COVID-19 NEWS


News AOUT 2020

Conditions de mises à disposition de l’EGB et des « datamarts »

Délibération n° 2020-072 du 16 juillet 2020 portant adoption d’un référentiel portant sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de l’échantillon généraliste des bénéficiaires (EGB) et des bases de données thématiques appelées « datamarts » du Système national d’information interrégimes de l’assurance maladie (SNIIRAM), présentant un faible risque d’impact sur la vie privée et abrogeant la délibération n° 2019-039 du 11 avril 2019

Le référentiel porte sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement des données de l’EGB du SNIIRAM, composante du système national des données de santé (SNDS).
L’EGB du SNIIRAM est un échantillon constitué par la Caisse nationale de l’assurance maladie (CNAM) qui concerne 1/97e de la population couverte par l’assurance maladie en France. L’EGB contient des informations sur les caractéristiques sociodémographiques et médicales des bénéficiaires et les prestations de soins qu’ils ont reçues. L’utilisation de cet échantillon permet notamment de mieux connaître et comprendre le recours aux soins, les trajectoires de soins et les dépenses de santé des assurés sur une période.
Les bases de données thématiques de données agrégées appelées « datamarts » constituées à partir du SNIRAM sont orientées vers le suivi des dépenses (Damir) ou l’analyse de l’offre de soins (Amos), ainsi que des tableaux de bord sur la biologie et la pharmacie.
Conformément aux dispositions du troisième alinéa de l’article 66-II de la loi « Informatique et Libertés », des jeux de données de santé présentant un faible risque d’impact sur la vie privée peuvent faire l’objet d’une mise à disposition en vue de leur traitement dans des conditions préalablement définies par un référentiel, sans que l’autorisation prévue à l’article 76 de la loi précitée soit requise.
La Commission rappelle, à titre liminaire, que le SNIIRAM étant une composante du SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable aux traitements de données issues de l’EGB.

La description et les garanties de procédure permettant la mise à disposition des données à caractère personnel issues de l’EGB du SNDS définies par la Commission sont les suivantes :

Les conditions d’accès définies par le présent référentiel s’appliquent aux traitements mis en œuvre à des fins de recherche, d’étude ou d’évaluations dans le domaine de la santé, justifiés par l’intérêt public, et pour la réalisation desquels seul un accès à l’EGB et/ou aux « datamarts » et tableaux de bord du SNIIRAM est nécessaire.

Traitement examiné uniquement par la Plateforme des données de santé :

Sont susceptibles de bénéficier d’une approbation unique de la Plateforme des données de santé les traitements qui respectent les conditions cumulatives suivantes : – le traitement est réalisé au sein du portail sécurisé de la CNAM et ne prévoit pas la constitution d’un système fils du SNDS tel que défini à l’arrêté du 22 mars 2017 ; – aucun croisement de plusieurs identifiants potentiels, tels que définis par les dispositions réglementaires applicables au SNDS, n’est réalisé ;- la durée d’accès au portail n’excède pas vingt-quatre mois. Cette durée peut être prolongée de vingt-quatre mois maximum sur demande motivée du responsable de traitement.

Traitement répond à l’une des finalités suivantes :

Modalités d’accès spécifiques à certaines catégories de responsables de traitements :
Afin de bénéficier des présentes conditions de mises à disposition de l’EGB et des « datamarts », dans l’hypothèse où le traitement est réalisé par des personnes produisant ou commercialisant des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique ou les organismes mentionnés au 1° du A et aux 1°, 2°, 3°, et 6° du B de l’article L. 612-2 du code monétaire et financier ainsi que les intermédiaires d’assurance mentionnés à l’article L. 511-1 du code des assurances, ces derniers sont tenus de recourir à un laboratoire de recherche ou à un bureau d’études mentionnés à l’article L. 1461-3 du code de la santé publique.

Examen par la Plateforme des données de santé
La Plateforme des données de santé se prononce au regard des éléments suivants :


GIE SESAM-Vitale : Le recensement des services numériques innovants est prolongé jusqu’au 10 octobre 2020

À la demande du ministère des Solidarités et de la Santé et afin de collecter et référencer les services numériques innovants susceptibles d’apporter une valeur ajoutée dans la lutte contre la pandémie de Covid-19, le GIE SESAM-Vitale a diffusé dès le 20 mars auprès des éditeurs un formulaire de déclaration sur son Espace Industriels sécurisé.

Bien que l’état d’urgence sanitaire se soit terminé le 10 juillet, le virus est toujours en circulation. Aussi, le référencement des outils numériques sur Santé.fr se poursuivra jusqu’au 10 octobre 2020.

Google /Fitbit : ouverture d’une enquête approfondie par la Commission européenne

Mme Margrethe Vestager, vice-présidente exécutive chargée de la politique de concurrence, s’est exprimée en ces termes: «L’utilisation de dispositifs portables par les consommateurs européens devrait augmenter considérablement au cours des années à venir. Cette évolution s’accompagnera d’une croissance exponentielle des données générées par ces dispositifs. Ces données fournissent des informations essentielles sur la vie et la santé des utilisateurs de ces dispositifs. Notre enquête vise à garantir qu’à l’issue de l’opération, la maîtrise de Google sur les données collectées au moyen de dispositifs portables ne faussera pas la concurrence.»

En acquérant Fitbit, Google acquerrait i) la base de données gérée par Fitbit concernant la santé et la forme physique de ses utilisateurs et ii) la technologie permettant de développer une base de données similaire à celle de Fitbit. Les données recueillies par les dispositifs qui se portent au poignet semblent, à ce stade de l’examen de l’opération par la Commission, constituer un avantage important sur les marchés de la publicité en ligne. En accroissant l’avantage en termes de données dont Google dispose pour la personnalisation des publicités qu’elle propose via son moteur de recherche et affiche sur d’autres pages de l’internet, il serait plus difficile, pour les concurrents, de rivaliser avec les services de publicité en ligne de Google. De ce fait, l’opération dresserait des barrières à l’entrée et à l’expansion des concurrents de Google sur les marchés relatifs à ces services, au détriment final des annonceurs et des éditeurs, qui se trouveraient confrontés à une hausse des prix et à une diminution du choix.

L’opération a été notifiée à la Commission le 15 juin 2020. Le 13 juillet 2020, Google a présenté un engagement afin de dissiper les craintes de la Commission. Cet engagement portait sur la création d’un silo de données, c’est-à-dire un stockage virtuel des données, dans lequel certaines données recueillies au moyen de dispositifs portables auraient été tenues séparées des autres séries de données détenues par Google. Les données dans le silo auraient été interdites d’utilisation par Google à des fins publicitaires. Toutefois, la Commission considère que l’engagement concernant le silo de données proposé par Google est insuffisant pour lever complètement les doutes sérieux recensés à ce stade en ce qui concerne les effets de l’opération. La raison en est, entre autres, que cette solution ne couvre pas toutes les données auxquelles Google aurait accès à l’issue de l’opération et qui seraient précieuses à des fins de publicité.

La Commission dispose à présent de 90 jours ouvrables, soit jusqu’au 9 décembre 2020, pour prendre une décision. L’ouverture d’une enquête approfondie ne préjuge pas de l’issue de la procédure.

Source : IP/20/1446

file:///C:/Users/Utilisateur/Downloads/Concentrations__la_Commission_ouvre_une_enqu_te_approfondie_sur_le_projet_d_acquisition_de_Fitbit_par_Google.pdf

News JUILLET 2020

AVIS DU CES sur le livre blanc sur l’IA : Une approche européenne axée sur l’excellence et la confiance

Rapporteure : Catelijne MULLER

   L’intelligence artificielle et le coronavirus

  L’IA peut contribuer à mieux comprendre le coronavirus et la COVID-19, à protéger des personnes contre l’exposition au virus ainsi qu’à rechercher un vaccin et à explorer des possibilités de traitement. Cependant, il importe toujours de faire preuve d’ouverture et de clarté quant à ce que l’IA peut faire et ne pas faire S’agissant de la robustesse et de l’efficacité, l’utilisation de l’IA axée sur les données en vue de prévoir la propagation du coronavirus peut être problématique, car on dispose de trop peu de données en la matière pour que l’IA donne des résultats fiables. De plus, les rares données disponibles sont incomplètes et biaisées. L’utilisation de ces données dans des approches d’apprentissage automatique pourrait déboucher sur de nombreux faux négatifs et faux positifs.

         Applications de suivi et de traçage, ainsi que de veille sanitaire

D’après les virologues et les épidémiologistes, la réouverture de la société et de l’économie après le confinement passe par un suivi, un traçage, une surveillance et une protection efficaces de la santé des personnes. Selon le CES, le déploiement de ces types d’applications représente une mesure particulièrement radicale. Il importe donc d’étudier de manière critique l’utilité, la nécessité et l’efficacité des applications, de même que leur incidence sociétale et juridique, avant de prendre la décision de les utiliser. La possibilité de ne pas recourir à ces applications doit demeurer ouverte, et il convient d’accorder la priorité à des solutions moins invasives. L’efficacité et la fiabilité des applications de suivi et de traçage sont d’une extrême importance, car l’inefficacité et le manque de fiabilité peuvent déboucher sur de nombreux faux positifs et faux négatifs, ainsi que sur un faux sentiment de sécurité et, partant, un risque accru de contamination. Les premières simulations scientifiques soulèvent de sérieux doutes quant à un quelconque effet positif d’une application de suivi sur la propagation du virus, même avec un taux d’utilisation de 80 % ou 90 %. Par ailleurs, une application ne peut pas tenir compte de circonstances particulières, telles que la présence de plexiglas et de fenêtres ou le port d’équipements de protection individuelle.

Le risque existe que les données collectées (aujourd’hui ou à l’avenir) soient utilisées non seulement pour lutter contre la pandémie actuelle, mais aussi pour le profilage, la catégorisation et la notation des personnes à différentes fins. Dans un avenir plus lointain, il est même possible d’imaginer que le «détournement d’usage» pourrait entraîner des types de profilage indésirables en matière de contrôle et de surveillance, d’acceptation d’une assurance ou de prestations sociales, d’embauche ou de licenciement, etc. Les données collectées à l’aide de ces applications ne peuvent donc en aucun cas être utilisées à des fins de profilage, de notation des risques, de classification ou de prédiction.

En outre, toute solution d’IA déployée dans le cadre de ces circonstances extraordinaires, même dans la meilleure des intentions, créera un précédent, que cela nous plaise ou non. Les crises précédentes ont montré que, malgré toutes les bonnes intentions, de telles mesures ne disparaîtront jamais dans la pratique. L’utilisation de l’intelligence artificielle durant cette pandémie devrait donc toujours être mesurée et évaluée au regard de plusieurs considérations, à savoir: i) est-ce efficace et fiable? ii) Existe-t-il des solutions moins invasives? iii) Ses avantages l’emportent-ils sur les préoccupations quant à la société, à l’éthique et aux droits fondamentaux? iv) Est-il possible de trouver un compromis responsable entre des libertés et des droits fondamentaux contradictoires? De plus, ces types de systèmes ne sauraient être déployés sous aucune forme d’obligation ou de contrainte.

Le CESE invite instamment les responsables politiques à ne pas succomber trop hâtivement au «solutionnisme technologique». Étant donné la gravité de la situation, il recommande que les applications liées à des projets visant à contribuer à enrayer la pandémie se fondent sur des recherches solides en épidémiologie, sociologie, psychologie, droit, éthique et sciences des systèmes. Avant de décider de l’utilisation de ces systèmes, il est essentiel de procéder à des simulations et des analyses d’efficacité, de nécessité et de sensibilité.

https://www.eesc.europa.eu/fr/our-work/opinions-information-reports/opinions/livre-blanc-sur-lintelligence-artificielle

CNIL : Les référentiels pour le secteur de la santé

Référentiel pour la gestion des traitements courants des cabinets médicaux et paramédicaux

Ce référentiel est un cadre de référence qui permet aux professionnels de santé libéraux (exerçant à titre libéral ou en cabinet individuel ou groupé/maisons de santé) de mettre en conformité les traitements de données personnelles utilisés pour la gestion de leurs cabinets médicaux et paramédicaux. Il a vocation à remplacer l’ancienne norme simplifiée NS-50. Les professionnels de santé concernés sont  les médecins généralistes ou spécialistes, les infirmiers, les radiologues, les masseurs kinésithérapeutes, les sages-femmes, les pédicures-podologues, les orthophonistes et orthoptistes etc.

Le professionnel de santé doit prendre toutes les précautions utiles au regard des risques
présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Conformément à l’article L. 1110-4-1 du Code de la santé publique, le professionnel de santé devra s’assurer que les systèmes d’information, services ou outils numériques qu’il utilise sont conformes aux référentiels de sécurité et d’interopérabilité6 approuvés par arrêté du ministre chargé de la santé. Il devra également respecter les consignes de sécurité le concernant prévues par ces derniers. En cas d’externalisation de l’hébergement des données, les prestataires informatiques doivent être certifiés pour l’hébergement, le stockage, la conservation de données de santé conformément aux dispositions de l’article L. 1111-8 du code de la santé publique. La CNIL estime que la réalisation d’une AIPD et la désignation d’un délégué à la protection des données (DPO) devraient être nécessaires pour les professionnels de santé qui, exerçant en cabinet groupé, partagent un système d’information commun, à partir d’un seuil annuel de 10 000 patients.

Deux référentiels pour gérer les durées de conservation des données dans le secteur de la santé et de la recherche

Référentiels : Référentiel traitements de données dans le domaine de la santé (hors recherche) et Référentiel traitement de données mis en oeuvre à des fins de recherche, d’étude et d’évaluation dans le domaine de la santé. Ils sont une aide à la prise de décision en orientant le responsable de traitement vers :les durées obligatoires du fait de la réglementation en vigueur, et en particulier le Code de la santé publique ; les durées recommandées par la CNIL, qui sont des points de repère pour déterminer la durée pertinente.

LE SEGUR DE LA SANTE & LA SANTE NUMERIQUE

Rattrapage du retard sur le numérique en santé : 1,4 milliard d’€ sur 3 ans.

 » Il s’agit d’investir massivement pour rattraper le retard dans la modernisation, l’interopérabilité, la réversibilité, la convergence et la sécurité des système d’information en santé.
— L’intégration des fondations numériques régaliennes, notamment l’identifiant national de santé, le cadre de sécurité et d’interopérabilité, la messagerie sécurisée et le dossier médical partagé, sera soutenu auprès de toutes les parties prenantes (établissements, industriels, plateaux techniques…). Elle permettra le développement et le déploiement d’une offre logicielle de qualité.
— De façon complémentaire, des modalités d’incitation forte à l’usage, dans la continuité des programmes actuellement engagés tels que le programme HOP’EN (pour les établissements de santé) et le programme E-PARCOURS (pour la coordination des soins) seront activées sur certains cas d’usage prioritaires, comme le partage de l’histoire médicale du patient, le lettre de liaison et les résultats de biologie et d’imagerie, afin de s’assurer de l’accès effectif du citoyen à ses données de santé et à leur partage entre professionnels.
— Un investissement dédié pour rattraper le retard accumulé pendant des années à hauteur de 600 millions d’euros dans les équipements de base, les logiciels socle et les services d’échange.

Développement de la télésanté

Les actions seront également prévues pour accélérer le développement de la télésanté, pour concrétiser le service d’accès au soin (SAS) et pour stimuler l’écosystème pour la création de services numériques réellement innovants et l’analyse des données de santé dans un cadre éthique et sécurisé. »

Engagement clé : Lever les freins à la téléconsultation et pérenniser la prise en charge à 100 %

Financement

La mise en oeuvre des mesures issues des conclusions du Ségur de la santé s’appuieront sur deux principales sources de financement supplémentaires dédiées :
— Un financement de 9,1 milliards d’euros par an supplémentaire d’ici 2022 pour le fonctionnement de notre système de santé ;
— Un financement de 19 milliards d’euros pour l’investissement dans notre système de santé. Ces financements massifs permettront d’accélérer la transformation de notre système de santé, de le rendre plus résilient, plus à l’écoute des usagers et
des territoires mais aussi plus efficace et plus efficient. De cet investissement massif dans notre système, seront aussi dégagées des économies, notamment sur la simplification de son fonctionnement et l’intérim médical.


Délibération no 2020-061 du 11 juin 2020 portant avis sur un projet d’arrêté fixant la liste des organismes ou services chargés d’une mission de service public pouvant mettre en œuvre des traitements de données à caractère personnel ayant pour finalité de répondre à une alerte
sanitaire, dans les conditions définies à l’article 67 de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (demande d’avis no 20007810

Sur le traitement du NIR et les mesures de sécurité associées
La Commission souligne que le projet d’arrêté a également pour objet de fixer la liste des organismes et des services chargés d’une mission de service public en charge de la gestion et du suivi des alertes sanitaires, tel que prévu par les dispositions de l’article 2 B (10o du décret no 2019-341 du 19 avril 2019.
En premier lieu, la Commission rappelle que l’article 86 du décret no 2019-536 du 29 mai 2019 pris pour
l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés précise que, conformément au principe de minimisation, le NIR peut être traité dans le cadre du présent dispositif « lorsqu’une telle utilisation constitue le seul moyen de collecter des données de santé à caractère personnel nécessaires pour faire face à l’urgence sanitaire ». En particulier, la Commission s’interroge sur la possibilité pour certains acteurs listés dans le projet d’arrêté de traiter le NIR n’ayant pas fait l’objet d’une opération cryptographique, alors même que ce traitement n’est pas prévu dans le cadre des missions qui leur sont traditionnellement attribuées. En application du principe de minimisation, le NIR ne devrait être traité sous sa forme littérale que lorsque cela est absolument nécessaire à l’accomplissement des finalités, ce dont le responsable de traitement devra expressément
justifier, par exemple dans le cadre de l’analyse d’impact relative à la protection des données. Lorsque le NIR n’est utilisé que pour permettre l’appariement de données entre deux jeux de données, seul un NIR ayant fait préalablement l’objet d’opérations cryptographiques lui substituant un code non signifiant devrait pouvoir faire l’objet d’un traitement. En l’absence de précision sur ce point dans le projet, la Commission prend acte de l’engagement du ministère de préciser dans l’arrêté que les organismes mentionnés au 8o du projet de texte ne seront pas autorisés à traiter le NIR dans les situations visées à l’article 67 de la loi « Informatique et Libertés ». Elle invite cependant le ministère à préciser explicitement dans l’arrêté, s’agissant des autres organismes mentionnés, si le NIR qu’ils pourront traiter devra préalablement avoir fait l’objet d’opérations cryptographiques.
En second lieu, la Commission rappelle que ce traitement ne pourra donc être réalisé que dans le respect, d’une part, des articles 5-1-f et 32 du RGPD ainsi que, d’autre part, de l’article 86 du décret précité. Ainsi, tout traitement du NIR devra s’effectuer dans des conditions de sécurité de très haut niveau, compte tenu des risques attachés au traitement de cette donnée. Les mesures de chiffrement mises en œuvre doivent ainsi être conformes à l’état de l’art et au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information

StopCovid : Une application respectueuses des données à caractère personnel

Décision n°MED-2020-015 du 15 juillet 2020Décision n° MED-2020-015 du 15 juillet 2020 mettant en demeure le ministère des solidarités et de la santé

L’application StopCovid France est une application de suivi de contacts (ou contact tracing ) qui permet à chaque utilisateur d’enregistrer un historique de contacts avec d’autres utilisateurs, c’est-à-dire une information relative à la proximité entre deux terminaux mobiles. Elle permet à l’utilisateur de se déclarer diagnostiqué ou dépisté au virus SARS-CoV-2. Elle permet également aux utilisateurs d’être informés qu’ils ont été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus SARS-CoV-2 et, le cas échéant, d’être invités à prendre attache avec un professionnel de santé pour être pris en charge le plus rapidement possible et, ainsi, d’être intégrés dans le système plus général de gestion du virus SARS-CoV-2 (systèmes d’information SI-DEP et Contact Covid ). L’application, dont le téléchargement et l’utilisation reposent sur une démarche volontaire de l’utilisateur, fonctionne grâce à la conservation de l’historique de proximité, constitué des pseudonymes émis par les ordiphones via la technologie Bluetooth à basse consommation (Bluetooth Low Energy — BLE).

Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.  Ils ont débuté le 9 juin dernier par un contrôle en ligne de l’application et l’envoi d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre. Ils se sont poursuivis par des contrôles sur place les 25 et 26 juin 2020. Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel et que la plupart des préconisations formulées par la CNIL dans ses avis des 24 avril et 25 mai 2020 ont été pris en compte par le ministère des Solidarités et de la Santé.

