémunérés pour assister un patient en téléconsultation avec son médecin traitant depuis septembre 2019 (arrêté du 2 septembre 2019 portant approbation de l’avenant n° 15 à la convention nationale du 4 mai 2012, organisant les rapports entres les pharmaciens titulaires d’officine et l’assurance maladie), et l’infirmier ou l’infirmière libéral(e) est rémunéré depuis le 1er janvier 2020 (avenant 6 de la convention infirmière).

Conditions techniques des téléconsultations pour le covid-19 ?

Si ces téléconsultations devront s’inscrire prioritairement dans le cadre d’organisations territoriales coordonnées, le décret ne traite pas des conditions techniques. Le gouvernement explique dans une notice que ces dernières pourront être réalisées en utilisant n’importe lequel des moyens technologiques actuellement disponibles pour réaliser une vidéotransmission (lieu dédié équipé mais aussi site ou application sécurisé via un ordinateur, une tablette ou un smartphone, équipé d’une webcam et relié à internet. Le ministre a cité comme exemple Facetime (Apple) et WhatsApp (Google). Cependant, ces plateformes ne permettent pas de transmettre des ordonnances cryptées, facturer le patient, télétransmettre tout cela à la caisse d’assurance maladie (CNAM) …..

Au regard de la protection des données de santé, cette ouverture aux GAFAM a suscité diverses craintes, dans la mesure où les conditions de sécurité imposées aux opérateurs de téléconsultation ne sont pas satisfaites (hébergement HDS, secret médical …principe de finalité, conservation des données) par ces plateformes. Dans son communiqué de presse la Société Française de Santé Digitale, SFSD, a rappelé que « la coordination des soins, l’usage de dispositifs médicaux connectés (mesure de la saturation en oxygène, stéthoscope électronique, thermomètre ou le tensiomètre) et le respect absolu du secret médical restent indispensables pour obtenir des téléconsultations utiles au diagnostic des formes cliniques graves d’infection au Covid-19 (tableau clinique de bronchopneumopathie). La télé-expertise, dont les règles sont assouplies permettra en outre à tout médecin de recourir à un avis spécialisé plus facilement.« 

Respect du RGPD et respect du secret professionnel vs « bénéfice-risque »

Face à l’urgence, le gouvernement a opté pour l’approche « bénéfice / risque » utilisée en médecine, et a choisi de faciliter le recours à la télémédecine, qui peut apporter une réponse pour réduire le risque de contagion et orienter au mieux les patients. Le CNOM est satisfait de cette solution transitoire car l’épidémie légitime de telles mesures. La rémunération des médecins sera la même que s’il s’agissait d’une consultation. La Cnil n’a pas été consultée préalablement à la publication de ce décret, qui instaure un régime dérogatoire limité au 30 avril 2020. Elle pourra néanmoins procéder à des contrôles conformément à sa stratégie de contrôle 2020, axée sur 3 thématiques : Sécurité des données de santé, Mobilités et services de proximité, les nouveaux usages des données de géolocalisation et respect des dispositions applicables aux cookies et autres traceurs. La Cnil précise que « Les données de santé sont des données sensibles, qui font l’objet d’une protection spécifique par les textes (RGPD, loi Informatique et Libertés, Code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes. La CNIL souhaite, grâce à cette thématique prioritaire, s’intéresser plus particulièrement aux mesures de sécurité mises en œuvre par les professionnels de santé ou pour leur compte.«