La Présidente de la CNIL estime nécessaire, afin que le traitement respecte pleinement les dispositions du décret du 29 mai 2020, que le responsable de traitement cesse de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central, par exemple en prenant toutes mesures appropriées permettant de généraliser l’usage de la nouvelle version de l’application.

Manquement à l’obligation d’information

La délégation a constaté que la politique de traitement des données à caractère personnel est fournie aux utilisateurs de l’application StopCovid France à partir d’une rubrique confidentialité – accessible lors du parcours d’activation de l’application – et depuis la page web https://bonjour.stopcovid.gouv.fr/privacy.html intitulée Données personnelles – également accessible depuis plusieurs liens du parcours d’activation de l’application. La rubrique confidentialité et la page Données personnelles informent les utilisateurs de l’application de l’identité et des coordonnées du responsable de traitement et du délégué à la protection des données, des finalités du traitement et de sa base juridique, de la durée de conservation des données, des droits des personnes concernées, notamment de leur droit à introduire une réclamation auprès de la CNIL La Présidente estime que l’information fournie est pour l’essentiel conforme au RGPD. Elle estime cependant que, sur un point, l’information fournie sur les catégories de destinataires des données est incomplète. En effet, la rubrique confidentialité informe uniquement l’utilisateur que Les données sont partagées par [l’] application avec le serveur géré par le Ministère des Solidarités et de la Santé, seulement si vous êtes testé positif et avec votre accord . La section destinataire des données de la page Données personnelles ne contient par ailleurs qu’un seul paragraphe concernant les destinataires, rédigé en ces termes : Les utilisateurs identifiés par l’application comme contacts à risque d’avoir contracté le virus COVID-19 sont destinataires de l’information selon laquelle ils ont été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du COVID-19 . Or, la délégation a notamment été informée que INRIA, agissant en qualité d’assistant à la maîtrise d’œuvre du ministère des solidarités et de la santé, traite des données à caractère personnel issues de l’application StopCovid France pour le compte du ministère des solidarités et de la santé Par conséquent, les informations fournies aux utilisateurs de l’application StopCovid France relatives aux destinataires ou aux catégories de destinataires des données à caractère personnel devraient mentionner l’existence d’un sous-traitant et sont incomplètes sur ce point Ces faits constituent un manquement à l’article 13 du RGPD.

Manquement à l’article 28 du RGPD : obligation d’encadrer par un acte juridique formalisé les traitements effectués par des sous-traitants pour le compte du responsable de traitement

La délégation a constaté que INRIA est titulaire d’un marché d’assistance à la maîtrise d’œuvre pour le compte du ministère des solidarités et de la santé au titre, notamment, des missions de déploiement, d’infogérance, d’exploitation, d’hébergement et de maintenance évolutive de l’application StopCovid . Dans ce cadre, INRIA agit comme sous-traitant du traitement des données à caractère personnel pour le compte du ministère des solidarités et de la santé. La délégation a constaté que le marché liant INRIA au ministère des solidarités et de la santé contient la plupart des mentions exigées par l’article 28 du RGPD. Il précise notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel traitées ainsi que les catégories de personnes concernées. La délégation a néanmoins constaté que les clauses des pièces contractuelles du marché d’assistance à la maîtrise d’œuvre qui lui ont été adressées à l’issue de ses missions de contrôle, et en réponse à la demande formulée dans ce cadre, sont incomplètes sur les obligations et les droits du responsable de traitement et sur les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement et, notamment, ne précisent pas que le sous-traitant aide le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits, que le sous-traitant aide le responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD et que le sous-traitant met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 et permettre la réalisation d’audits.

Manquement à l’obligation de réaliser une AIDP

La délégation a constaté que le ministère des solidarités et de la santé a procédé, depuis le lancement de l’application StopCovid France , à une mise à jour de son analyse d’impact relative à la protection des données personnelles issues de l’application. Le ministère des solidarités et de la santé a ainsi remis à la délégation une version de l’analyse d’impact mise à jour au 3 juillet 2020. Les études d’impact réalisées sont globalement conformes aux dispositions de l’article 35-7-a) et suivent, pour l’essentiel, les recommandations de la Commission. La délégation a néanmoins constaté que la dernière version de l’AIPD ne précise pas que la solution anti DDOS (solution visant à prévenir les attaques par déni de service) proposée par la société ORANGE et implémentée dans l’application aux fins de sécurisation du système, entraine la collecte des adresses IP ( internet protocol ) des utilisateurs de l’application. Or, la délégation a constaté que lorsqu’un utilisateur se connecte à l’application StopCovid France , l’adresse IP de l’ordiphone est collectée dans le cadre de la solution anti DDOS de la société ORANGE. Il a par ailleurs été constaté que la collecte de cette donnée à caractère personnel n’a pas d’autre finalité, en l’espèce, que celle d’assurer la sécurité du dispositif. La Présidente précise que la solution anti DDOS étant une solution de sécurité du dispositif, celle-ci n’avait pas à figurer dans le décret du 29 mai 2020. Dès lors, les données traitées par cette solution n’avaient pas non plus à figurer dans ce décret. La collecte des adresses IP dans ce cadre n’est donc pas irrégulière. En revanche, dès lors que cette solution de sécurité entraine une collecte de données à caractère personnel, la description de cette opération de traitement doit apparaître dans l’analyse d’impact réalisée par le responsable de traitement. De même, la délégation a constaté que la collecte des données présentes sur l’équipement connecté de l’utilisateur dans le cadre de la technologie reCaptcha de la société GOOGLE déployée dans la version initiale de l’application (v1.0.*de l’application), n’est pas précisée dans l’analyse d’impact. En ne décrivant pas la totalité des opérations de traitement des données à caractère personnel en lien avec l’application StopCovid France et les mesures pour limiter les risques, l’analyse d’impact établie par le ministère des solidarités et de la santé ne répond pas pleinement aux exigences de l’article 35 du RGPD. Ces faits constituent un manquement à l’article 35 du RGPD.

La Présidente de la CNIL met en demeure le ministère des solidarités et de la santé de :· cesser de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central en méconnaissance du cadre légal défini par les dispositions du décret n° 2020-650 du 29 mai 2020, compléter l’information fournie aux utilisateurs de l’application StopCovid France dans les conditions prévues à l’article 13 du Règlement, en fournissant aux utilisateurs une information complète sur les destinataires ou catégories de destinataires des données à caractère personnel issues de l’application ; veiller à ce que les contrats de sous-traitance conclus dans le cadre de l’exploitation de l’application StopCovid France contiennent les mentions prévues à l’article 28 du Règlement, compléter l’analyse d’impact relative à la protection des données à caractère personnel issues de l’application StopCovid France conformément à l’article 35 du Règlement,  veiller, le cas échéant, à informer et recueillir le consentement des personnes concernées aux actions de lecture et d’écriture des informations présentes sur les terminaux de communication électronique par la société GOOGLE dans le cadre de la technologie reCaptcha (version v1.0.* de l’application), conformément aux dispositions de l’article 82 de la loi Informatique et Libertés .

Médicaments expérimentaux contenant des OGM : Dérogation pour la mise en œuvre d’essais cliniques multicentriques associant plusieurs Etats Membres

Le Parlement européen a adopté la résolution législative du Parlement européen du 10 juillet 2020 sur la proposition de règlement du Parlement européen et du Conseil relatif à la conduite d’essais cliniques avec des médicaments à usage humain contenant des organismes génétiquement modifiés ou consistant en de tels organismes et destinés à traiter ou prévenir la maladie à coronavirus, ainsi qu’à la fourniture de ces médicaments (COM(2020)0261 – C9-0185/2020 – 2020/0128(COD))

En règle générale, aucun médicament ne peut être mis sur le marché dans l’Union ou dans un État membre sans qu’une autorisation de mise sur le marché n’ait été délivrée par les autorités compétentes au titre de la directive 2001/83/CE ou du règlement (CE) nº 726/2004. Néanmoins, la directive 2001/83/CE et le règlement (CE) nº 726/2004 prévoient des exceptions à cette exigence dans des situations caractérisées par une nécessité urgente d’administrer un médicament pour répondre aux besoins spécifiques d’un patient, en vue d’un usage compassionnel ou en réponse à la propagation suspectée
ou confirmée d’agents pathogènes, de toxines, d’agents chimiques ou de radiations nucléaires susceptibles de causer des dommages. En particulier, l’article 5,
paragraphe 1, de la directive 2001/83/CE autorise les États membres, en vue de répondre à des besoins spéciaux, à exclure des dispositions de ladite directive les médicaments fournis pour répondre à une commande loyale et non sollicitée, élaborés conformément aux spécifications d’un professionnel de santé agréé et destinés à ses malades particuliers sous sa responsabilité personnelle directe. Au titre de l’article 5, paragraphe 2, de la directive 2001/83/CE, les États membres peuvent également autoriser temporairement la distribution d’un médicament non autorisé en réponse à la propagation suspectée ou confirmée d’agents pathogènes, de toxines, d’agents chimiques ou de radiations nucléaires, qui sont susceptibles de causer des dommages.
Au titre de l’article 83, paragraphe 1, du règlement (CE) nº 726/2004, les États membres peuvent, pour des raisons compassionnelles, mettre un médicament à usage humain à la disposition d’un groupe de patients souffrant d’une maladie invalidante, chronique ou grave, ou d’une maladie considérée comme mettant la vie en danger, ces patients ne pouvant pas être traités de manière satisfaisante par un médicament autorisé.

Ce projet de règlement vise à veiller à ce que les essais cliniques portant sur des médicaments expérimentaux contenant des OGM ou consistant en de tels organismes et destinés à traiter ou à prévenir la COVID-19 puissent commencer sans retard. A cet effet, il introduit une dérogation temporaire à la législation de l’Union relative aux OGM afin d’éviter tout retard dans la conduite d’essais cliniques sur le territoire de plusieurs États membres avec des médicaments expérimentaux contenant des OGM ou consistant en de tels organismes et destinés à traiter ou à prévenir la COVID-19.

Il permet de clarifier l’application de l’article 5, paragraphes 1 et 2, de la directive 2001/83/CE et de l’article 83, paragraphe 1, du règlement (CE) nº 726/2004 en ce qui concerne les médicaments contenant des OGM ou consistant en de tels organismes et destinés à traiter ou à prévenir la COVID-19,

Le règlement s’appliquera tant que l’OMS qualifie la COVID-19 de pandémie ou qu’un acte d’exécution par lequel la Commission reconnaît une situation d’urgence en matière de santé publique due à la COVID-19 conformément à l’article 12 de la décision nº 1082/2013/UE du Parlement européen et du Conseil
s’applique. Il devrait entrer en vigueur d’urgence le jour suivant celui de sa publication au Journal officiel de l’Union européenne

Plateforme : Articulation entre le droit de la concurrence et une régulation asymétrique, ex ante

LES RECOMMANDATIONS DU CONSEIL NATIONAL DU NUMÉRIQUE EN VUE D’UNE NOUVELLE RÉGULATION

« Au regard des risques de l’interopérabilité soulevés dans l’évaluation des enjeux pour les réseaux sociaux et les utilisateur, le Conseil estime qu’il serait préférable d’examiner, dans un premier temps, les effets de la mise en œuvre du droit à la portabilité des données, permettant aux utilisateurs de transférer leurs données d’un réseau social à un autre. En particulier, les grandes plateformes mettent actuellement en place un projet de transfert de données qui pourrait s’avérer efficace pour permettre aux utilisateurs de migrer d’une plateforme à une autre. En particulier, l’inclusion des listes de contacts dans le cadre de ce projet pourrait partiellement remédier aux effets de réseau directs, sous réserve de respecter le droit à la vie privée des utilisateurs. À l’issue de cet examen, si le Gouvernement souhaitait introduire une obligation d’interopérabilité, le Conseil estime que cette initiative devrait s’inscrire dans le cadre d’une réforme plus globale de la régulation des plateformes numériques. En effet, cet outil n’a pas vocation à être autosuffisant au vu des objectifs de politiques publiques poursuivis et devrait compter parmi un panel d’outils, à la disposition des régulateurs nationaux par exemple. Aussi, la mise en place d’une régulation ex ante et asymétrique apparaît nécessaire, en complément du droit de la concurrence, afin de pouvoir imposer des règles spécifiques aux grandes plateformes dites « systémiques ». De plus, cette régulation devrait prendre en compte les aspects économiques et concurrentiels, mais également sociétaux et consuméristes liés aux modèles d’affaires des grandes plateformes. En tout état de cause, une telle régulation ne pourrait se faire de façon cohérente et harmonisée qu’à l’échelle européenne, voire internationale dans le cadre des débats à l’OCDE »

L’échelon européen pourrait être privilégié, notamment dans le cadre du Digital Services Act, en complément du règlement P2B qui s’applique à l’ensemble des plateformes dans leurs relations avec les entreprises utilisatrices.

Rapport https://cnnumerique.fr/files/uploads/2020/2020.07.06.ra_cnnum_concurrence_web.pdf

Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R1150&from=EN

News JUIN 2020

Dans son rapport de juin consacré à l’E-Santé : augmentons la dose ! , l’Institut Montaigne montre que la Covid-19 a été un révélateur de la faible digitalisation du système de santé français. « Le recours à la technologie et à la e-santé a mis en avant des degrés de maturité bien différents d’un pays à l’autre mais permet d’affirmer une chose : là où la technologie a été massivement utilisée, les conséquences de l’épidémie ont pu être jugulées plus rapidement et plus efficacement. En Allemagne, en Israël, en Corée du Sud, à Hong Kong, à Taïwan, c’est la mobilisation des technologies, l’exploitation des données de santé, le recours aux tests en grand nombre qui ont notamment permis une rapidité d’exécution pour endiguer l’épidémie. »

Le deuxième chapitre du rapport est consacré à l’analyse des freins au déploiement de la e-santé. L’absence d’une filière santé visible et unie en France constitue un des défis majeurs pour permettre une digitalisation puissante. Cette filière en devenir fait face à de nombreux conservatismes et silos et se voit trop souvent freinée par le poids des règlementations, les barrières culturelles et les contraintes financières.

L’analyse des difficultés rencontrées par les acteurs montre que les principaux obstacles au déploiement de la e-santé jusqu’à présent ont été :
◗ Les barrières à la pleine utilisation des données de santé
◗ Une trop faible incitation à l’usage de la télémédecine ainsi qu’un déficit de formation et d’équipement des professionnels de santé.
◗ Des dispositifs de financement de l’innovation peu coordonnés et peu lisible◗ Une filière santé hétérogène et peu structurée,
◗ Un pilotage et une gouvernance éclatés en matière d’e-santé,
◗ Un cadre d’évaluation peu adapté aux solutions intégrant la e-santé et ne permettant pas d’associer les patients.


Pour l’Institut Montaigne : « La puissance publique a lancé une feuille de route ambitieuse pour accélérer le virage numérique et a bien saisi l’intérêt de favoriser l’innovation et la e-santé. Mais le périmètre d’intervention des pouvoirs publics doit être revu pour se concentrer sur un rôle stratégique et donner à l’ensemble des
acteurs de terrain privés comme publics, plus d’autonomie et de capacité d’innovation. L’ensemble des parties prenantes doit se mettre en ordre
de marche pour produire les résultats espérés, au risque sinon d’accentuer davantage le retard culturel et opérationnel dans le développement des solutions
d’e-santé en France.
« 

Le troisième chapitre du rapport appelle à un New Deal de la santé en France dont les deux piliers sont l’utilisation des données de santé et la structuration de la filière industrielle. Pour l’Institut Montaigne le système doit être repensé à travers quatre axes :

◗ Axe 1 : s’appuyer sur la mobilisation des acteurs privés pour faire émerger
une véritable filière de la santé en France.
◗ Axe 2 : faire de la France un leader de la e-santé en facilitant l’accès aux
données de santé pour l’ensemble de l’écosystème.
◗ Axe 3 : construire un environnement réglementaire et technique propice au
renforcement de la filière santé et au développement de solutions innovantes.
◗ Axe 4 : bâtir une culture de la confiance autour du numérique et des données
de santé auprès de tous les acteurs.

Conservation sous forme pseudonymisées des données de santé en lien avec l’épidémie COVID-19

Dans sa note du 21 juin « Conservation des données dans le cadre de l’article 2 du projet de loi organisant la sortie de l’état d’urgence sanitaire », le Conseil Scientifique Covid-19 plaide en faveur d’une conservation des données de santé. Dans le cadre des débats parlementaires actuels relatifs au projet de loi organisant la sortie de l’état d’urgence sanitaire, le Conseil scientifique a été saisi par le ministère de la Santé et de la Solidarité spécifiquement sur l’article 2 de ce projet. Le Conseil scientifique transmet par cette note sa position quant à la sauvegarde des données de santé en lien avec l’épidémie COVID-19, tout particulièrement les données issues de SIDEP. « Les données des systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020, incluant notamment la date de diagnostic d’infection par le SARS-CoV-2 et la localisation de l’ensemble des cas sur le territoire français constituent une source d’information unique pour les modélisateurs afin de comprendre la dynamique de propagation du virus, et d’apprécier l’impact des différentes mesures de contrôle de la circulation du virus. Ces données resteront extrêmement précieuses tant que persistera la menace d’une reprise de la circulation du virus sur le territoire français. ». Le Conseil Scientifique considère qu’au regard des données dont il dispose, une seconde vague dans l’hémisphère nord est extrêmement probable. Dans ce contexte les données de santé devraient être conservées à des fins de recherche et de suivi épidémiologique.

Pour le Conseil Scientifique cette conservation devra se faire sous une forme pseudonymisée et non simplement anonymisée, « de façon à ce que les données d’un même individu, nonidentifiantes, puissent tout de même être reliées entre elles (ex : documentation d’une réinfection), ou chainées avec des données d’autres bases (ex : base de données médicamenteuses du SNDS). A titre de comparaison, les données des maladies à déclaration obligatoire, dont fait partie la COVID-19, sont généralement conservées sous forme directement identifiante pour une durée de 12 mois, avant d’être conservées sous forme pseudonymisée pour des durées allant jusqu’à 25 ans pour les maladies à déclaration obligatoire faisant l’objet d’investigation comme la tuberculose. »

Conseil d’Etat : Ordonnance du 19 juin 2020

Le Conseil d’Etat a considéré que le projet HDH n’a pas lieu de porter atteinte au droit au respect de la vie privée et à la protection des données personnelles. Dans son ordonnance, le CE estime que l’arrêté du 21 avril 2020 qui a permis le déploiement accéléré du projet Health Data Hub n’a donc pas lieu d’être suspendu. Les requérants menés par le CNLL considèrent, quant à eux, que cet arrêté « porte une atteinte grave et manifestement illégale à ces libertés en raison de l’absence de conformité aux exigences relatives au traitement des données, concernant l’anonymisation des données, les droits des personnes, l’indépendance de la gouvernance de la plateforme et de sécurisation de l’accès des sous-traitants, de l’absence de conformité aux exigences d’hébergement des données de santé (…) et de l’absence de garantie contre un possible transfert de données dans des Etats tiers tels que les Etats-Unis du fait du choix de la société Microsoft, au terme d’une procédure non transparente ».Après examen du contrat de sous-traitance passé entre Microsoft (hébergeur de données santé) et la plateforme, le Conseil d’Etat reconnaît que ce dernier prévoit bel et bien la soumission aux exigences de la réglementation française en matière d’hébergement de données de santé. Evoquant le risque d’un transfert de données dans un Etat tiers (et dans le cas présent, aux Etats-Unis), la juridiction observe qu’en l’état, les données sont « actuellement hébergées dans des centres de données situés aux Pays-Bas et le seront prochainement dans des centres de données situés en France ».Concernant plus explicitement le « Cloud Act », l’un des points qui cristallise les inquiétudes des opposants au projet, le Conseil d’Etat rappelle que « les sociétés soumises au droit américain peuvent être tenues de fournir des données qu’elles contrôlent, quel que soit le lieu de leur hébergement, lorsque cette fourniture est autorisée par un juge pour les besoins d’une enquête criminelles ». Or, le Conseil d’Etat évoque aussi que « si ces dispositions peuvent s’appliquer à la société Microsoft, comme d’ailleurs aux sociétés françaises qui ont une activité aux Etats-Unis », aucun élément ne prouve que les données de santé pseudonymisées soient « susceptibles de faire l’objet de demandes d’accès sur ce fondement ». Le Conseil d’Etat rejette la plupart des demandes des requérants, il demande toutefois aux responsable du Health Data Hub de fournir à la CNIL dans un délai de 5 jours « tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à celle-ci de vérifier que les mesures prises en la matière, en particulier au regard de la réserve et des recommandations qu’elle a émises, assurent une protection suffisante des données de santé considérées ».

.Le Conseil National du Numérique (CNNum) a été saisi par la Ministre des Solidarités et de la Santé et par le Secrétaire d’Etat au Numérique, afin de produire des recommandations destinées à accompagner la transformation numérique du Système de Santé. Ce rapport se structure en quatre chapitres. Le premier chapitre est consacré au développement d’une dynamique française et européenne du numérique en santé, déclinée autour de grands principes. Le deuxième chapitre traite de la valorisation des potentialités françaises, en particulier en termes d’innovation et de recherche. Le troisième chapitre se concentre sur l’Espace Numérique de Santé, qui doit devenir l’épicentre du système de santé français. Le quatrième chapitre est dédié aux problématiques de formation et d’acculturation au numérique des citoyens, patients, professionnels et décideurs publics.

Les recommandations du présent rapport, dans la continuité de la loi de transformation du système de
santé70 et du plan Ma Santé 2022, plaident pour une conservation et une adaptation de ce qui fonde l’État-providence français depuis près d’un siècle.

Focus sur « Le Chapitre 2 : « Lever les freins à l’innovation pour offrir un véritable modèle économique et un marché aux entreprises numériques en santé

Le développement de solutions numériques dans le contexte de la
pandémie de COVID-19 a dévoilé les formidables capacités d’innovation de l’écosystème français du numérique en santé : des réponses ont été apportées en un temps record et de nombreux outils sont venus soutenir les soignants dans leur réponse à la crise. Les pouvoirs publics sont su s’adapter, des mesures dérogatoires ont été prises, par exemple, dans le cadre de la télémédecine, et des tentatives de coordination ont vu le jour, avec le déploiement, en mai 2020, de la plateforme G-NIUS . Le CNNum considère que l’Etat peut jouer un rôle fondamental en organisant l’innovation, en valorisant la recherche en offrant un accompagnement de qualité et en fludifiant la remontée d’information vers la remontée d’information vers les organes publics.

Valoriser la rechercher

Offrir un accompagnement de qualité

Fluidifier les échanges avec les pouvoirs publics

Focus Chapitre 3 : « Mettre l’espace numérique de santé (ENS) et le bouquet de services aux professionnels (BSP) au centre du système de santé

Encadrer le référencement des applications dans l’ENS et le BSP

Etablir des critères garantissant la protection des utilisateurs

Assurer la surveillance et le contrôle a posteriori des services référencés

VALORISER ET SÉCURISER LES DONNÉES DE L’ENS ET DU BSP

Programme « L’UE pour la santé » : EU4 Health 2021-2027

Un nouveau programme européen lancé pour renforcer les systèmes de sante de l’UE et répondre plus efficacement aux crises telles que la pandémie de la Covid-19. Le programme L’UE pour la santé concerne des actions et des mesures d’incitation visant à prévenir les risques sanitaires et à protéger et améliorer la santé humaine

La pandémie de la Covid-19 a révélé que les pays de l’Union doivent mieux se coordonner entre eux et répondre plus efficacement aux futures crises sanitaires transfrontalières.
Suite à cette expérience, un nouveau programme d’action européen – baptisé « UE pour la santé » (EU4Health) – a été lancé afin de combler les lacunes révélées par la pandémie.
Même si les questions de santé sont une compétence nationale, l’UE peut néanmoins soutenir et suppléer aux mesures sanitaires prises par les États membres. En vertu de l’article 168 TFUE, l’Union doit compléter et appuyer les
politiques nationales de santé, encourager la coopération entre les États membres et favoriser la coordination de leurs programmes, en respectant pleinement les responsabilités des États membres en ce qui concerne la définition de leur politique de santé ainsi que l’organisation et la fourniture de services de santé et de soins médicaux. Conformément à l’article 6, point a), du TFUE, l’Union est compétente pour mener des actions visant à appuyer, coordonner ou compléter l’action des États membres en vue de la protection et de l’amélioration de la santé humaine. En vertu de l’article 168 du TFUE, l’Union doit compléter et soutenir les politiques nationales en matière de santé.

Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à l’établissement d’un programme d’action de l’Union dans le domaine de la santé pour la période 2021-2027 et abrogeant le règlement (UE) n°282/2014 (Programme « UE pour la santé »)

ANNEXES de la proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à l’établissement d’un programme d’action de l’Union dans le domaine de la santé pour la période 2021-2027 et abrogeant le règlement (UE) nº 282/2014 (Programme «UE pour la santé»)

Conseil de l’UE : Façonner l’avenir numérique de l’Europe

Le 9 juin le Conseil a adopté des conclusions intitulées «  »Façonner l’avenir numérique de l’Europe », dans lesquelles il aborde un large éventail de questions liées à la mise en œuvre de la stratégie numérique de l’UE. Les domaines couverts par les conclusions vont de la connectivité, des chaînes de valeur numériques et de la santé en ligne à l’économie des données, à l’intelligence artificielle et aux plateformes numériques. » Dans ses conclusions, le Conseil :

Intelligence artificielle

19. Reconnaît que l’intelligence artificielle est une technologie en rapide évolution qui peut contribuer à la mise en place d’une économie plus innovante, efficace, durable et compétitive, et apporter un large éventail de bénéfices pour la société, qu’il s’agisse par exemple d’améliorer la sûreté et la sécurité des citoyens, le bien-être public, l’éducation et la formation ainsi que les soins de santé ou de contribuer à l’atténuation du changement climatique et à l’adaptation à celui-ci; INSISTE sur le rôle positif des applications de l’intelligence artificielle dans la lutte contre la pandémie de COVID-19 et SOUTIENT l’utilisation rapide et novatrice des applications de l’IA dans ce domaine; (….)

22. Encourage la Commission et les États membres à favoriser une approche éthique et axée sur le facteur humain en ce qui concerne la politique en matière d’IA; SOUTIENT l’approche de la Commission et des États membres, axée sur l’excellence et la confiance, dans le double objectif de promouvoir l’utilisation de l’intelligence artificielle au moyen d’un réseau de pôles d’innovation numérique couvrant tout le territoire de l’UE et de faire face aux risques liés à certaines utilisations de cette technologie à un stade précoce, durant sa mise au point et en phase de test, en accordant une attention particulière à l’utilisation des technologies de reconnaissance faciale ainsi qu’au recours à d’autres données biométriques

23 SE FÉLICITE de la consultation sur les propositions stratégiques contenues dans le livre blanc de la Commission et le rapport qui l’accompagne sur les incidences en matière de sécurité et de responsabilité et INVITE la Commission à présenter des propositions concrètes, en prenant en considération la législation existante, qui suivent une approche fondée sur les risques, proportionnée et, au besoin, réglementaire à l’égard de l’intelligence artificielle, y compris un système de label non obligatoire, et qui renforcent la confiance et préservent la sécurité et la sûreté tout en stimulant l’innovation et l’utilisation de la technologie;

24. ENCOURAGE les États membres à continuer de stimuler les efforts de recherche et de développement, ainsi que l’utilisation d’une intelligence artificielle fiable en Europe dans le cadre du plan coordonné dans le domaine de l’intelligence artificielle; INVITE la Commission à évaluer le plan coordonné dans le domaine de l’IA après la fin des consultations publiques sur le livre blanc sur l’intelligence artificielle;

Santé en ligne

43.CONSTATE que la crise de la COVID-19 démontre l’importance de la transformation numérique de la santé et des soins, ainsi que l’intérêt de cette transformation pour le renforcement de la résilience des systèmes de santé et de leur riposte à la pandémie; SOULIGNE que la mise en place par la Commission, avec les autorités sanitaires
des États membres, d’un espace européen des données de santé pourrait faciliter le renforcement de l’efficacité de la prévention, du diagnostic, des traitements et des soins. Il pourrait aussi en résulter une amélioration du rapport coût-efficacité et une optimisation de l’organisation des tâches dans le secteur des soins de santé, ce qui permettrait d’obtenir de meilleurs résultats pour la santé des patients, de renforcer les systèmes de surveillance épidémiologique et d’assurer la durabilité à long terme des systèmes de santé; CONVIENT que l’espace européen des données de santé devrait être axé sur les objectifs et la qualité. Cela nécessite un consensus sur l’utilisation des données sanitaires conformément au droit international, européen et national, ainsi que dans le respect de toutes les exigences spécifiques de haut niveau relatives à la protection des données à caractère personnel concernant la santé;

44. RAPPELLE, dans le contexte de l’après-crise COVID-19, que les applications mobiles de suivi des contacts et d’alerte devraient comporter toutes les garanties de respect des droits fondamentaux, en particulier en ce qui concerne la protection des données à caractère personnel et de la vie privée, et être interopérables par-delà les frontières, conformément aux orientations élaborées avec le soutien de la Commission; à cette fin, APPELLE les États membres à mettre en place de solides garanties, conformément à la communication de la Commission intitulée « Feuille de route européenne commune pour la levée des mesures visant à contenir la propagation de la COVID-19 »;

45. INVITE les États membres à unir leurs forces, dans le cadre d’un effort consenti à l’échelle de l’UE, pour accroître les investissements dans des systèmes qui donnent un accès sécurisé et fiable aux données sanitaires à l’intérieur des frontières et au-delà et pour assurer le déploiement de tels systèmes, notamment en étudiant les pistes en vue de la mise au point d’un format européen d’échange des dossiers de santé informatisés, qui contribuera à réduire la fragmentation et le manque d’interopérabilité, et en soutenant les mesures prises, dans le cadre du réseau « Santé en ligne », en faveur de lignes de conduite européennes et de l’alignement des stratégies en matière de santé en ligne, tout en garantissant le plein respect d’exigences spécifiques de haut niveau en matière de protection des données à caractère personnel concernant la santé; NOTE qu’en outre, pour progresser vers une médecine personnalisée et préventive, des efforts considérables sont nécessaires pour permettre l’échange de données sanitaires aux fins de la recherche;

Les délégations trouveront en annexe les conclusions du Conseil intitulées « Façonner l’avenir numérique de l’Europe », approuvées par voie de procédure écrite le 9 juin 2020.

Renforcement de la doctrine de la Cnil sur la protection des données de santé

Distinction entre les entrepôts de données et les projets de recherche

Régime juridique : sous-section 1 articles 65 et suivants et sous-section 2 : articles 72 et suivants de la section de la loi consacrée aux données de santé. La Cnil précise que les enjeux de protection des données et de la vie privée (minimisation des données, gestion des accès, mesures de sécurité, etc) se posent en des termes différents (« Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ? » sur http://www.cnil.fr. Les entrepôts de données sont principalement créés pour collecter et disposer de données massives (données relatives à la prise en charge médicale du patient, données issues de précédentes recherches, etc.). Ces bases de données sont notamment constituées pour une longue durée, de plus de dix ans en général. Elles peuvent être alimentées par de multiples sources. Chaque traitement fait l’objet d’un régime juridique distinct. Une recherche, étude ou évaluation dans le domaine de la santé est, quant à elle, un traitement de données qui poursuit une finalité de recherche précise et répond à une question spécifique et ponctuelle. La durée de la recherche est limitée et connue. Les données sont le plus souvent collectées ou extraites spécifiquement pour les besoins de la
recherche.

AIPD pour l’EDS et la Recherche

Dans tous les cas, une analyse d’impact sur la protection des données (AIPD) doit être réalisée par le responsable de traitement. Cette analyse doit être transmise avec le dossier de demande d’autorisation adressé à la CNIL, le cas échéant.
Chaque projet de recherche mis en œuvre à partir des données de l’entrepôt devra être mené en conformité avec les dispositions relatives aux recherches (demande d’autorisation/décision unique ou engagement de conformité MR-001 à MR-007)

News MAI 2020

StopCovid : Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (JORF n°0131 du 30 mai 2020 texte n° 17)

Le décret crée un traitement de données à caractère personnel, nécessaire au fonctionnement de l’application mobile de suivi de contacts dénommée « StopCovid ». L’utilisation de l’application repose sur le volontariat. Le décret détermine les finalités du traitement de données à caractère personnel mis en œuvre, ainsi que les catégories de données enregistrées, les destinataires de ces données, leur durée de conservation et les modalités d’exercice, par les personnes concernées, des droits qui leur sont reconnus par le règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. La collecte des données est fondée sur l’article 6.1.e) ( mission d’intérêt public) lu en conjonction avec l’article 9.2 i) du RGPD. Le responsable de traitement est le Ministre chargé de la Santé (Direction Générale de la Santé). La finalité de ce traitement est limitée à l’information des utilisateurs de l’application d’un risque d’une contamination par le virus du Covid-19 en raison de leur proximité avec un autre utilisateur de l’appli, ayant été diagnostiqué positif à cette pathologie. Ces personnes exposées sont qualifiées de « contacts à risque de contamination ». L’application vise également à sensibiliser ces dernières sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation. Elle leur recommande de s’orienter vers les acteurs de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage. Enfin, elle vise à adapter, le cas échéant, la définition des paramètres de l’application permettant d’identifier les contacts à risque de contamination grâce à l’utilisation de données statistiques anonymes au niveau national. Lorsqu’un utilisateur est diagnostiqué positif au virus du Covid-19,il peut ou non notifier son résultat dans l’application et transmettre au serveur l’historique de proximité. L’application peut être désinstallée à tout moment.

Fonctionnement

L’historique de proximité des contacts à risque de contamination par le virus du covid-19, correspondant aux pseudonymes aléatoires et temporaires enregistrés par l’application dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l’historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne dépistée positive, pendant les quinze jours qui précèdent le transfert de l’historique de proximité.

Les données permettant l’identification du téléphone mobile, de son détenteur ou de son utilisateur ne peuvent être collectées ni enregistrées dans le cadre du traitement.

Durée du traitement et due de conservation des données

Le traitement est mis en œuvre pour une durée ne pouvant excéder six mois après la cessation de l’état d’urgence sanitaire déclaré par l’article 4 de la loi n° 2020-290 du 23 mars 2020. La clé d’authentification partagée et l’identifiant aléatoire permanent sont conservés jusqu’à ce que l’utilisateur désinstalle l’application StopCovid, et au plus tard pour la durée ne pouvant excéder six mois après la cessation de l’état d’urgence sanitaire. Les données de l’historique de proximité enregistrées par l’application sur le téléphone mobile sont conservées quinze jours à compter de leur enregistrement par cette application. Lorsqu’elles ont été partagées sur le serveur central, les données de l’historique de proximité des contacts à risque de contamination sont conservées sur ce serveur quinze jours à compter de leur enregistrement par l’application du téléphone mobile de la personne dépistée ou diagnostiquée positive au virus du covid-19. Ne sont pas conservées, les données renseignées dans l’application par les personnes diagnostiquées ou dépistées positives au virus du covid-19 qui décident d’envoyer au serveur l’historique de proximité de leurs contacts à risque : a) La date de début des symptômes si l’utilisateur est en mesure de donner cette information ; b) Le code aléatoire à usage unique donné par un médecin traitant à son patient suite à un diagnostic clinique positif au virus du covid-19 ou un code aléatoire à usage unique sous forme de QR-code émis par le traitement mentionné à l’article 8 du décret n° 2020-551 du 12 mai 2020 susvisé en cas d’examen de dépistage positif au virus du covid-19, en application de l’article 9 de ce même décret, afin que l’utilisateur de l’application soit autorisé par le serveur à partager son historique de proximité. Elles ne sont traitées qu’une seule fois afin que l’utilisateur de l’application soit autorisé par le serveur à partager son historique de proximité. Les actions réalisées par les administrateurs dans le traitement font l’objet d’un enregistrement, qui est conservé pendant une durée maximale de six mois à compter de la fin de l’état d’urgence sanitaire. Cet enregistrement comporte l’identification de l’administrateur, les données de traçabilité, notamment la date, l’heure et la nature de l’intervention dans le traitement.

Droit à l’information

Les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits, conformément aux dispositions des articles 13 et 14 du règlement (UE) du 27 avril 2016 susvisé, au moment de l’installation de l’application StopCovid. Elles sont en outre prévenues qu’en cas de partage de leur historique de proximité sur le serveur central, les personnes identifiées comme leurs contacts à risque de contamination seront informées qu’elles auront été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des quinze derniers jours et informées de la possibilité limitée d’identification indirecte, susceptible d’en résulter lorsque ces personnes ont eu un très faible nombre de contacts pendant cette période. Des mentions d’informations sont également publiées sur le site internet http://www.stopcovid.gouv.fr.

Pas de droit d’accès

En application de l’article 11 et du i du paragraphe 1 de l’article 23 du RGPD, les droits d’accès, de rectification ainsi que le droit à la limitation prévus aux articles 15, 16 et 18 de ce même règlement ne peuvent s’exercer auprès du responsable de traitement.

Transparence :

Le code source mis en œuvre dans le cadre de StopCovid est rendu public et est accessible à partir des sites internet du ministre des solidarités et de la santé et du ministre de l’économie et des finances ainsi que du site internet http://www.stopcovid.gouv.fr. La Direction Générale de la Santé (Responsable de traitement) rendra public un rapport sur le fonctionnement de StopCovid dans les 30 jours suivant le terme de la mise en oeuvre de l’application, et au plus tard le 30 janvier 2021.

« L’ANSSI a apporté son expertise en matière de cybersécurité à l’Institut national de recherche en sciences et technologies du numérique (Inria), chargé de développer l’application « StopCovid ». G. POUPARD a souligné le fait que cette application respecte pleinement les recommandations de l’ANSSI et de la Commission nationale de l’informatique et des libertés (CNIL) et présente ainsi de fortes garanties en matière de sécurité numérique et de respect de la vie privée. Une opération de « bug bounty » a débuté le 27 mai afin d’éprouver le niveau de sécurité de l’application et corriger les éventuelles failles. » (Audition de M. Guillaume POUPARD, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) : Pour que la France reste dans la compétition, nous devons « combiner nos efforts en matière de souveraineté nationale avec le développement d’une véritable autonomie stratégique européenne dans le domaine cyber » Assemblée Nationale 28.05.2020.)

La déclaration du Gouvernement relative aux innovations numériques dans la lutte contre l’épidémie de Covid-19 a été adoptée le 27 mai par l’Assemblée Nationale et le Sénat.

Au cours du débat, la Garde des Sceaux, a rappelé que « StopCovid est nécessaire non seulement d’identifier les cas contacts, c’est-à-dire les proches de la personne infectée comme les inconnus qu’elle a pu croiser, mais aussi de les contacter au plus vite afin de juguler les chaînes de contamination. C’est donc dans le cadre d’une mission d’intérêt public que le traitement des données sera mis en œuvre, sous la responsabilité du ministère des solidarités et de la santé. De nombreuses garanties ont été apportées. Le téléchargement de l’application, libre et gratuit, résulte d’une démarche volontaire ; le consentement sera requis à chaque étape, la désinstallation possible à tout moment. Aucune conséquence négative n’est attachée au non-recours à l’application : accès aux tests et aux soins, aux transports en commun, liberté d’aller et venir ne sauraient être conditionnés à l’installation de l’application. Aucun droit ou avantage n’est associé à son utilisation ». Sur les données, la Ministre a rappelé que les données traitées ne sont pas identifiantes, elles sont pseudonymisées. Ni listes de personnes contaminées ni d’interactions sociales. Seules des identifiants éphémères seront utilisés (2 garntie). Sur la durée de conservation, les données ne seront utilisées que pour la durée d’utilisation de l’application soit, comme Contact Covid et le Sidep, six mois. Les historiques de proximité ne seront conservés que quinze jours, soit la durée d’incubation du virus. L’utilisateur pourra à tout moment demander la suppression des données (3ème garantie).La transparence. Les utilisateurs seront pleinement informés de leurs droits en installant l’application (4ème garantie). Le code source est ouvert. L’application StopCovid est volontaire, temporaire, non-identifiante et transparente. La seule technologie utilisée est celle du Bluetooth, tout est anonyme. Les informations sont cryptées et la géolocalisation inexistante. Les données sont des listes de crypto-identifiants. Il n’existe pas de liste des personnes testées positives.

Le comité de liaison et de contrôle ; un contre-pouvoir Tous les trois mois, le gouvernement devra remettre au Parlement un rapport sur le fonctionnement des systèmes d’information créés dans le cadre de la lutte contre le Covid-19, « jusqu’à leur disparition », complété par un avis public de la Commission nationale de l’informatique et des libertés (Cnil).

L’utilité de cet outil sanitaire en question : Le contact tracing permettra de rompre les chaînes de transmission. Le suivi de contacts est déjà utilisé depuis longtemps pour de nombreuses pathologies infectieuses ; il repose sur les médecins de ville, biologistes, infirmiers et agents de l’assurance maladie. Près de 45 % des transmissions se font à partir de personnes asymptomatiques. StopCovid permet de repérer plus précocement les potentiels cas contacts qui peuvent s’isoler, consulter et se faire tester. Le Conseil scientifique a jugé un tel outil indispensable, même si la prévalence de l’épidémie est basse. L’Académie de médecine a également donné un avis favorable. Plus de soixante épidémiologistes reconnus, dans une tribune au Monde, y voient un atout incontestable pour gagner du temps. Dés les premières utilisations, elle sauve des vies. Elle a une efficacité systémique et linéaire à partir de quelques pourcentages d’utilisateurs.

Le Secrétaire d’Etat, auprès du ministre de l’économie et des finances et du ministre de l’action et des comptes publics, chargé du numérique, a précisé que le gouvernement travaillait au déploiement d’un support hors téléphone. En ce qui concerne le droit d’accès, il est impossible à mettre en œuvre dès lors que l’Etat, responsable de traitement n’a pas accès aux données identifiantes. Sur la coopération européenne, une réunion européenne s’est tenue avec les Italiens, les Espagnols, les Allemands et la Commission européenne. Concernant la Captcha, il n’existe pas de Captcha en France. Orange a travaillé à l’instauration d’un Captcha français qui devrait être disponible en juin. Le Secrétaire d’Etat a précisé qu’une solution a été trouvé avec ‘ANSSI  » le Captcha sera encapsulé dans WebView our éviter les fuites de données ». Sur le choix architecture centralisée et décentralisée, les solutions ne seront pas interopérables. Il faudra télécharger l’application du pays de destination. Pour l’Anssi et l’Inria, ainsi que des chercheurs opposés au tracing, la solution décentralisée est plus facile à attaquer. Sur la question de l’utilisation de StopCovid. Cette question a été au coeur des tests réalisés ces deux dernières semaines sur les cent portables de dix-sept marques différentes les plus utilisés par les Français. Il s’agissait de faire en sorte que le téléphone n’éteigne pas l’application quand elle était en arrière-plan. Une solution technique a été trouvée. Les Iphones représentent un peu moins de 20 % du marché. Ils sont « réveillés » par les Android quand ils se croisent. Ce mécanisme de contournement fonctionne bien (75 % à 80 % des personnes). Les spécialistes d’Ebola, du SRAS, du MERS avaient déjà, à l’époque de ces épidémies, envisagé de telles applications. L’étude de l’université d’Oxford et de l’Imperial College est la plus complète dans notre appréhension du problème. Les spécialistes de l’Inserm, de l’Institut Pasteur la considèrent comme très solide. Le temps est essentiel : en dix jours, en cas de prévenance des contacts, c’est une dizaine de milliers de morts qui sont évités. L’effet est exponentiel.

Les 3 briques de la politique sanitaire pour réduire les chaînes de contamination à la COVID-19

StopCovid : application de suivi de contact

Stratégie de « déconfinement ». Le Gouvernement envisage de mettre en œuvre une application, dénommée « StopCovid », disponible sur ordiphones (« smartphones ») et, le cas échéant, sur d’autres équipements mobiles. Elle vise à informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives à la COVID-19 et disposant de la même application, cette proximité induisant un risque de transmission du virus SARS-CoV-2. Le traitement vise ainsi à permettre une information et une alerte plus rapides des cas contacts quant aux risques d’exposition au virus, notamment lorsqu’il s’agit de cas contacts que les personnes contaminées ou exposées ne connaissent pas nécessairement, comme par exemple les personnes croisées dans les transports en commun ou dans les commerces. Il permet également d’alerter certains cas contacts de personnes qui ne souhaiteraient pas répondre aux enquêteurs sanitaires.

Avis de la Cnil sur les conditions de mise en oeuvre de « StopCovid »

Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid » : La Commission s’est prononcée, dans son avis du 24 avril 2020, sur la conformité générale aux règles de protection des données à caractère personnel d’un dispositif de « suivi de contacts » tel qu’envisagé alors par le Gouvernement. La saisine sur un projet de décret relatif à l’application dénommée « StopCovid », accompagnée de l’analyse d’impact sur la protection des données (ci-après « AIPD ») relative au dispositif envisagé, précise les conditions de mise en œuvre projetées de l’application de suivi de contacts. Ce traitement de données à caractère personnel, qui doit être conforme aux dispositions applicables du règlement (UE) 2016/679 du 15 avril 2016 susvisé (ci-après « le RGPD ») et de la loi « Informatique et Libertés »,

La responsabilité du traitement est confiée au Ministère en charge de la politique sanitaire. Le traitement est fondé sur une mission d’intérêt public intégrée à la politique sanitaire ( l’article 6.1.e) lu en conjonction avec l’article 9.2i) du RGPD (projet de décret en Conseil d’Etat)). Le traitement aura lieu exclusivement sur le territoire de l’Union

Il s’agit d’une application fondée sur le volontariat. Le volontariat se matérialise dans toutes les composantes du dispositif : installation de l’application, activation de la communication par Bluetooth, prise de contact avec un professionnel de santé, notification du caractère positif de son diagnostic ou résultat positif à un examen de dépistage à la COVID-19 dans l’application, réalisation du dépistage suite à la réception d’une notification, désinstallation de l’application. Elle est temporaire (six mois à compter de la fin de l’état d’urgence sanitaire par le projet de décret). Cette durée correspond à celle prévue pour les traitements « Contact Covid » et « SI-DEP », l’application n’ayant d’utilité qu’en lien avec le cadre plus général de conduite des enquêtes sanitaire.

Finalités

StopCovid a pour finalité l’information d’une personne utilisatrice de l’application qu’elle s’est trouvée à proximité d’au moins un autre utilisateur de cette même application ayant ultérieurement été diagnostiqué positif à la COVID-19, de sorte qu’il existe un risque qu’elle ait été contaminée à son tour ; la sensibilisation des utilisateurs de l’application, identifiés comme contact à risque d’avoir été contaminés par le SARS-CoV-2, sur les symptômes de la maladie, les gestes barrières et la conduite à adopter pour lutter contre la propagation du virus ; l’orientation des contacts à risque vers les acteurs de santé compétents pour leur prise en charge et l’accès aux examens de dépistage ; l’amélioration de l’efficacité du modèle utilisé par l’application pour la définition des cas contacts grâce à l’utilisation de données statistiques anonymes au niveau national. Le traitement ne doit pas non plus permettre de réaliser le suivi des interactions sociales des personnes.

Données collectées : respect du principe de minimisation de l’art 5.1.c)

La Commission relève que l’application StopCovid s’appuiera sur le protocole ROBERT, spécifié par INRIA. Elle relève que ce protocole a été conçu dans une logique de minimisation des donnés et de protection des données dès la conception. Elle relève également que ce protocole prend le parti de diffuser les identifiants des personnes exposées au virus plutôt que de diffuser les identifiants des personnes effectivement contaminées, et qu’il garantit qu’aucun lien ne sera conservé entre les personnes contaminées et la liste des personnes qu’elles auraient pu exposer. La Commission l’a déjà relevé dans sa délibération du 24 avril 2020, si le dispositif a vocation à traiter des données à caractère personnel au sens du RGPD, l’application ne collecte que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, dans le respect du principe de minimisation des données posé par l’article 5.1.c) du RGPD. Toutefois, certaines données évoquées dans l’AIPD ne sont pas mentionnées à l’article 2 du projet de décret. La Commission prend acte de l’engagement du ministère de modifier le projet afin de mentionner la collecte des périodes d’exposition des utilisateurs à des personnes contaminées ainsi que les codes pays. Par ailleurs, eu égard aux particularités du traitement, elle recommande que la collecte des dates de dernière interrogation du serveur soit également mentionnée.

Exactitude des données transmises au serveur central : absence de prise en compte des cas particuliers

L’application ne prend pas en compte les situation dans lesquelles l’utilisateur est en contact prolongé avec une personne protégée (port de masque, paroi séparatrice…) au moment de l’enregistrement du contact. L’alerte sera envoyée alors que ces contacts ne devaient pas être considérés comme potentiellement à risque (faux positifs). Afin de tenir compte de ces cas particuliers la Commission recommande que l’information délivrée aux utilisateurs puisse intégrer des recommandations quant à l’usage de l’application dans des contextes précis. La présence d’un bouton de désactivation temporaire, aisément accessible, sur l’écran principal de l’application pourrait être de nature à réduire le nombre de fausses alertes correspondant à des moments où l’utilisateur n’est pas réellement exposé. Le transfert de l’historique des identifiants pseudonymes des cas contacts d’une personne infectée, depuis une application mobile vers le serveur central, requiert l’utilisation d’un code à usage unique remis par un professionnel de santé suite à un diagnostic clinique positif ou un examen de dépistage positif à la COVID-19. La Commission relève également que cette transmission se fera sans que l’historique de contacts transmis au serveur puisse être rattaché à la personne infectée.

Destinataires et accédants aux données

Les destinataires de l’information sont les personnes qui ont été en contact avec un utilisateur diagnostiqué ou dépisté positif au virus. Par ailleurs, la Commission relève que l’AIPD transmise liste plusieurs organismes agissant en qualité de sous-traitants pour le compte du responsable de traitement. La Commission recommande que le projet de décret soit complété afin de mentionner que des sous-traitants seront accédants ou destinataires des données à caractère personnel dont ils auront besoin de connaître. La Commission prend acte de ce que le fournisseur de service d’informatique en nuage (« cloud computing ») hébergeant l’infrastructure de l’application, agissant en qualité de sous-traitant, possède des centres de données localisés en France. Le contrat de sous-traitance le liant au responsable de traitement devra notamment préciser les zones géographiques depuis lesquelles les administrateurs accèdent à l’infrastructure. Elle relève que l’article 1er du projet de décret qualifie INRIA de sous-traitant et précise que la mise en œuvre du traitement par INRIA, pour le compte du ministère, se fait dans les conditions prévues à l’article 28 du RGPD. Elle s’interroge sur une telle qualification au regard de la définition du sous-traitant donnée par l’article 4.8 du RGPD.

Information et droits des personnes

S’agissant du respect des obligations de transparence (articles 5.1.a) et 12 à 14 du RGPD), l’article 5 du projet de décret précise, d’une part, que les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits au moment de l’installation de l’application « StopCovid » et, d’autre part, que des mentions d’information sont également mises à la disposition du public par l’intermédiaire du site web « https://www.stopcovid.gouv.fr ». La Commission attire l’attention du ministère sur le fait que l’intégralité des informations doit être mise à disposition de l’utilisateur au sein même de l’application. En ce qui concerne l’information des utilisateurs mineurs, la Commission demande une information spécifique à la fois pour les mineurs eux-mêmes mais aussi pour leurs parents. Le droit d’accès est écarté compte tenu de l’importance de la pseudonymisation dans ce dispositif. Les droit d’effacement et d’opposition sont possibles selon l’AIPD.

Mesures de sécurité

Concernant la sécurité du serveur chargé de la centralisation des identifiants des personnes exposées au virus, le ministère aura recours à des modules de sécurité afin de protéger les clés de chiffrement permettant l’accès aux identifiants des personnes concernées. Le responsable de traitement prévoit la mise en place d’un comité regroupant plusieurs entités auxquelles seraient confiés des fragments des clés de chiffrement, afin de garantir l’impossibilité pour un seul acteur d’opérer un détournement d’usage des données. Elle estime qu’une telle mesure est de nature à limiter les risques de détournement de la base centrale, et elle appelle le ministère a inclure dans ce comité des organismes de natures différentes et présentant un haut niveau d’indépendance, Sur le recours à des mécanismes cryptographiques, la Commission rappelle s’être prononcée dans son avis sur la nécessité d’utiliser des algorithmes cryptographiques à l’état de l’art et conformes au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle note à cet égard que le protocole a évolué, l’algorithme de chiffrement 3DES ayant été remplacé par SKINNY-CIPHER64/192, tel que recommandé par l’ANSSI. Le projet de décret mentionne que certains éléments du « code informatique » de l’application ou du serveur central ne seront pas rendus publics pour des raisons de sécurité de l’application. En revanche, l’intégralité du code source sera rendu public. En ce qui concerne les personnes habilités à accéder aux données enregistrées sur le serveur central, la Cnil recommande l’adoption de mécanismes d’authentification forte.

La Commission prend acte de ce que le fournisseur de l’infrastructure hébergeant la plateforme « StopCovid », agissant en qualité de sous-traitant, est qualifié SecNumCloud par l’ANSSI, qu’il est certifié hébergeur de données de santé (HDS) et qu’il met en œuvre des centres de données certifiés ISO/IEC 27001.Une homologation de sécurité de « StopCovid » est prévue, préalablement à la mise en production de l’application. Des audits seront réalisés par des tiers. Concernant les données relatives aux erreurs techniques, la Commission recommande que seul le minimum de données strictement nécessaire à la vérification du bon fonctionnement du système soit journalisé, et notamment que ces journaux soient exempts d’identifiants ou de clés cryptographiques relatives aux utilisateurs. Concernant la journalisation des actions réalisées par les administrateurs, la Commission recommande que celle-ci soit conservée pendant une durée de six mois dans des conditions permettant de garantir son intégrité, et que des mécanismes d’analyse automatiques soient mis en place afin de détecter toute opération anormale.

Contact-Covid et SI-DEP : suivi manuel de propagation des chaînes de transmission / enquêtes sanitaires

« Contact Covid » et « SI-DEP » visent à permettre l’identification des chaînes de contamination du virus SARS-CoV-2 et à assurer le suivi et l’accompagnement des personnes concernées

Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions : Dans le cadre de la stratégie globale de « déconfinement progressif » mise en œuvre à compter du 11 mai, la loi de prorogation de l’état d’urgence sanitaire du même jour a autorisé la création temporaire de deux fichiers nationaux : le fichier SI-DEP (système d’information national de dépistage), mis en œuvre par le ministère de la santé (direction générale de la santé), qui centralisera les résultats des tests au SARS-CoV-2, et le fichier « Contact Covid », mis en œuvre par la Caisse nationale d’assurance maladie (CNAM),sur le fondement de l’exécution d’une mission d’intérêt public (art 6.1.e) RGPD) et dont l’objet principal est de permettre la conduite des enquêtes sanitaires,

Le fichier SI-DEP centralisera notamment les résultats des tests au Covid-19, tandis que le fichier Contact Covid recueillera des informations sur les cas contact et les chaînes de contamination. Ils doivent permettre d’identifier les personnes infectées (« patients 0 »), les personnes qu’elles sont susceptibles d’avoir contaminées (« cas contact ») et les chaînes de contamination. Ils visent à assurer la prise en charge sanitaire et l’accompagnement des personnes atteintes du virus ou susceptibles de l’être car ayant été en contact avec elles, ainsi que la surveillance épidémiologique du virus. Ces fichiers comprendront des données de santé et d’autres données personnelles (identité, hébergement, déplacement, participation à des rassemblements, etc.). Elles pourront être consultées par un grand nombre d’acteurs, notamment par les enquêteurs sanitaires, le législateur ayant autorisé la levée du secret médical. Selon le ministère des solidarités et de la santé, Contact Covid a été « élaboré dans le respect de la loi française en matière de protection des données personnelles et du RGPD ». L’identité de la personne infectée sera révélée aux cas contacts avec son consentement. De même les médecins n’ont pas l’obligation d’inscrire leurs patients dans l’application « Contact Covid ». En tout état de cause, le refus des médecins, des patients ou des personnes « contacts » de participer aux enquêtes sanitaires ne saurait entraîner de conséquences de quelque ordre que ce soit (administrative, financière, prise en charge, etc.). Les patients n’ont pas l’obligation de révéler l’identité des personnes avec lesquelles ils ont été en contact, ni aux personnes qui seraient contactées dans le cadre d’une enquête sanitaire de répondre à l’enquêteur. La démarche s’inscrit dans une politique sanitaire en imposant aux professionnels de santé de participer à la politique de traçage des personnes dépistées. En revanche, les laboratoires effectuant les tests auront pour obligation de saisir les données à caractère personnel des personnes dépistées dans le SI-DEP.

Délibération n° 2020-051 du 8 mai 2020 portant avis sur un projet de décret relatif aux systèmes d’information mentionnés à l’article 6 du projet de loi prorogeant l’état d’urgence sanitaire : La CNIL s’est prononcée sur un projet de décret encadrant deux fichiers, SI-DEP et Contact Covid. Ils seront utilisés dans le cadre du dépistage du Covid-19 et de la conduite des enquêtes sanitaires dont l’objectif est de déterminer qui a pu être contaminé par une personne testée positive. La CNIL estime le dispositif conforme au RGPD si certaines garanties sont respectées. Elle relève que ces fichiers sont nécessaires à la mise en place de la politique sanitaire envisagée par le Gouvernement pour le déconfinement. Elle demande que cette nécessité soit régulièrement réévaluée. Elle a également formulé une série de recommandations pour la mise en œuvre de ces systèmes d’information, notamment s’agissant de la sécurité du dispositif et de la responsabilisation des personnes accédant aux fichiers. 

Contact Covid

Finalités

Selon le ministère, les finalités du traitement « Contact Covid », telles que prévues par l’article 1er du projet de décret, sont de : collecter des informations nécessaires à la détermination des personnes ayant été en contact avec les personnes diagnostiquées comme porteuses du SARS-CoV-2 ou présentant des symptômes avérés ; contacter ces personnes pour assurer leur suivi et permettre leur prise en charge ; réaliser des enquêtes sanitaires ; assurer l’information des autorités compétentes pour adapter les mesures en fonction des circonstances des contaminations (identification d’un foyer/cluster, mise en quarantaine, etc.) ; permettre la prise en charge des examens de biologie médicale de dépistage pour les « cas contacts » le nécessitant ; permettre la dispensation des masques en officine pour les cas contacts le nécessitant ; informer les organismes qui assurent l’accompagnement social de certaines des personnes contactées ; assurer le pilotage et le suivi statistique des actions ; permettre la réalisation d’études, recherches et évaluation sur ces actions. Dans sa délibération la Cnil a considéré que les finalités poursuivies, notamment la mise en œuvre d’une politique de dépistage et d’enquêtes sanitaires sur tout le territoire, apparaissent déterminées, explicitées et légitimes, conformément à l’article 5 -1-b du RGPD. La CNIL a appelé à une réflexion plus fine sur les durées de conservation des données. Elle prend acte de ce que la loi du 11 mai 2020 a, postérieurement à sa délibération, apporté de fortes garanties sur ce point en limitant la conservation des données dans le système d’information à trois mois à compter de leur collecte

Levée du secret médical : protection particulière des données collectées

Les données contenues dans le dispositif seront accessibles à la fois au patient, au médecin, à Santé Publique France, à l’Assurance maladie et aux Agences régionales de santé. Levée du secret médical, conduit à retirer la protection spécifique relative au partage des données (équipe de soin/ hors équipe de soin art L 1110-4 CSP). La Cnil a considéré que ces données doivent faire l’objet d ‘une protection particulière. Le projet de décret prévoit également la collecte du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). La CNIL prend acte de ce que cette collecte est justifiée par des motifs d’identitovigilance ainsi que pour permettre l’organisation et la prise en charge financière sans ordonnance des examens de biologie médicale ainsi que la distribution de masques. Elle rappelle que la minimisation de la collecte des données nécessite, dans une logique de protection des données dès la conception (« privacy by design »), certaines mesures fonctionnelles dans le paramétrage du traitement. Elle appelle notamment à exclure les zones « commentaires » ou « zones blocs notes » susceptibles de contenir des données non pertinentes. Lorsqu’un choix multiple est nécessaire, il doit être proposé au moyen de menus déroulants proposant des informations et appréciations objectives.

Le contrôle d’accès : élément central de la sécurité du traitement

L’accès soumis au principe de la nécessité d’en connaître : La CNIL estime que la mention présente à l’article 3 du projet de décret selon laquelle les personnes consultent ou enregistrent les données « dans la limite de leurs besoins d’en connaître » constitue une garantie essentielle. Le projet de décret distingue notamment les personnes qui, du fait de leur fonction, sont autorisées à consulter et enregistrer, d’une part, l’ensemble des données (médecins, membres des équipes d’enquête sanitaire, agents des ARS, etc.) et, d’autre part, certaines données énumérées limitativement (professionnels des laboratoires de biologie médicale et pharmaciens). Ces accès différenciés doivent se traduire par des limitations d’accès. Il appartiendra au responsable de traitement « Contact Covid » de paramétrer ces accès en écriture et en lecture selon les fonctions de chacun des organismes ou personnes autorisés par le décret. Cette matrice d’habilitation doit être un élément central de la sécurité du traitement. Le responsable de traitement doit ainsi définir des profils fonctionnels strictement limités aux besoins d’en connaître pour l’exercice des missions des personnels habilités. Par ailleurs, des mesures devront être mises en place dès que possible, pour que, dans la mesure du possible, les personnes habilitées ne puissent accéder aux différentes données relatives aux personnes concernées que lorsqu’elles en ont effectivement besoin, et notamment, pour certaines personnes habilitées, uniquement en présence des personnes concernées. Ces mesures peuvent par exemple consister en l’attribution des droits d’accès par un supérieur hiérarchique, ou bien par la remise d’une information qui lui est spécifique (code confidentiel, QR code, etc.) à la personne concernée qui devra être transmis à la personne habilitée afin qu’elle puisse déverrouiller l’accès aux données. Le ministère indique, au regard des finalités poursuivies et des contraintes opérationnelles rencontrées, qu’il n’entend pas paramétrer le dispositif de façon à limiter davantage les accès aux seuls besoins de chaque type d’utilisateur, par exemple en restreignant la consultation à un périmètre géographique ou à certains cas contacts pertinents au regard de la mission d’un enquêteur. La CNIL attire l’attention des organismes concernés de recourir à des mesures complémentaires (dont l’information et la sensibilisation à la protection des DCP). Pour la CNIL, iI est également nécessaire de définir une politique d’habilitation de leurs agents très stricte afin que seuls ceux qui ont en besoin d’en connaître accèdent à « Contact Covid ». Les habilitations délivrées doivent être limitées dans le temps et régulièrement revues, notamment pour intégrer les éventuels départs d’agents ou changements d’affectation. L’attention du ministère est attirée sur les très fortes garanties devant entourer la possible délégation de missions d’enquêtes sanitaires à d’autres organisations, dans le cadre de l’urgence sanitaire, notamment à des utilisateurs en dehors de la sphère des acteurs formés à l’accès et au traitement de données de santé au vu des risques que ferait peser une telle délégation compte tenu des mesures d’authentification prévues. Le projet de décret énumère de manière imprécise les personnes qui pourront être destinataires de certaines données. Pour la CNIL, les catégories des destinataires des données devront être précisées.

Transmission des données listées dans l’arrêté : accord de la personne concernée

Seules les données des personnes l’ayant expressément souhaité peuvent être transmises. La Caisse nationale de l’assurance maladie, en sa qualité de responsable de traitement, de pourra transmettre des données qu’à des organismes en mesure d’assurer la sécurité des données qui seraient transmises. Le projet de décret prévoit que des organismes compétents en matière de santé publique (Agence nationale de santé publique, ministère de la santé (DREES), Plateforme des données de santé (PDS), etc.) peuvent être destinataires de certaines données sous forme « pseudonymisée ». Cette transmission devra être conforme à la loi telle qu’elle sera promulguée. Les seules données transmises dans ce cadre sont celles listées dans l’arrêté.

Durée : soumise à évaluation

Le projet de décret prévoit que les données sont conservées dans le traitement « Contact Covid » pendant une durée maximale d’un an à compter de la date de la publication de la loi prorogeant l’état d’urgence sanitaire. Si la CNIL ne sous-estime pas l’intérêt, dans une logique notamment de politique sanitaire et dans un contexte évolutif de connaissances sur l’épidémie, de conserver les données ainsi collectées pour une période d’un an, elle estime que ce seul impératif ne doit pas guider la détermination de la durée de conservation des données. Elle souhaite qu’à l’issue de trois mois d’usage du dispositif « Contact Covid », la pertinence de cette durée fasse l’objet d’une évaluation. prend par ailleurs acte de l’engagement du ministère de mettre en place un mécanisme qui basculera en archivage intermédiaire dans un délai de trois mois après la clôture d’une enquête, les données ne présentant plus d’utilité dans le cadre d’une enquête sanitaire. Ces données ne seront plus accessibles en base active de l’outil « Contact Covid ».

S’agissant des données qui seraient susceptibles d’être transmises à la CNAM et à la PDS, la CNIL estime, au vu notamment des finalités et des durées de conservation prévues tant dans le projet de décret que dans l’arrêté du 23 mars 2020, que les données de « Contact Covid » n’auront vocation à intégrer le Système national des données de santé (SNDS) ou un entrepôt pérenne au sein de la PDS, que dans l’hypothèse où le droit commun l’autoriserait. A défaut de modification du cadre juridique applicable à la PDS et au SNDS à l’issue la durée de conservation prévue par le projet de décret, l’ensemble des données collectées pendant cette période devra être détruit. Pour la CNIL, les traitements mis en œuvre à partir des données transmises à la CNAM et à la PDS ne pourront, en dehors de la réalisation de nouvelles formalités, être mis en œuvre au-delà de l’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020, comme le prévoit l’arrêté du 23 mars 2020.

Par ailleurs la CNIL considère que la mise en œuvre du traitement « Contact Covid » devra en particulier garantir la maîtrise de l’authentification des personnes et de la traçabilité des actions des utilisateurs. En conséquence, celui-ci devrait prévoir la mise en place d’un mécanisme de surveillance et de scellement des traces, par exemple via des systèmes de détection automatique des connexions anormales ainsi que par la mobilisation d’équipes opérationnelles dédiées à l’analyse de ces traces de connexion, afin de garantir que d’éventuelles opérations illégitimes soient non seulement tracées mais effectivement détectées. A ce titre, la CNIL prend acte de ce qu’une supervision centralisée par un centre de sécurité opérationnel avec une gestion des alertes de sécurité est prévue et considère que ce système de supervision devrait inclure les alertes concernant la traçabilité des accès.

« SI-DE » : système national de dépistage : les observations de la CNIL sur la compatibilité du SI-DE à la PGSSIS sont semblables à celles relatives au traitement Contact Covid.

Décret no 2020-572 du 15 mai 2020 relatif au Comité de contrôle et de liaison covid-19

Le décret fixe sa composition, qui inclut ainsi deux députés et deux sénateurs désignés par les présidents de leurs assemblées respectives et compte, en outre: un membre de la Conférence nationale de santé (CNS) , un membre du Conseil national de l’ordre des médecins (Cnom), un membre du comité de scientifiques, un membre de la Commission nationale de biologie médicale (CNBM), un membre du Conseil national du numérique (CNNum), un membre du Comité consultatif national d’éthique pour les sciences de la vie et de la santé (CCNE), un membre de la Société française de santé publique (SFSPdeux membres de France Assos Santé.

Ces membres sont nommés « sur proposition des organismes auxquels ils appartiennent par le ministre chargé de la santé, qui désigne l’un d’eux comme président du comité », indique le décret. Le secrétariat du comité est assuré par la direction générale de la santé (DGS).

LOI no 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire
et complétant ses dispositions
: Comité de liaison Covid-19

l’article 11 de la loi no 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions a instauré un Comité de contrôle et de liaison covid-19 chargé d’associer la société civile et le Parlement aux opérations de lutte contre la propagation de l’épidémie par suivi des contacts ainsi qu’au déploiement des systèmes d’information prévus à cet effet. Ce comité est chargé, par des audits réguliers d’évaluer, grâce aux retours d’expérience des équipes sanitaires de terrain, l’apport réel des outils numériques à
leur action, et de déterminer s’ils sont, ou pas, de nature à faire une différence significative dans le traitement de l’épidémie. Il est également chargé de vérifier tout au long de ces opérations le respect des garanties entourant le secret médical et la protection des données personnelles.

News AVRIL 2020

StopCovis : AVIS du Conseil National du Numérique du 24 avril 2020

Dans le cadre de la réponse à la crise du COVID-19, le secrétaire d’État chargé du Numérique a saisi1 le Conseil national du numérique pour émettre un avis sur les modalités de fonctionnement et de déploiement de l’application pour téléphones mobiles StopCOVID , dont le développement a été annoncé le 8 avril 2020. Le Conseil est favorable au principe de StopCOVID, en tant que brique d’une stratégie plus globale. Le Conseil pose les conditions nécessaires pour garantir l’intérêt général et l’État de droit. Il insiste sur les facteurs-clefs de réussite pour une appropriation citoyenne : inclusion numérique, accessibilité et loyauté de l’information. Le Conseil tient cependant à souligner que ce type d’application, comme StopCOVID, ne sont qu’une partie de la réponse sanitaire dont l’efficacité dépendra sûrement plus des mesures de distanciation sociale et de la mise à disposition de tests. Pour le CNum,  » ces applications doivent être utilisées pour informer, aider et responsabiliser, plutôt que pour contrôler, stigmatiser ou réprimer les individus. Les citoyennes et citoyens doivent être rendus acteurs de la protection de leur santé et de celle des autres dans un objectif d’intérêt public ». Le CNum pose des conditions nécessaires pour garantir l’intérêt général et l’Etat de droit. En ce qui concerne la confiance, le Conseil propose de créer « un comité de contrôle, avec des parlementaires, des chercheurs et des citoyens-experts, disposant d’un pouvoir d’arrêt de l’application (recommandation n°1). Ce comité de contrôle pourrait s’assurer de la bonne mise en oeuvre du système et garantir le respect des valeurs qui le fondent tout au long de son usage. Le Conseil souhaite aussi insister sur l’importance de la limitation dans le temps du système, qui doit rester une réponse exceptionnelle à une crise. Il recommande d’encadrer l’application par un décret fixant les conditions de sa mise en oeuvre, sa durée dans le temps et des garanties sur la protection des données (base légale, finalité, proportionnalité, durée de conservation des données et du système, minimisation des données, responsable de traitement, voies de recours…). (recommandation n°2). Par ailleurs, le Conseil recommande la publication du code source de l’application et des systèmes associés ainsi que leur documentation sous des licences libres et des éléments de vulgarisation (recommandation 5). Il propose également de « Permettre le signalement des mésusages et des dérives de l’application en créant un numéro vert dédié (pression de l’employeur à installer, interdiction d’accès dans un lieu public). »(recommandation 7).

Sur la question de l’efficacité sans masse critique d’utilisateurs :

Les épidémiologistes auditionnés par le CNum estiment que l’application apportera toujours des bénéfices, car même sans atteindre un seuil critique d’utilisateurs, l’application peut avoir une utilité au sein de l’ensemble des mesures de post-confinement. Le Conseil considère que réduire la tension autour de la question du seuil serait alors de nature à favoriser son usage. L’obtention d’une masse critique d’utilisateurs dépend de plusieurs facteurs, tels que l’acceptabilité sociale de l’application et la communication dont elle sera entourée, qui influenceront son appropriation par la population, mais également l’émergence d’un consensus national autour d’un outil unique, afin d’éviter la multiplication des applications et la dispersion des efforts.

Sur le choix du bluetooth

La technologie Bluetooth est utilisée pour mesurer les distances entre les utilisateurs. La capacité du Bluetooth à mesurer précisément cette distance est encore un sujet de recherche au sein de la communauté scientifique, car cette technologie n’a pas été conçue dans ce but. Enfin, pour que l’efficacité de l’application soit optimale, il faut qu’elle soit en mesure d’enregistrer le plus de contacts possible, malgré l’accès contraint aux fonctionnalités Bluetooth sur une part importante de smartphones, pour des raisons d’économie d’énergie et pour en éviter les mésusages. Le bluetooth a été préféré au GPS, technologie considérée comme trop intrusive. Mais cette technologie qui permet de connecter des objets à un téléphone dès lors qu’ils se trouvent à faible distance. Elle n’a pas été pensé pour mesurer des distances entre deux appareils de façon précise. Le Bluetooth (tout comme le Bluetooth Low-Energy qui devrait servir dans l’appli Stop Covid) exploite la bande de fréquence des 2,4 GHz déjà largement utilisés par de nombreux autres protocoles de communication, et donc prompt aux interférences. Le Bluetooth est relativement peu sécurisé. Ou plutôt, le Bluetooth est un protocole si complexe que des failles peuvent apparaître en fonction de la façon dont il a été implémenté par le constructeur de votre appareil.

Les choix de santé publique doivent être du ressort de la puissance publique

Apple et Google se sont proposés d’aider les gouvernements dans le développement de solutions d’historique de proximité. Alors que la caractérisation des contacts pertinents (caractéristiques de qualification s’intéressent au temps d’exposition, à la distance entre deux individus, aux types de protection entre les deux individus, etc) se fait au niveau national au sein des comités scientifiques, les briques logicielles proposées par les deux géants contraignent les possibilités de calibrage de la caractérisation des contacts. Cette solution technique a un impact sur la maîtrise qu’ont les gouvernements (l’algorithme de la solution étant une composante de la politique publique) et du choix de l’architecture de l’application (centralisée ou décentralisée). Les fournisseurs de systèmes d’exploitation mobiles doivent respecter les choix souverains des Etats sans imposer ni favoriser une architecture ou un algorithme précis. Le Comité européen de la protection des données a mis en avant que les deux architectures (centralisée ou décentralisée) pouvaient être des options viables pour la protection des données, à condition que des mesures de sécurité adéquates soient en place. Néanmoins, il faut éviter le morcellement dans la mise en œuvre de la stratégie sanitaire sur le territoire national. La multiplication d’applications en France entraînerait une fragmentation du dispositif qui pourrait nuire à son efficacité. Il serait plus opportun d’associer les sociétés privées volontaires au développement d’autres outils numériques utiles dans le cadre de la crise du COVID-19.

Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » (demande d’avis n° 20006919)

Dans un contexte d’état d’urgence sanitaire et plus particulièrement dans la stratégie de dé confinement, le Gouvernement envisage de développer une application de contact tracing Stop Covid. Le secrétaire d’Etat chargé du numérique a le 20 avril 2020 saisi la CNIL pour avis concernant les conditions et modalités sur l’éventuelle mise en place de cette application.  La Commission demande, après la tenue du débat au Parlement et s’il était décidé de recourir à un tel instrument, qu’elle soit à nouveau saisie pour se prononcer sur les modalités définitives de mise en œuvre du dispositif. La Commission rappelle que la présence de données à caractère personnel ne fait pas obstacle, par principe, à la mise en œuvre du dispositif. Elle impose cependant de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives, garanties au titre desquelles l’atténuation des possibilités de réidentification constitue une mesure essentielle.

Finalité limitée à l’alerte de personnes exposées au risque de contamination : Il s’agit d’informer les personnes ayant été en contact avec une personne infectée et non d’organiser une prise de contact avec la personne alertée, de réaliser un suivi du nombre de personnes infectées ou d’identifier les zones de déplacement. Un enrichissement des finalités de l’application nécessiterait de prendre en compte le juste équilibre entre ces nouveaux objectifs et la protection de la vie privée.

Une application fondée sur le volontariat des utilisateurs. En ce qui concerne la base légale de l’application StopCovid,

Le traitement de données personnelles n’est possible que dans certaines hypothèses constituant des bases légales. Stop Covid pourrait correspondre à 2 d’entre elles : le consentement et l’intérêt public. Chaque base légale obéit à des conditions spécifiques et emporte des conditions juridiques particulières. Le choix est une opération délicate et il faut en choisir une seule. Selon la CNIL, la lutte contre l’épidémie de COVID-19 constitue une mission d’intérêt général dont la poursuite incombe en premier lieu aux autorités publiques. Donc la mission d’intérêt publique est la base légale la plus appropriée pour StopCovid (Avis CEPD 21 avril 2020 :l’intérêt publique est la base légale la plus appropriée). La Commission recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national.

L’atteinte portée à la vie privée ne sera en l’espèce admissible que si, en l’état des informations immanquablement lacunaires et incertaines dont il dispose pour affronter l’épidémie, le gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population qui porte par lui-même une atteinte très forte à la liberté d’aller et venir. L’application comporte aussi des limites ex : elle nécessite qu’une proportion l’utilise alors qu’une partie de la population ne dispose pas de téléphone. De plus, l’application serait inutile quand les personnes infectées sont asymptomatiques. La CNIL rajoute que cette mesure doit être complémentaire, dans le cadre d’une réponse sanitaire globale. Elle ne peut pas être une mesure autonome. L’identification du responsable de traitement permet d’établir qui est responsable du respect des règles en matière de protection des données personnelles. Compte tenu de la sensibilité des données collectées, la Commission est d’avis que le dispositif devrait être conçu de telle manière que le ministère chargé de la santé ou toute autre autorité sanitaire impliquée dans la gestion de la crise sanitaire puisse assurer la responsabilité de traitement. Comme tout traitement susceptible de présenter des risques élevés une analyse d’impact sur la protection des données (AIPD) devra être réalisée avant toute mise en œuvre d’un tel dispositif.

Sécurité

La Commission souligne que le présent avis s’appuie sur le corpus documentaire qui lui a été transmis, qu’il ne couvre pas l’ensemble des caractéristiques du traitement et que le protocole proposé est encore à ce jour en constante évolution. Elle estime néanmoins nécessaire d’attirer dès maintenant l’attention du Gouvernement sur les quatre points suivants. La Commission relève que :

– le dispositif envisagé comprend un serveur chargé de la centralisation des identifiants des personnes exposées. Afin d’apporter les garanties les plus élevées possibles contre tout détournement de finalité lié à ce choix, elle estime nécessaire que des mesures de sécurité organisationnelles et techniques de très haut niveau soient mises en place, en accord avec un modèle de sécurité adapté prenant en compte tout acte malveillant. A ce titre, elle attire l’attention sur les clés de chiffrement permettant l’accès aux identifiants des personnes concernées, qui pourraient par exemple être protégées via des modules de sécurité matériels, ainsi que des tiers de confiance indépendants.

Des mesures doivent être mises en œuvre à la fois dans le serveur central et dans l’application pour éviter de pouvoir recréer un lien entre ces pseudonymes temporaires et des informations spécifiques au terminal liées à la technologie Bluetooth (comme le nom de l’équipement mobile ou son adresse MAC) permettant d’identifier les utilisateurs.

Seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en œuvre, afin d’assurer l’intégrité et la confidentialité des échanges. Elle relève à cet égard l’usage de l’algorithme 3DES, envisagé à ce stade, et attire l’attention du ministère sur le fait que conformément au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information cet algorithme ne devrait en principe plus être utilisé.

– Le dispositif envisagé ne prévoit pas de mécanisme d’enrôlement des personnes lors de la première utilisation de l’application, ce qui permet de limiter les données personnelles collectées. Toutefois, il pourrait en résulter un risque d’attaque accru qui n’est acceptable que dans la mesure où un tel mécanisme d’enrôlement des personnes remettrait en question la logique de pseudonymat du traitement. Il faudrait donc mettre en place des mesures appropriées afin de lutter contre ce risque.

Par ailleurs, la Commission accueille favorablement le fait que des éléments de documentation technique ont déjà été rendus publics. Elle souligne à cet égard l’importance d’assurer le libre accès aux protocoles utilisés ainsi qu’au code source de l’application, du serveur central et leur paramétrage. Il s’agit tant de permettre à la communauté scientifique de contribuer à l’amélioration constante du dispositif et à la correction des éventuelles vulnérabilités que de garantir une parfaite transparence visà-vis de l’ensemble des citoyens. Elle recommande par ailleurs, afin de maximiser la qualité de la solution, que les commentaires et débats de la communauté scientifique soient pris en compte.

Délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Le ministre des solidarités et de la santé a saisi la CNIL d’une demande d’avis concernant un projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire. Le projet d’arrêté a pour objet, dans le contexte d’urgence lié à la gestion de la crise sanitaire actuelle, d’organiser le regroupement de données à caractère personnel, comprenant des données de santé, afin de permettre leur utilisation en vue de suivre et projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie et d’organiser le système de santé pour combattre l’épidémie et en atténuer les impacts.

Co-responsabilité (art 26 du RGPDP) : Accort de coresponsabilité définissant de manière transparente les obligations du HDH et de la CNAM. En outre, cet accord devra préciser les modalités de transfert des données entre le HDH et la CNAM

le HDH et la CNAM seront conjointement responsables des traitements décrits dans le projet. Le HDH est responsable du stockage et de la mise à disposition des données et est autorisé à opérer des croisements de données . Le projet mentionne par ailleurs que la CNAM est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques à cette fin. La Commission relève cependant que le projet prévoit que les données peuvent être traitées dans la solution technique de la Plateforme des données de santé, ainsi que dans celle de la CNAM. Il en résulte que la CNAM pourrait également être amenée à stocker et à mettre à disposition des données dans le cadre du traitement envisagé.

Traitements ultérieurs soumis à autorisation de la Cnil pas de recours à la MR-004. Le projet prévoit que seuls peuvent traiter les données ainsi rassemblées par la Plateforme des données de santé les acteurs suivants : des responsables de traitement autorisés dans les conditions prévues aux articles 66 et 76 de la LIL, l’Etat mettant en œuvre des traitements mentionnés au 6° de l’article 65 ou les organismes et les services chargés d’une mission de service public mentionnés à l’article 67. Le ministère envisage de prendre l’arrêté prévu par l’article 67, afin de déterminer les listes des organismes et services chargés d’une mission de service public en lien avec l’alerte sanitaire. La CNIL rappelle donc qu’en dehors des organismes et services figurant sur cette liste, ainsi que l’Etat, pour les traitements prévus à l’article 65-6° de la LIL, les traitements mis en œuvre à partir des données contenues dans cet entrepôt devront faire l’objet d’une demande d’autorisation auprès d’elle, qui ne pourra intervenir, s’agissant des recherches, études et évaluations dans le domaine de la santé, qu’après avis du comité compétent. La conformité de ces traitements à la méthodologie de référence MR-004 est de fait exclue, dans la mesure où les personnes concernées ne seront informées individuellement ni de la constitution de cet entrepôt, ni des traitements ultérieurs mis en œuvre à partir des données qu’il contient.

Finalité : réalisation des traitements mis en œuvre dans le cadre des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de COVID-19

La constitution de l’entrepôt de données a pour objet de permettre leur mise à disposition pour la réalisation de traitements ultérieurs. Le projet mentionne que les données contenues dans cet entrepôt ne pourront être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de COVID-19. Cette finalité, très générale, sera interprétée au regard des finalités de constitution de l’entrepôt indiquées à l’article 1er et des considérants du projet, qui précisent notamment que « la capacité à mobiliser les données de santé est un axe essentiel de la lutte contre l’épidémie de covid-19 et qu’il est nécessaire de poursuivre et anticiper les évolutions de l’épidémie, prévenir, diagnostiquer et traiter au mieux la pathologie et adapter l’organisation de notre système de santé pour combattre l’épidémie et en atténuer les impacts ». Elle relève par ailleurs que le projet d’arrêté ne fait, sinon à travers la mention de sa base légale, référence ni à l’urgence qui s’attache la production des résultats des analyses réalisées dans le cadre de ces traitements, ni à la durée de leur mise en œuvre. S’agissant d’une solution temporaire et déployée spécifiquement afin de faire face à l’épidémie de -COVID19 dans le cadre de l’état d’urgence sanitaire, la Commission prend acte de l’engagement du ministère de préciser dans l’arrêté que les traitements 5 mis en œuvre à partir des données de l’entrepôt n’ont pas vocation à s’inscrire dans la durée et ne pourront, en dehors de la réalisation de nouvelles formalités, être mis en œuvre au-delà de l’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020

Données collectées : limitées aux données nécessaires à la réalisation des traitements mis en œuvre dans le cadre des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de COVID-19 (principe de minimisation)

La Commission relève, au-delà du caractère très générique des catégories décrites, qu’il n’est fait mention ni de la profondeur historique des données, ni de leur nature exacte, notamment au regard de l’intérêt que peut présenter leur analyse dans le cadre de l’épidémie de COVID-19. A titre d’exemple, le projet mentionne, sans plus de détail, la remontée possible de données issues du SNDS ou de « données de pharmacie ». Elle rappelle qu’en application du principe de minimisation des données prévu par l’article 5-1-c du RGPD, les données devront être adéquates, pertinentes et limitées à ce qui est nécessaire au vu de la finalité poursuivie, tant s’agissant des données figurant dans l’entrepôt au sein de la Plateforme des données de santé, que des données mises à disposition pour la réalisation de traitements ultérieurs. A cet égard, la Commission prend acte de l’engagement du ministère de compléter le projet afin qu’il précise clairement que la Plateforme des données de santé et la CNAM ne peuvent, dans le cadre de l’arrêté examiné, collecter que les données nécessaires à la réalisation des traitements mis en œuvre dans le cadre des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de COVID-19. Elle rappelle que l’arrêté ne doit pas permettre une remontée systématique et exhaustive de l’ensemble des données dont la liste figure dans le projet, indépendamment des besoins de ces projets. La Commission rappelle par ailleurs, concernant chacun des traitements qui viendrait alimenter l’entrepôt ainsi constitué, qu’il devra préalablement avoir été créé et mis en œuvre conformément aux dispositions du RGPD et de la LIL, notamment s’agissant des formalités prévues par cette dernière le cas échéant. Enfin, elle relève que le projet prévoit que les solutions techniques de mise à disposition des données ne peuvent contenir ni les nom et prénoms des personnes, ni leur numéro d’inscription au répertoire d’identification des personnes physiques (NIR), ni leur adresse.

Durée de conservation : durée de l’état d’urgence sanitaire et durée de droit commun (si adoption d’un cadre juridique de droit commun applicable au HDH)

Le projet ne mentionne pas de durée de conservation précise, s’agissant des données contenues dans l’entrepôt. Cependant, le projet s’inscrivant dans le cadre de l’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020, la Commission en déduit que les données ne devront être conservées dans celui-ci que pour la durée de l’état d’urgence sanitaire. S’agissant de ces données, le ministère a précisé que celles dont la conservation sera prévue par le décret mentionné à l’article L. 1461-7 CSP, ainsi que par l’arrêté qui viendra préciser les bases de données figurant au « catalogue » de 6 la Plateforme des données, seront conservées en application des règles de droit commun, tandis que les autres catégories de données seront détruites. La Commission en prend acte. Elle considère cependant que dans l’hypothèse où l’adoption du cadre juridique de droit commun applicable au HDH n’aurait pas pu être finalisé à l’issue de l’état d’urgence sanitaire, l’ensemble des données collectées pendant cette période devra être détruit.

Sur l’information des personnes et exercice des droits : nécessité d’une information des personnes sur la constitution de l’entrepôt et de la valorisation de ces données dans le cadre de projets de recherche

Le projet ne prévoit aucune modalité d’information ou d’exercice des droits particulière quant à la constitution de l’entrepôt ou aux traitements mis en œuvre ultérieurement. La Commission rappelle cependant que les personnes concernées devront être informées, s’agissant du traitement de données visant à la constitution de l’entrepôt, puis de chaque projet de recherche menée à partir des données qu’il contient, dans les conditions prévues par l’article 14 du RGPD. A ce titre, en application des dispositions de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions dans l’hypothèse où la fourniture d’une telle information se révèlerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, il appartient au responsable de traitement de prendre des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes des personnes concernées, y compris en rendant les informations publiquement disponibles. Elle demande donc, en prenant en considération le contexte de crise sanitaire actuel ne permettant pas de procéder à une information individuelle de l’ensemble des personnes concernées, que des mesures appropriées soient prises et que l’information relative au traitement de données visant à la constitution de l’entrepôt et à chaque projet de recherche mené à partir des données qu’il contient soit rendue publique, notamment en faisait figurer dans le répertoire public mentionné dans le projet, l’ensemble des informations prévues à l’article 14 du RGPD. Elle rappelle notamment que cette information devra détailler les modalités d’exercice des droits des personnes concernées et que les responsables de traitement devront prévoir les mesures nécessaires pour faire droit à ces demandes.

Transferts hors UE : le HDH doit exiger de son hébergeur que les données au repos soient hébergées au sein de l’UE

La Commission relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur. Le contrat permet cependant à la Plateforme, à travers les « Conditions des services en ligne » de choisir le lieu d’hébergement des données. En outre, les informations fournies par la Plateforme des données de santé mentionnent explicitement le recours à un hébergeur certifié « hébergeur de données de santé ». A cet égard, la Commission prend acte de ce que le ministère s’est engagé à ce que le HDH exige de son hébergeur que les données « au repos » soient hébergées au sein de l’Union européenne.

La Commission souligne toutefois que cette localisation ne s’applique qu’aux données « au repos », alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident. A cet égard, les dispositions contractuelles de sous-traitance conclues entre la Plateforme des données de santé et le prestataire chargé de l’hébergement des données, stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés. Ces transferts font l’objet d’un encadrement conformément au Chapitre V du RGPD, étant régis en l’espèce par des clauses contractuelles types, conformément à l’article 46-2-c de ce règlement. La Commission rappelle, dans ce contexte, les inquiétudes soulevées à plusieurs reprises par le CEPD concernant l’accès par les autorités des Etats-Unis aux données transférées aux Etats-Unis, plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale en vertu de l’article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333.

Ces problématiques sont actuellement soumises à la Cour de justice de l’Union européenne dans le cadre d’une demande de décision préjudicielle formée par la High Court of Ireland concernant la validité de la décision 2010/87/UE, par laquelle la Commission européenne a établi des clauses contractuelles types pour certaines catégories de transferts. Un arrêt de la Cour dans cette affaire (C-311/18) est attendu dans les mois qui viennent. La Commission rappelle également que les traitements mis en œuvre par le soustraitant sont soumis aux dispositions du RGPD, et notamment aux restrictions relatives aux transferts et divulgations non autorisées par le droit de l’Union. Toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers, adressée au sous-traitant, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée, ne pourrait donc être considérée comme licite. Elle relève également que les dispositions contractuelles de sous-traitance prévoient une obligation de notification au responsable du traitement de toute demande de divulgation des données traitées adressée au sous-traitant en France, sauf interdiction légale, qui ne saurait être fondée qu’en droit de l’Union ou national. Au vu de ce contexte et de la sensibilité des données dont le traitement est envisagé, pour lesquelles une protection plus élevée doit être assurée, ainsi que des éventuels risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers, la Commission demande qu’une vigilance particulière soit accordée, dans la mise en œuvre de l’arrêté, aux conditions de conservation et aux modalités d’accès aux données, et recommande que la Plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l’Union européenne.

A plus long terme, elle prend acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire et souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.

Sécurité : seules les données anonymisées seront exportées…

A titre liminaire, La Commission se doit de souligner que la mise en œuvre effective de la solution technique de conservation et de mise à disposition des données de la Plateforme des données de santé, ainsi que la constitution de son « catalogue » de données, ne devaient initialement intervenir que postérieurement à l’entrée en vigueur d’un cadre juridique précis accompagné de la mise en œuvre de l’ensemble d’un plan d’action. En effet, la Commission relève que la solution technique a fait l’objet d’une analyse globale des risques et des impacts sur la vie privée, suivie d’une homologation le 16 décembre 2019 selon le référentiel de sécurité du SNDS, avec un plan d’action conséquent de mise en œuvre de mesures de sécurité s’étalant sur une période de plusieurs mois. Elle relève en outre que l’homologation des espaces projets par les responsables de traitement des projets pourrait faire l’objet d’une procédure dérogatoire dans le cadre de la crise sanitaire. La Commission s’interroge donc sur les conditions de démarrage anticipé de la solution technique dans un contexte où la Plateforme de données de santé a dû accomplir en quelques semaines des opérations, dont certaines structurantes, pour garantir la sécurité des données traitées étaient prévues pour s’étaler sur plusieurs mois. La Commission souligne en conséquence que le HDH devra s’assurer que cette mise en œuvre anticipée n’engendre pas de risque supplémentaire pour les personnes concernées. Par ailleurs, la Commission rappelle l’importance de la mise en place d’une gouvernance centralisée de la sécurité informatique de la solution technique, qui doit être assurée avec un niveau d’indépendance suffisant vis-à-vis de la direction du HDH. Elle relève que cette exigence ne semble actuellement pas remplie, alors que le contexte de mise en place en urgence de la solution technique rend cette exigence d’autant plus d’actualité. Bien que la situation actuelle ne soit que transitoire, la Commission appelle la Plateforme des données de santé à mettre en place dans les plus brefs délais une gouvernance dédiée et indépendante chargée de la sécurité.

La Commission relève par ailleurs que la Plateforme des données de santé a réalisé une analyse d’impact relative à la protection des données consacrée à la solution technique dans sa version dédiée aux projets en lien avec le COVID-19, ainsi qu’une analyse actualisée de conformité au référentiel de sécurité du SNDS. Elle relève que cette analyse permet d’appréhender correctement l’ensemble des mesures mises en place par la Plateforme des données de santé dans sa démarche de conformité aux principes de la protection des données personnelles, et souligne que cette analyse a été réalisée en conformité avec les principes du RGPD.

Concernant la transmission des données des producteurs de données vers la Plateforme, la Commission prend acte que la procédure qui sera appliquée a fait l’objet d’échanges avec l’Agence nationale de sécurité des systèmes d’information. Les données seront chiffrées avec des clés de chiffrement renouvelées à chaque échange et transmises à travers un canal sécurisé mis en place à l’initiative des opérateurs projets, assurant notamment l’authentification de la source et du destinataire et le chiffrement du flux. Etant donné la diversité des sources possibles, des discussions au cas par cas sur les modalités de transferts sont également envisagées. La Commission rappelle que si les modalités opérationnelles de transfert peuvent en effet être adaptées à des cas particuliers, cela ne devra en aucun cas affaiblir le niveau de sécurité des données. A cet égard, une convention de transfert des données devra être signée entre le HDH et chaque fournisseur de données afin d’encadrer la transmission des informations, en précisant notamment la fréquence des mises à jour et les conditions de sécurité du transfert. La Commission prend acte de ce que le HDH recevra uniquement des données préalablement pseudonymisées par les producteurs de données, selon les modalités également précisées dans la convention de transfert des données. Suite à des échanges avec le ministère, il a été indiqué à la Commission que dans le cas particulier d’un appariement déterministe au moyen du NIR des personnes concernées, via le circuit CNAM, un pseudonyme obtenu à partir d’une fonction cryptographique irréversible appliquée au NIR est également fourni à la Plateforme des données de santé. Pour autant, la Commission relève que ces modalités de pseudonymisation ne semblent pas détaillées dans l’analyse d’impact relative à la protection des données et que les conséquences en termes de risques de ré identification pour les personnes ne semblent pas clairement établies à ce stade. Elle relève également que le projet d’arrêté ne prévoit pas la transmission du NIR à la Plateforme des données de santé. Compte tenu du contexte de la saisine et des informations transmises, la Commission n’est pas en capacité d’appréhender pleinement les conséquences du recours à un tel pseudonyme et ne saurait se prononcer sur ce point. Après réception des données, les pseudonymes utilisés pour la transmission seront remplacés par des pseudonymes aléatoires dans l’espace opérateur de la solution technique. La Commission relève qu’une table de correspondance entre les pseudonymes initiaux et ceux générés par la Plateforme sera conservée. La Commission prend acte que cette table de correspondance sera conservée dans une sous-partie isolée de l’espace opérateur, qu’elle sera chiffrée avec une clé dédiée et dont l’utilisation nécessitera l’action conjointe de deux employés de la Plateforme des données de santé ayant des rôles distincts. Afin d’améliorer encore le niveau de sécurité et dans la mesure où l’accès à ces clés ne semble pas nécessaire dans le cadre du fonctionnement courant des projets, la Commission recommande que ces clés soient stockées dans une base distincte gérée par la Plateforme de données de santé elle même ou bien par un autre sous-traitant. Lors de la mise à disposition des données au sein des espaces projets, de nouveaux pseudonymes seront générés, assurant ainsi l’utilisation d’identifiants différents au sein de chaque projet pour un même individu. La Commission s’interroge toutefois sur les modalités pratiques de pseudonymisation mise en œuvre par la Plateforme des données de santé pour cette mise à disposition, notamment en cas de mise à jour des données au sein de ces espaces projets. Elle attire donc l’attention du ministère sur la nécessité de prévoir des modalités de pseudonymisation des données précisant, le cas échéant, le choix de l’opération cryptographique irréversible utilisée ainsi que la procédure de gestion des secrets associés ou encore la sécurité renforcée appliquée en conséquence à la table de correspondance. La Commission prend acte de ce que l’ensemble des échanges de données ayant lieu lors de l’utilisation des espaces projets de la solution technique seront réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et du destinataire.

La Commission prend également acte de ce que les données stockées seront chiffrées avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la Plateforme sur un boîtier chiffrant maitrisé par la Plateforme des données de santé. La Commission relève toutefois qu’afin de bénéficier de toutes les capacités de la solution technique de l’hébergeur ces clés devront lui être confiées. Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données. La Commission relève que des mesures techniques sont mises en place afin de maitriser les accès des administrateurs des sous-traitants en charge de la solution technique. Une fonctionnalité d’autorisation préalable des accès administrateurs est activée selon l’analyse d’impact relative à la protection des données réalisée. Néanmoins, la Commission relève que cette fonctionnalité ne semble pas mentionnée dans les contrats fournis. En outre, la Commission s’interroge sur l’effectivité de cette mesure qui ne semble pas couvrir la totalité des accès possibles.

La Commission relève que le projet prévoit que les données ne peuvent être traitées que dans les solutions techniques de la Plateforme des données de santé et de la CNAM, et ne peuvent pas en être extraites. Les fonctionnalités d’exportation automatique ne seront pas utilisables par les entités accédant aux données dans les espaces projets. La Commission s’interroge toutefois sur l’effectivité du blocage de toute possibilité d’exportation. Les pièces du dossier indiquent que les procédures d’audits systématiques des exportations par les opérateurs de données sont maintenues, ainsi que l’obligation, pour les utilisateurs de s’engager à ne pas exporter de données à caractère personnel et à mettre en place des mécanismes de traçabilité des opérations d’exportation. En conséquence la Commission appelle le ministère à indiquer explicitement que toutes les fonctionnalités d’exportation des données seront totalement désactivées et inaccessibles aux utilisateurs, soit en indiquant que les données à caractère personnel hébergées sur la plateforme ne pourront faire l’objet d’aucune exportation, que seules des données ayant fait l’objet d’une procédure d’anonymisation dans les règles de l’art pourront être exportées et que ces exports seront préalablement et systématiquement audités afin de s’assurer du caractère anonyme des données exportées. La Commission rappelle en effet que seules des données anonymes peuvent être exportées hors d’un environnement homologué conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS. Le ministère s’est engagé à ce que le HDH tienne à sa disposition un registre incluant notamment l’ensemble des projets mis en œuvre et détaillant tous les accès ouverts pour et par les responsables de traitement des projets. La Commission en prend acte. La Commission prend également acte qu’une procédure de gestion des identités et des habilitations est définie par le responsable de la sécurité des systèmes d’information (RSSI) de la Plateforme des données de santé et mise en œuvre sous la responsabilité du directeur technique.

Circuit de remontée hebdomadaire des données du PMSI :

L’article1-II du projet prévoit que, sans préjudice du circuit prévu par l’arrêté du 23 décembre 2016 modifié, les établissements de santé mentionnés à l’article 1er du même arrêté transmettent, selon une périodicité hebdomadaire, les fichiers anonymes mentionnés au I de l’article 5 du même arrêté directement à l’Agence technique de 11 l’information sur l’hospitalisation (ATIH). Ces données seront ensuite transmises sans délai à la CNAM afin d’alimenter le SNDS. La Commission relève cependant que le projet ne précise pas, à l’inverse du courrier de saisine l’accompagnant, que cette remontée d’informations « n’a pas vocation, dans le contexte de forte mobilisation des établissements, à faire réaliser par ceux-ci des remontées exhaustives d’activité de façon hebdomadaire mais d’ouvrir une remontée hebdomadaire permettant d’intégrer en priorité l’activité liée à l’épidémie ». Elle demande donc que cette précision soit ajoutée dans le projet. La Commission prend toutefois acte de l’engagement du ministère de mentionner dans le projet que les données remontées dans ce cadre ne pourront pas être utilisées pour les finalités pour lesquelles elles sont habituellement collectées, détaillées à l’article L. 6113-8 CSP, sauf s’agissant de la veille et la vigilance sanitaires. La Commission rappelle que les données auxquelles il est fait référence, qui sont des données pseudonymisées, ne sauraient être considérées comme anonymes au sens du RGPD, tel qu’éclairé par l’avis du G29 n° 05/2014 du 10 avril 2014 relatif aux techniques d’anonymisation. Elle prend acte de l’engagement du ministère de modifier le projet sur ce point, afin qu’il ne soit plus fait référence à des données « anonymes ». Tout traitement de ces données devra donc intervenir dans le respect des dispositions du RGPD et de la loi « informatique et libertés », s’agissant de données à caractère personnel.

COVID-19 Data Portal : Plateforme européenne de partage de données sur le COVID-19 pour la recherche

Cette plateforme européenne de données sur le COVID-19 ,va permettre de recueillir et de partager rapidement les données de recherche disponibles. La plateforme, qui fait partie du plan d’action ERAvsCorona, Les chercheurs pourront stocker et partager des ensembles de données, tels que des séquences d’ADN, des structures protidiques, des données provenant de la recherche préclinique et des essais cliniques, ainsi que des données épidémiologiques. Elle est le résultat d’un effort conjoint entre la Commission européenne, l’Institut européen de bioinformatique du Laboratoire européen de biologie moléculaire (EMBL-EBI), l’infrastructure Elixir et le projet COMPARE, ainsi que les États membres de l’UE et d’autres partenaires. La plateforme européenne de données sur la COVID-19 respecte les principes définis dans la déclaration sur le partage de données lors d’urgences de santé publique et renforce l’engagement de la Commission à promouvoir les données issues de la recherche ouverte ainsi que la science ouverte, dont l’objectif est de rendre la science plus efficiente, plus fiable et plus réactive face aux défis sociétaux. Dans ce contexte, la plateforme constitue aussi un projet pilote prioritaire, qui vise à atteindre les objectifs du nuage européen pour la science ouverte (EOSC), et qui tire parti des contacts établis entre le EMBL-EBI et les infrastructures nationales de données de santé publique.

Plateforme européenne de données sur la COVID-19

https://wellcome.ac.uk/press-release/statement-data-sharing-public-health-emergencies

Recommandations de la Commission européenne pour le maintien des essais cliniques

La Commission a publié ce jour des orientations visant à garantir que les essais cliniques puissent continuer à avoir lieu dans l’UE durant la pandémie de COVID-19. L’objectif est de maintenir la recherche sur les traitements critiques, y compris les maladies chroniques et les maladies rares, au moyen d’essais cliniques en Europe. S’appuyant sur plus de 200 essais cliniques sur le coronavirus actuellement enregistrés dans la base de données de l’Union européenne (EudraCT), les orientations recommandent des mesures simples et flexibles pour répondre à la situation actuelle et garantir que les patients qui participent à des essais cliniques dans l’UE continuent à recevoir leurs médicaments. Ces mesures seront utilisées exclusivement pendant la pandémie de COVID-19 et seront abrogées une fois que la crise sanitaire actuelle dans l’UE/EEE sera résolue. Le 4 mai, la conférence internationale des donateurs marquera le début de la coopération à l’échelle mondiale et du soutien pour ces travaux, l’objectif étant de mobiliser 7,5 milliards d’euros au bénéfice de la communauté mondiale.

Arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Article 10-7 (Créé par Arrêté du 21 avril 2020 – art. 1)

I. – Aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19, le groupement d’intérêt public mentionné à l’article L. 1462-1 du code de la santé publique et la Caisse nationale de l’assurance maladie sont autorisés à recevoir les catégories de données à caractère personnel suivantes : – les données issues du système national des données de santé mentionné à l’article L. 1461-1 du même code ; -des données de pharmacie ; – des données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine ; – des résultats d’examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville ; – des données relatives aux urgences collectées par l’Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences ; – des données relatives aux appels recueillis au niveau des services d’aide médicale urgente et des services concourant à l’aide médicale urgente ; – des données relatives à l’activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d’hébergement pour personnes âgées dépendantes ; – des enquêtes réalisées auprès des personnes pour évaluer leur vécu ; – des données non directement identifiantes issues du système d’identification unique des victimes mentionné à l’article L. 3131-9-1 du code de la santé publique ;- des données cliniques telles que d’imagerie, de pharmacie, de biologie, de virologie, de comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation.

II. – Le groupement d’intérêt public et la Caisse nationale de l’assurance maladie ne peuvent collecter que les données nécessaires à la poursuite d’une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19. Ils sont responsables du stockage et de la mise à disposition des données. Ils sont autorisés à croiser les données mentionnées au I. La Caisse nationale de l’assurance maladie est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques à cette fin. Seuls des responsables de traitement autorisés dans les conditions prévues aux articles 66 et 76 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, l’Etat mettant en œuvre des traitements mentionnés au 6° de l’article 65 de cette même loi, la Caisse nationale de l’assurance maladie mettant en œuvre des traitements mentionnés au 3° de l’article 65 de cette même loi, ou les organismes et les services chargés d’une mission de service public mentionnés à l’article 67 de cette même loi, peuvent traiter les données ainsi rassemblées par le groupement d’intérêt public.

III. – Les données ne peuvent être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19 et pour la durée de l’état d’urgence sanitaire institué pour faire face à cette épidémie. Les données ne peuvent être traitées que sur la plateforme technologique du groupement d’intérêt public et sur la plateforme de la Caisse nationale de l’assurance maladie, et ne peuvent pas en être extraites. Au sein de ces plateformes, les données ci-dessus mentionnées ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse. Le groupement d’intérêt public établit et met à disposition sur son site internet un répertoire public qui recense la liste et les caractéristiques de tous les projets portant sur ces données.

IV. – Sans préjudice des dispositions de l’article 6 de l’arrêté du 23 décembre 2016 relatif au recueil et au traitement des données d’activité médicale et des données de facturation correspondantes, produites par les établissements de santé publics ou privés ayant une activité en médecine, chirurgie, obstétrique et odontologie, et à la transmission d’informations issues de ce traitement dans les conditions définies à l’article L. 6113-8 du code de la santé publique, les établissements de santé mentionnés à l’article 1er du même arrêté transmettent, selon une périodicité hebdomadaire, les fichiers mentionnés au I de l’article 5 du même arrêté directement à l’Agence technique de l’information sur l’hospitalisation. Cette agence traite les données et transmet sans délai à la Caisse nationale de l’assurance maladie les données ayant vocation à alimenter le système national des données de santé. Les données ainsi transmises ne peuvent être traitées pour les finalités mentionnées au premier alinéa de l’article L. 6113-8 du code de la santé publique, à l’exception de la veille et la vigilance sanitaires.

Télésoin (masseurs-kinésithérapeutes) : Arrêté du 16 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Art. 7-1. Certains actes listés de masso-kinésithérapie pourront être réalisés à distance par télésoin par vidéotransmission. La pertinence du recours au télésoin est déterminée par le praticien. Le professionnel doit avoir déjà promulgué un soin au patient en présentiel. Pour les mineurs, la présence d’un des parents majeurs ou d’un majeur autorisé est requise et celle d’un aidant l’est pour les patients présentant une perte d’autonomie.

Ces actes pourront être remboursés par l’assurance maladie.

Télésoin (ergothérapeutes et psychomotriciens) et IVG médicamenteuse : Arrêté du 14 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Des actes d’ergothérapie et de psychomotricité pourront être réalisés par télésoin par vidéotransmission si l’auxiliaire médical l’estime pertinent. Une consultation préalable en présentiel est nécessaire. Pour les mineurs de 18 ans, la présence d’un des parents majeurs ou d’un majeur autorisé est nécessaire. Pour les patients présentant une perte d’autonomie, la présence d’un aidant est requise. L’IVG médicamenteuse (Art 10-3): La première prise des médicaments peut être effectuée par téléconsultation avec un médecin ou une sage femme. Le consentement libre et éclairé de la patient et l’accord du professionnel de santé sont nécessaire. La délivrance du médicament prescrit à la patiente par le médecin est réglementée et s’effectue sans frais et anonymement. De plus, le délai pour recourir à une IVG médicamenteuse est prolongé de 2 semaines. Il passe de 5 à 7.

Télémédecine, ordonnances : Arrêté du 14 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Report du 15 avril au 11 mai de plusieurs mesures de l’arrêté du 23 mars.

Covid-19 : ouverture complète des publications et données scientifiques issues de la recherche française sur le Covid-19.

Pour assurer la diffusion immédiate des résultats, indispensable à l’avancée rapide vers des solutions, il est demandé aux porteurs des projets qui ont été sélectionnés dans le cadre de l’appel à projets « flash » de l’Agence nationale de la recherche, ou dans celui de la procédure accélérée Covid-19 du ministère des Solidarités et de la Santé, de mettre à disposition du public leurs données ainsi que leurs résultats. Pour l’ensemble des projets mise en oeuvre, cela consiste à : i) Diffuser de manière précoce des résultats via des plateformes de prépublication ouvertes, ii) Déposer sans délai des publications acceptées en texte intégral sur une archive ouverte. La publication dans des revues en accès ouvert est fortement encouragée; iii) Partager les protocoles et les données provisoires, puis finales dans le respect des règles établies (R.G.P.D.), iv) Mettre en place un « plan de gestion des données » avec mise à jour et transmission au financeur. Plus largement, et dans le cadre général d’une politique de partage des données de recherche publique selon la logique FAIR (Facile à trouver, Accessible, Interopérable, Réutilisable), les ministres souhaitent la mise à disposition au public de l’ensemble des publications, dans toutes les disciplines, qui peuvent nourrir la recherche sur l’épidémie de COVID.

COVID-19 : Agrément HDS prorogé

Art 3 de l’ordonnance n°2020-306 du 25 mars 2020

En raison de la pandémie du Covid-19 et de la crise sanitaire qui en découle, tout agrément d’hébergement de données de santé qui arrivera à échéance entre le 12 mars et à l’expiration d’une délai d’un mois à compter de la date de cessation de l’Etat d’urgence sanitaire sont prorogés de plein droit jusqu’à l’expiration d’un délai de 2 mois suivant la fin de cette période.

COVID -19 : L’AP-HP, l’Inria et SFR surveillance épidémiologique

SFR va fournir les données mobiles liées au positionnement géographiques de ses clients à l’Assistance publique-hôpitaux de Paris (AP-HP) et à l’Institut national de recherche en sciences et technologies du numérique (Inria). Ce transfert de données anonymisées et agrégées vise à affiner les modèles de prévision des afflux de patients attendus dans les hôpitaux de l’AP-HP et les autres hôpitaux situés dans les autres régions. Il s’agit d’une surveillance généralisée des déplacements de population. Ce projet est semblable au projet entre Orange et l’Institut National de la santé et de la recherche médicale (Inserm). L’analyse des données de déplacement avant et après le confinement vise à mieux prévoir la propagation du virus. Sur l’aspect protection des données à caractère personnel, dès lors que les données sont anonymisées, le RGPD n’est plus applicable. Le risque d’atteinte à la vie privée devrait en principe être limité. Cependant, le risque de ré-identification existe.

Comité de pilotage : Recherche COVID-19 AP-HP

L’AP-HP a créé un comité de pilotage Recherche Covid -19 AP-HP afin d’aider en liaison avec l’Inserm et les Universités, à piloter et organiser la recherche sur Covid-19. Elle dispose dans un même CHU du continuum recherche fondamentale / translationnelle / clinique / médico-économique / organisationnelle et travaille en liaison étroite avec le consortium REACTing, piloté par l’Inserm et Aviesan et avec les universités. Ce comité sera , en liaison avec la direction de la recherche clinique et de l’innovation de l’AP-HP notamment de :diffuser aux chercheurs AP-HP l’information sur l’effort collectif et collaboratif de recherche, recenser et prioriser les projets de recherche au sein de l’institution, pour éviter les doublons, consolider les thématiques, fédérer les disciplines, aider à l’obtention d’une promotion, aider à la soumission et au franchissement accéléré des étapes réglementaires, et dans la mesure du possible leur allouer des moyens, avant ou après la soumission aux appels d’offres. Yannick Vacher est chargé de centraliser les projets…, homogénéiser le codage Covid-19 dans le PMSI sur la base des recommandations du département d’information médicale (DIM) pour les cas avérés et les cas suspects, …organiser une biobanque AP-HP pour stocker et centraliser les différents prélèvements, des cohortes et essais relatifs au Covid-19

COVID-19 : Autorisation de la téléconsultation par téléphone

Le ministre des solidarités et de la santé a autorisé par exception les consultations par téléphone. Ces consultations, qui seront donc réservées aux patients atteints ou suspectés de Covid, ou bien en affection de longue durée ou âgés de plus de 70 ans, sans moyens vidéo, seront prises en charge comme les autres téléconsultations dans le cadre de la crise sanitaire.

La « Coalition Innovation Santé – Crise Sanitaire » initiée par France Biotech, France Digitale, MedTech in France et AstraZeneca, avec la participation et l’appui de l’Assistance PubliqueHôpitaux de Paris (AP-HP) et de France Assos Santé, les soutiens de Bpifrance et d’EIT Health, s’est constituée pour contribuer à désengorger le système de soins et permettre aux patients atteints de maladies chroniques de continuer à être pris en charge. La « Coalition Innovation Santé – Crise Sanitaire » a rallié de nombreux acteurs engagés pour soutenir cette initiative. Parmi eux, le LEEM, Sanofi, Servier, Ipsen, Novartis, GSK, UCB, Amgen, Takeda, Chugai, et l’appel à coalition reste ouvert à tous les acteurs qui pourraient apporter leur soutien dans cette mission. En pratique, l’objectif principal de cette coalition est de permettre le développement et la mise en œuvre de solutions innovantes dans le domaine de la santé sur la base des besoins identifiés et remontés par les structures de soins, les professionnels de santé et les associations de patients. Pour répondre à ces besoins exprimés par les acteurs de terrain, des appels à projets thématiques sont lancés afin d’identifier rapidement des porteurs de projets, startups, PME et ETI françaises capables de déployer des solutions concrètes (information, soins à domicile, suivi des patients, prise en charge médicale, etc.). Ces appels à projets sont opérés par Digital Pharma Lab (DPL) via une plateforme disponible dès aujourd’hui pour accompagner, soutenir financièrement et déployer les solutions sélectionnées : https://www.coalitioncovid.org

ACSS de l’ANS : liste des services offerts gracieusement aux structures de santé par les acteurs de la cybersécurité

L’article L. 1111-8-2 du code de santé publique  rend obligatoire pour les établissements de santé la déclaration des incidents graves de sécurité des SI. La cellule ACSS récupère les signalements des incidents de sécurité sur les systèmes d’information effectués sur le portail de signalement. Elle est chargée d’analyser les déclarations et de qualifier les incidents signalés. En cas d’incident de sécurité majeur, la cellule ACSS informe le HFDS/FSSI qui assurera le pilotage du traitement. 

Les industriels de la cybersécurité (prestataires de services (veille, réponse à incidents, conseil, etc…) et éditeurs) proposent gratuitement leurs services et leurs offres aux acteurs de la santé pendant la crise sanitaire COVID-19. Les premiers d’entre eux sont listés ci-dessous.

L’ACSS recommande de réaliser une analyse de risques de sécurité et une analyse d’impact sur le SI avant de prendre la décision de mettre en œuvre un nouveau dispositif de sécurité. La liste des services offerts gracieusement aux structures de santé sera mise à jour au fil de l’eau et prendra en compte les demandes adressées à cyberveille@sante.gouv.fr.

News de MARS 2020

L’ATIH : consigne aux établissements de santé de codage des séjours liés au Covid-19 dans tous les champs du PMSI

Le code U07.1 Maladie respiratoire à Coronavirus 2019 (COVID-19) a été introduit dans la CIM-10 FR le 31 janvier 2020. Son libellé a depuis été modifié par l’OMS, il est désormais U07.1 COVID-19, avec une note indiquantque des codes additionnels peuvent préciser la pneumonie ou les autres manifestations cliniques. Afin de répondre au besoin de description dans le PMSI ‘programme de médicalisation des systèmes d’information) de toutes les situations cliniques liées au COVID-19, l’ATIH a créé des extensions au code U07.1. Il est désormais possible de repérer précisément, au-delà des cas confirmés, les cas possibles ou probables non
confirmés, ainsi que les cas confirmés asymptomatiques. Les définitions des cas correspondent à la dernière version à jour communiquée par Santé Publique France (SPF). L’ATIH a regroupé dans un fichier Excel  les différents cas au moment de l’admission, le tableau clinique en cours d’hospitalisation de ces derniers, si un prélèvement est effectué ou non, le résultat du test, le diagnostic principal et le diagnostic associé. https://www.atih.sante.fr/consignes-de-codage-des-sejours-lies-au-covid-19-2

 COVID-19 Host Genetics Initiative Mise en commun des données génétiques des patients COVID-19 du monde entier

Le généticien Andrea Ganna, de l’Institut de médecine moléculaire de l’Université d’Helsinki en Finlande (FIMM) et du Broad Institute aux Etats-Unis, a lancé une initiative « visant à mettre en commun les données génétiques des patients COVID-19 du monde entier », la « COVID-19 Host Genetics Initiative ». Plus d’« une douzaine de biobanques » ont manifesté leur intérêt pour ce projet. Parmi elles, « FinnGen, qui possède des échantillons d’ADN et des données sur la santé de 5 % des 5 millions de Finlandais, ou la biobanque de l’école de médecine Icahn du Mont Sinaï, qui compte 50 000 participants ». Et des patients malades du COVID-19 sont maintenant recrutés spécifiquement dans les hôpitaux.

Par ailleurs, l’une des plus importantes biobanques du monde avec des données ADN de 500 000 patients, la biobanque britannique, prévoit d’intégrer les données de santé en lien avec le COVID-19 à sa base de données. En Islande, la société deCODE Genetics, qui aide au dépistage d’une grande partie de la population du pays, « a reçu l’autorisation du gouvernement d’ajouter ces données, et tout symptôme COVID-19 qui serait identifié ultérieurement, à sa base, qui contient des données sur le génome et la santé de la moitié des 364 000 habitants de l’Islande ». Un autre projet, coordonné par l’Université d’Harvard, le « Personal Genome Project », dont les milliers de volontaires partagent les données relatives à leur génome et leur santé à des fins de recherche, a sollicité ses participants pour connaitre « leur statut COVID-19 ».

PIA : appel à projets pour développer
des solutions thérapeutiques préventives ou curatives contre le Covid-19
: Secrétariat Général pour l’Investissement et PIA

« le Gouvernement souhaite soutenir les entreprises et partenaires publics qui proposent des solutions thérapeutiques contre le Covid-19, en finançant des essais cliniques sur le sol français jusqu’à 50 millions d’euros par projet. L’appel à projets, lancé en lien avec le secrétariat général pour l’investissement dans le cadre du Programme d’investissements d’avenir (PIA), sera opéré par Bpifrance. Les projets candidats devront présenter des solutions thérapeutiques à visée préventive ou curative contre le Covid-19. Ils concerneront l’épidémie actuelle mais permettront également de lutter, à l’avenir, contre les pandémies apparentées. Toutes les stratégies thérapeutiques sont éligibles (vaccinales, antivirales, mixtes, etc.) ainsi que toutes les technologies (chimie, biotechnologie, intelligence artificielle et exploitation de données massives ou dispositif médical si pertinent). Concernant le stade de développement, les projets proposés devront avoir fait leur preuve de concept et disposer de données précliniques solides. L’objectif de l’appel à projets est de financer des projets de R&D incluant des essais cliniques de phase 1 ou 2 réalisés avec des partenaires académiques français ». Cet appel à projets s’inscrit dans le cadre de l’action « Projets de recherche et développement structurants pour la compétitivité » (PSPC) du PIA« .

Soins infirmiers, sages-femmes et téléconsultation : Arrêté du 31 mars 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

L’arrêté fixe une liste de soins infirmiers qui, même si l’ordonnance est expirée, pouvaient être prodigués jusqu’au 15 avril afin d’éviter toute interruption de traitement préjudiciable à la santé du patient. S’ils sont remboursables, ces actes ainsi que les dispositifs médicaux délivrés seront pris en charge par l’assurance maladie. Il autorise les sages femmes libérales à facturer à l’assurance maladie certains actes listés réalisés par téléconsultation.

TELESOIN : ORTHOPHONIE : Arrêté du 25 mars 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Cet arrêté prévoit que des actes d’orthophonie pourront être réalisés par télésoin par vidéotransmission si l’orthophoniste l’estime pertinent. Une consultation préalable en présentiel est nécessaire. Pour les mineurs de 18 ans, la présence d’un des parents majeurs ou d’un majeur autorisé est nécessaire. Pour les patients présentant une perte d’autonomie, la présence d’un aidant est requise. L’arrêté autorise les orthophonistes à facturer à l’assurance maladie ces actes réalisés par télésoin

Arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire

Télésuivi infirmier : Les infirmiers peuvent assurer le télésuivi, c’est-à-dire la surveillance clinique par vidéotransmission ou téléphone des patients suspectés d’infection ou reconnus atteints du codiv-19. La valorisation du télésuivi est à hauteur d’un AMI 3.2 par les infirmiers libéraux ou les structures mentionnées à l’article L 162-1-7 code de la sécurité sociale.

Téléconsultation pour les sages-femmes : Pour les téléconsultations réalisées par les sages-femmes, ces dernières sont valorisées à hauteur d’une téléconsultation simple (code TCG). Le code TCG permet aux professionnels de santé téléconsultants en secteur à honoraires opposables [secteur 1] ou en secteur à honoraires différents [secteur 2] adhérant aux dispositifs de pratique tarifaire maîtrisée de facturer l’acte de téléconsultation à 25 euros. L’avenant n°6, entré en vigueur le 15 septembre 2018, détaille le montant des rémunérations prévues pour les professionnels de santé et les conditions à respecter pour bénéficier d’un remboursement de droit commun des actes de téléconsultation et de télé-expertise

Extension du régime dérogatoire à la Télésurveillance des patients insuffisants cardiaques chroniques ( patients à risque) : Les patients éligibles à un projet de télésurveillance mis en œuvre sur le fondement de l’article 54 de la loi FSS du 30 décembre 2017 pour 2018 (prorogation de 4 ans du programme Expérimentations de financement de la télémédecine pour l’amélioration des parcours en santé (2018-2022), ne sont pas soumis à l’obligation de satisfaire l’une des deux conditions suivantes : 1/ Hospitalisation au cours des 30 derniers jours pour une poussée d’insuffisance cardiaque chronique (diagnostic principal, au regard du compte rendu ou du codage CIM 10 – I500/I501/I502/I509); 2/ Hospitalisation au moins une fois au cours des 12 derniers mois pour une poussée d’insuffisance cardiaque chronique (diagnostic principal, au regard du compte rendu ou du codage CIM 10 – I500/I501/I502/I509) et actuellement en classe NYHA 2 ou plus avec un taux de peptides natriurétiques élevé (BNP >100 pg/ml ou NT pro BNP >1000 pg/ml). Dans son avis du 14 mars 2020, le Haut Conseil de la Santé publique (HCSP), à la demande de la direction générale de la santé, avait listé les personnes à risque de développer des formes sévères de Covid-19

TELESOINS REALISES PAR LES INFIRMIERS : régime dérogatoire jusqu’au 31 mai 2020

Décret no 2020-277 du 19 mars 2020 modifiant le décret no 2020-73 du 31 janvier 2020 portant adoption de conditions adaptées pour le bénéfice des prestations en espèces pour les personnes exposées au coronavirus Le décret détermine les conditions dérogatoire de prise en charge

Le télésoin est une forme de pratique de soins à distance utilisant les technologies de l’information et de la communication. Il met en rapport un patient avec un ou plusieurs pharmaciens ou auxiliaires médicaux dans l’exercice de leurs compétences (Article L6316-2 du Code de la santé publique). Le régime dérogatoire relatif aux activités de télémédecine est étendu aux activités de télésoin réalisées par les infirmiers pour les personnes dont le diagnostic d’infection à covid-19 a été posé cliniquement ou biologiquement. Le remboursement par l’assurance maladie à un infirmier libéral ou une structure de soin de l’art L 162-14-1 CSS dérogent aux conditions de droit commun ( « la connaissance préalable du patient par une première consultation en présentiel avec l’infirmier, et le matériel nécessaire à la vidéotransmission) . L’activité de télésoin pourra être effectuée par téléphone. Le présent décret prévoit également une exonération du ticket modérateur sur les téléconsultations réalisées pour les personnes dont le diagnostic d’infection à covid-19 a été posé ou suspectées de l’être ainsi que pour les actes de télésuivi infirmier. Ce régime dérogatoire est mis en œuvre jusqu’au 31 mai 2020.

L’ordre infirmier s’en félicite, cette mesure ayant en effet été demandé dans le cadre de ses 7 mesures d’urgence pour lutter efficacement contre le coronavirus. 

La Haute Autorité de santé donne un avis favorable à l’inscription de l’acte de télésuivi infirmier renforçant un suivi médical des patients COVID-19 maintenus à domicile ou en retour au domicile après avoir été hospitalisés sur la liste des actes et prestations, mentionnée à l’article L. 162-1-7 du code de la sécurité sociale (service attendu suffisant et amélioration du service attendu de niveau IV) compte tenu : − du contexte d’urgence sanitaire lié à l’épidémie de COVID-19 ; − de la nécessité de réserver le recours aux établissements de santé à la prise en charge de patients COVID-19 présentant des formes graves ; − de la nécessité de limiter l’exposition des personnels infirmiers. L’objectif du télésuivi infirmier est double : − réaliser à distance l’évaluation régulière de l’état de santé du patient (état général, stabilité respiratoire, relevé de prise de température bi-quotidienne) ; − s’assurer de la bonne compréhension du patient au regard de sa situation et de sa bonne application des consignes de protection barrières pour lui-même et/ou son entourage.Lorsque l’infirmier(e) estime que les conditions d’un télésuivi de qualité ne sont plus réunies pour lui permettre de remplir ces deux objectifs, l’infirmier(e) réalise alors un suivi en présentiel, en informe le médecin et trace sa décision de ne plus réaliser le télésuivi dans le dossier du patient. Le télésuivi se déroule préférentiellement par vidéotransmission ou par téléphone (dans ce dernier cas, autant que possible après une première visite présentielle), en fonction des équipements de l’infirmier(e) et du patient. La HAS rappelle qu’une vidéotransmission permet aux interlocuteurs à la fois de s’identifier et de communiquer plus aisément, contrairement à un appel téléphonique.

Protection des données de santé : la priorité de la Cnil

La Commission nationale de l’informatique et des libertés (Cnil) a fixé ses trois priorités de contrôle pour 2020 : les cookies et traceurs, la géolocalisation et les données de santé. Plus d’une cinquantaine de contrôles sont programmés dans ces domaines en 2020. Avec Ma Santé 2022, qui favorise le virage numérique dans le domaine de la santé (création de trois plateformes numériques : Health Data Hub (HDH), l’Espace Numérique Santé (ENS), le bouquet de services pour les professionnels) et l’épidémie du virus Covid-19, qui conduit à un développement à marche forcée de la téléconsultation pour limiter les risques de propagation du virus dans les salles d’attente des médecins, les données de santé sont et vont être de plus en plus exposées à un risque de cyberattaque. Au RU, les données de santé de millions de patients britanniques ont été vendues à des laboratoires américains. Les licences payées par les industriels de la pharmacie, Merck, Brystol-Myers Squibb (BMS), Eli Lilly, ont coûté « jusqu’à 333 000 livres par dossier ». L’objectif affiché, pour les laboratoires, est de « tenter de mettre au point de nouveaux médicaments, de nouvelles stratégies de traitement et mieux comprendre le fonctionnement de certaines maladies ». Il semblerait que les patients britanniques n’aient pas été correctement informés de la vente de leurs données. En 2018, Amazon a pu acheter un accès aux données pour « améliorer ses produits et services », notamment de son assistant vocal Alexa et « prodiguer les meilleurs conseils médicaux ». Google a, quant à lui, réussi à collecter des millions de données de santé via un partenariat avec Nightingale, une société de médecine prédictive. Et Facebook a « tenté de se procurer des données médicales auprès d’hôpitaux »Le 15 mars 2020 au soir, en pleine crise du coronavirus, l’U.S. Health and Human Services Department, a subi une cyberattaque. Des fake news ont été diffusées par des pirates informatiques. Cette attaque relève plus d’une tentative de déstabilisation qu’une violation de données. La cybersécurité devient un enjeu primordial pour les données de santé. La Cnil a décidé de porter une attention particulière notamment sur les mesures de sécurité mises en œuvre par les professionnels de santé « comme, par exemple, la sécurité des accès aux locaux, les antivirus, la sécurisation des mots de passe… ».

MaSanté2022 renforce la sécurité des données de santé

En ce qui concerne la sécurité opérationnelle, la feuille de route MaSanté 2022 prévoit une extension du dispositif de déclaration des incidents de cybersécurité à l’ensemble des acteurs de santé à partir de 2020, le développement d’un outil en ligne d’analyse de risque des services exposés sur le web, le lancement des audits de cybersurveillance de l’ensemble des GHT, l’observatoire national de la cybersurveillance (le premier rapport présentera un panorama des vulnérabilités les plus critiques par typologie de structures et leurs évolutions au sein des structures). Il est également prévu d’adopter dans la Politique Générale de Sécurité SIS (PGSSI-S) des référentiels de sécurit é (référentiels socles). Au niveau des services socles, le recours à la MSSanté (la messagerie sécurisée de santé) sera généralisé pour les professionnels de santé et étendu au secteur médico-social. Un PoC Messagerie Sécurisée de Santé pour les usagers en tant que brique de base de l’ENS est prévu pour mi-2020. Dans le prolongement du programme Hôpital numérique, le Programme HOP’EN (2019-2023), qui concerne +75% des établissements de santé, fixe 4 prérequis sécuritaires (identités, mouvements/ sécurité/confidentialité/échanges et partage) pour pouvoir bénéficier d’un financement. Un dispositif de certification des SI des établissements de santé pour évaluer la maturité des SIS est prévu. Les premiers pilotes sont programmés pour septembre-décembre 2020.

CoviDIAB

Programme personnalisé d’accompagnement en ligne pour les diabétiques en période d’épidémie COVID-19. Ce programme est animé par des médecins et soignants hospitaliers, et soutenu par l’AP-HP et des équipes de recherche INSERM. L’application permet de réaliser son parcours personnalisé, recevoir des messages, consulter sa médiathèque de médias (vidéos, fiches conseil…) L’application constitue un véritable lien interactif avec les soignants, et une source fiable et actualisées d’informations validées . Cette application e-santé est proposée par la Fédération des Services Hospitaliers de Diabétologie (Hôpital Bichat, Pr Roussel ; Hôpital Cochin, Pr Larger, Hôpital Lariboisière, Pr Gautier) et le Centre de Responsabilité de Santé Connectée de l’AP-HP (Dr Boris Hansel, Pr Patrick Nataf)

Sessions Live dédiées au Diabète en contexte d’épidémie COVID-19 : La plateforme d’accompagnement personnalisé CoviDIAB va proposer à ses inscrits de paticiper à des sessions LIVE programmées

MaladieCoronavirus.fr

autoévaluations et orientation responsable des patients dans leur parcours de soins

L’enjeu : apporter une réponse au risque de saturation des services d’urgence : le site MaladieCoronavirus.fr permet à toute personne pensant avoir été exposée au COVID-19 de réaliser simplement en quelques clics une autoévaluation et de bénéficier de préconisations d’orientation adaptées à son état de santé. Son objectif est d’accompagner le plus grand nombre de personnes se sentant concernées, de réduire leur anxiété et de permettre une meilleure prise en charge des cas graves. Cette initiative d’intérêt collectif est portée par l’Alliance Digitale contre le COVID19, un consortium d’acteurs du numérique et de l’e-santé. Les préconisations ont été établies sous l’égide du groupe de travail COVIDTELE qui réunit des médecins spécialistes de l’AP-HP, des CHRU de Rennes, Lille et Angers et de l’Institut Pasteur avec la contribution de médecins spécialistes de médecine libérale, de médecine d’urgence, infectiologues, des ingénieurs en e-santé et des plateformes de téléconsultation et télésurveillance. Le site est mis à jour en continu par une équipe de médecins, ingénieurs et spécialistes de l’épidémie.

Sécurité des données : une priorité :

Une attention particulière est portée à la vie privée des utilisateurs et à la sécurité des données saisies dans l’application. Le site n’utilise pas de cookies, il n’est pas fait usage de tiers outils de suivi des visiteurs. Le test est anonyme et gratuit. Les données sont stockées dans le plus strict respect de la sécurité, de la confidentialité et des réglementations en vigueur dans les data center installés et opérés en France par Docaposte. La filiale numérique de La Poste est aussi le premier hébergeur français de données de santé en France. Par sa position de tiers de confiance numérique, Docaposte permet de fédérer un écosystème large d’acteurs autour de cette action d’intérêt collectif . Les données non nominatives seront mises à disposition de l’Institut Pasteur à des fins d’étude épidémiologique permettant de mieux analyser l’évolution de la maladie et de ses symptômes dans le but d’améliorer la connaissance du coronavirus et d’accélérer la recherche d’un traitement.

Informations Covid19 par et pour les jeunes médecins : Le site anti-virus des jeunes médecins

Le site Information Covid 19 centralise toutes les informations dont les externes, les internes et les jeunes médecins ont besoin pour faire face à la crise sanitaire. Le site propose aussi des informations sur l’aide que peuvent apporter les jeunes dans les différents services en fonction de leurs compétences. Des fiches de bonnes pratiques vont être diffusées comme « suivi du patient à domicile » ou  « gestion du syndrome respiratoire aiguë » ou encore « faire son masque en tissu », déjà en ligne.

Median Technologies & AP-HP : iBiopsy

Median Technologies

Median Technologies a conclu un contrat de collaboration avec l’AP-HP visant à réaliser des études devant permettre la validation clinique de sa plateforme d’exploitation des images médicales iBiopsy. L’IA de iBiopsy permet d’identifier les signatures spécifiques de certaines maladies chroniques, dont les cancers, pour leur détection précoce et leur suivi. iBiopsy participe au développement de cette médecine 4P (personnalisée, prédictive, préventive et participative). Le contrat de collaboration annoncé concerne la réalisation de deux études cliniques sur le cancer du foie dans deux hôpitaux de l’AP-HP, la Pitié-Salpêtrière et Paul Brousse. En décembre 2019, Median Technologies avait obtenu un accord de financement avec la Banque Européenne d’Investissement d’un montant de 35 millions d’euros.

Covidom : télésuivi des patients porteurs ou suspectés Covid-19 ne nécessitant pas d’hospitalisation

Covidom est une application e-santé développée par l’AP-HP et Nouveal e-santé, qui permet aux patients porteurs ou suspectés du Covid-19 sans signe de gravité de bénéficier d’un télésuivi à domicile via des questionnaires médicaux numériques dont la fréquences est adaptée à l’état du patient et qui génèrent des alertes en cas de forte fièvre et de gêne respiratoire. Alertée l’équipe soignante du centre de télésurveillance médicale adapte le suivi. Cet outil est déployé dans les hôpitaux Bichat et Pitié-Salpêtrière, deux établissements de santé de référence (ESR) pour le Covid-19 de l’AP-HP, l’application Covidom va être utilisée plus largement, dans un premier temps au sein de l’AP-HP, pour suivre les patients passés par l’AP-HP.

CCNE : Avis n°133 « Enjeux éthiques des modifications ciblées du génome : entre espoir et vigilance »

adopté le 19 septembre 2019

Le 3 mars 2020, le Comité Consultatif National d’Ethique (CCNE) publiait son avis n°133 sur les « Enjeux éthiques des modifications ciblées du génome : entre espoir et vigilance ». Cet avis, adopté le 19 septembre 2019, est motivé par les « progrès technologiques de l’ingénierie génomique », fruit d’une « double révolution technologique » : « le séquençage à haut débit » et des outils tels que CRISPR-Cas9 qui « permettent de modifier de façon ciblée et précise les séquences du génome ». Dans son appel à « la vigilance et à la surveillance », le CCNE formule finalement quatre recommandations : 1/ « développer des approches expérimentales visant à rendre les techniques de modification ciblée du génome plus sûres, voire réversibles, et de les encadrer strictement lors de leur application au monde du vivant » ; 2/ « considérer les éventuelles conséquences non maîtrisables, voire dramatiques, comme le bouleversement d’écosystèmes et d’ensembles évolutifs », « prendre en compte le bien-être animal », « considérer comme OGM les plantes, champignons et animaux dont le génome a été ainsi transformé et leur appliquer en conséquence la législation en vigueur pour les OGM » ; 3/ « s’agissant des thérapies géniques somatiques chez l’homme, les questionnements éthiques (…) sont (…) à considérer au même titre que ceux concernant toute thérapie génique » ; 4/ mettre en place « un moratoire international préalable à toute mise en œuvre », une dernière recommandation faite de concert avec les comités d’éthique allemand et anglais.

Pour le CCNE, la communauté scientifique doit « faire preuve d’humilité » et la législation jouer un rôle crucial de garde-fou. Le Comité se rassure en affirmant qu’« une approche technologique qui modifierait le génome germinal est aujourd’hui interdite, à l’exception du champ de la recherche fondamentale, car en contravention avec la Convention d’Oviedo et l’article 16-4 du Code civil ».

OPEN.URSSAF : Les données de l’URSSAF en open data

L’Agence centrale des organismes de sécurité sociale (Acoss) a lancé la plate-forme « open.urssaf » le 12 mars 2020. Ce portail met à disposition du grand public, des entreprises et de la recherche les données récoltées par les unions des recouvrements des cotisations de sécurité sociale et d’allocations familiales (Urssaf) pour construire de nouveaux services. Afin de faciliter la réutilisation des données publiques, l’Acoss a choisi d’avoir recours à la licence « open database » (ODbl).

Téléconsultation & Covid-19 : un régime dérogatoire

Téléconsultation et Coronavirus : Sécurité des données de santé vs Urgence

Chloe Picavez, Juriste et Eléonore Scaramozzino, Avocat

Coronavirus & Téléconsultation : régime dérogatoire jusqu’au 30 avril 2020

Le Décret n° 2020-227 du 9 mars 2020 adaptant les conditions du bénéfice des prestations en espèces d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au Covid-19, facilite le recours à la téléconsultation jusqu’au 30 avril 2020. L’avenant n °6 de la convention médicale, en vigueur depuis le 15 septembre 2018, concerne le remboursement des actes de téléconsultations et télé expertise. En principe, pour obtenir le remboursement d’une téléconsultation, le patient doit avoir été préalablement orienté par son médecin traitant vu dans les 12 derniers mois, en respectant le parcours de soins coordonné.

Le décret détermine notamment les conditions dérogatoires de prise en charge des actes de télémédecine pour les personnes atteintes ou potentiellement infectées par le coronavirus, qui pourront en bénéficier même si : i) elles n’ont pas de médecin traitant pratiquant la téléconsultation, ii) ni été orientées par lui, iii) ni été connues du médecin téléconsultant. Cet assouplissement des conditions d’accès à un médecin pour les personnes présentant les symptômes du virus, doit être salué dans un contexte sanitaire marqué par la propagation du coronavirus, même si, selon les médecins, les symptômes respiratoires du Covid-19 nécessitent une auscultation du patient . Un accompagnement par un professionnel de santé (infirmière/infirmier libéral(e) au domicile, pharmacien(ne) d’officine à la pharmacie, infirmière/infirmier à l’Ehpad) assistant le professionnel médical pendant la téléconsultation, permettrait d’optimiser la pratique médicale à distance. Le cadre juridique et financier pour réaliser des téléconsultations assistées est en place, bien avant la survenue de l’épidémie du Covid-19. Les pharmaciens d’officine sont rémunérés pour assister un patient en téléconsultation avec son médecin traitant depuis septembre 2019 (arrêté du 2 septembre 2019 portant approbation de l’avenant n° 15 à la convention nationale du 4 mai 2012, organisant les rapports entres les pharmaciens titulaires d’officine et l’assurance maladie), et l’infirmier ou l’infirmière libéral(e) est rémunéré depuis le 1er janvier 2020 (avenant 6 de la convention infirmière).

Conditions techniques des téléconsultations pour le covid-19 ?

Si ces téléconsultations devront s’inscrire prioritairement dans le cadre d’organisations territoriales coordonnées, le décret ne traite pas des conditions techniques. Le gouvernement explique dans une notice que ces dernières pourront être réalisées en utilisant n’importe lequel des moyens technologiques actuellement disponibles pour réaliser une vidéotransmission (lieu dédié équipé mais aussi site ou application sécurisé via un ordinateur, une tablette ou un smartphone, équipé d’une webcam et relié à internet. Le ministre a cité comme exemple Facetime (Apple) et WhatsApp (Google). Cependant, ces plateformes ne permettent pas de transmettre des ordonnances cryptées, facturer le patient, télétransmettre tout cela à la caisse d’assurance maladie (CNAM) …..

Au regard de la protection des données de santé, cette ouverture aux GAFAM a suscité diverses craintes, dans la mesure où les conditions de sécurité imposées aux opérateurs de téléconsultation ne sont pas satisfaites (hébergement HDS, secret médical …principe de finalité, conservation des données) par ces plateformes. Dans son communiqué de presse la Société Française de Santé Digitale, SFSD, a rappelé que « la coordination des soins, l’usage de dispositifs médicaux connectés (mesure de la saturation en oxygène, stéthoscope électronique, thermomètre ou le tensiomètre) et le respect absolu du secret médical restent indispensables pour obtenir des téléconsultations utiles au diagnostic des formes cliniques graves d’infection au Covid-19 (tableau clinique de bronchopneumopathie). La télé-expertise, dont les règles sont assouplies permettra en outre à tout médecin de recourir à un avis spécialisé plus facilement.« 

Respect du RGPD et respect du secret professionnel vs « bénéfice-risque »

Face à l’urgence, le gouvernement a opté pour l’approche « bénéfice / risque » utilisée en médecine, et a choisi de faciliter le recours à la télémédecine, qui peut apporter une réponse pour réduire le risque de contagion et orienter au mieux les patients. Le CNOM est satisfait de cette solution transitoire car l’épidémie légitime de telles mesures. La rémunération des médecins sera la même que s’il s’agissait d’une consultation. La Cnil n’a pas été consultée préalablement à la publication de ce décret, qui instaure un régime dérogatoire limité au 30 avril 2020. Elle pourra néanmoins procéder à des contrôles conformément à sa stratégie de contrôle 2020, axée sur 3 thématiques : Sécurité des données de santé, Mobilités et services de proximité, les nouveaux usages des données de géolocalisation et respect des dispositions applicables aux cookies et autres traceurs. La Cnil précise que « Les données de santé sont des données sensibles, qui font l’objet d’une protection spécifique par les textes (RGPD, loi Informatique et Libertés, Code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes. La CNIL souhaite, grâce à cette thématique prioritaire, s’intéresser plus particulièrement aux mesures de sécurité mises en œuvre par les professionnels de santé ou pour leur compte.«