Actualités TMT

Rédaction et négociation de contrats informatiques

Mars 2018 : L’impact du GDPR sur les contrats SaaS

Les dispositions du Règlement Général sur la Protection des Données (le "RGPD") qui entreront en vigueur le 25 mai 2018 ont un impact direct sur les pratiques contractuelles en matière de services SaaS (Software as a Service) et plus généralement en matière de contrats Cloud.

Il existe plusieurs déclinaisons du Cloud [1]. On parle de Cloud public lorsque l’hébergement est mutualisé entre tous les clients du prestataire (partage de l’espace sur le serveur), et de Cloud privé lorsque l’espace de stockage est cloisonné et n’est dédié qu’à un seul client, ce qui est de nature à renforcer les conditions la sécurité des données y étant hébergées.

Dans le cas du SaaS, le logiciel n’est pas installé sur le serveur interne de l’entreprise mais sur les serveurs exploités par le fournisseur du service SaaS. A l’occasion des services qu’il rend à son client, le fournisseur du service SaaS est amené à héberger les données de son client, incluant les données personnelles collectées par ce dernier (ex. : données de ses salariés, des clients et prospects). Avec le SaaS hybride, le logiciel peut être hébergé dans le Cloud public tandis que les données du client peuvent être stockées sur un serveur distinct, « on premise » ou pas.
 

Quelle qualification du prestataire SaaS : responsable de traitement, sous-traitant ou responsable conjoint ?

La rédaction d’un contrat SaaS impose de déterminer la qualification des parties au sens de la réglementation en matière de données personnelles. A chaque qualification correspond un régime juridique propre, des obligations distinctes et une responsabilité spécifique en cas de manquement.

Sous l’égide de la loi Informatique et libertés [2], le client qui collecte en amont les données personnelles et qui détermine les finalités et moyens du traitement de données est qualifié de « responsable de traitement » ; tandis que le prestataire SAAS (hébergement, maintenance) est lui qualifié de « sous-traitant », dès lors qu’il traite les données pour le compte du responsable de traitement, agit sous son autorité et sur la base des instructions données par ce dernier.

Dans de nombreuses situations, compte tenu de la complexité croissante des différents services SaaS, cette qualification s’avère finalement très souvent discutable dès lors que c’est davantage l’éditeur ou le prestataire SaaS, plutôt que son client, qui détermine les moyens du traitement : sélection des outils logiciels, développement des fonctionnalités, sélection des sous sous-traitants et des infrastructures... et ce en vue de proposer une offre identique pour l’ensemble de ses clients.

Ces difficultés de qualification des parties sont d’autant plus signifiantes en matière de SaaS public, en cas d’offres standards communes à tous les clients et imposant des contrats d’adhésion sans aucune possibilité de négociation.

L’un des principaux apports du RGPD [3] est de prévoir une qualité intermédiaire, celle de responsabilité conjointe de traitement, qui doit s’appliquer « Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » [4].

Cette qualité pourra être attribué au prestataire, en lieu et place de la qualité de sous-traitant, dès lors qu’il sera démontré que les parties déterminent ensemble et sur la base de leurs contributions respectives les moyens et finalités du traitement.

En premier lieu en matière contractuelle, il faudra donc déterminer, en fonction de la nature et de la mise en œuvre pratique des services SaaS proposés, si les acteurs (client et prestataire) peuvent être qualifiés de co-responsables de traitement. Les avis publiés par le G29 à ce sujet pourront alors se révéler utiles pour établir cette qualification. Bien entendu, les autorités de contrôle ne sont pas liées par le contrat rédigé par les parties : une requalification a posteriori est toujours envisageable en vue d’une condamnation.
 

La responsabilité solidaire de tous les acteurs impliqués dans le traitement :

Le régime des obligations du responsable de traitement et du sous-traitant est complètement remanié avec le RGPD et beaucoup plus contraignant que sous l’empire de la loi Informatique et Libertés, s’agissant particulièrement du sous-traitant.

Ainsi, sous le régime de la loi Informatique et Libertés, les obligations de sécurité et la responsabilité y afférente pesaient principalement sur le responsable de traitement. Demain avec le RGPD, le sous-traitant pourra être tenu responsable en cas de manquement. Il s’agit donc d’une responsabilité légale et non plus seulement contractuelle. L’article 82 prévoit en effet que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du Règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du « sous-traitant » ».

Précisément, le sous-traitant n’est tenu pour responsable du dommage causé par le traitement que « s’il n’a pas respecté les obligations prévues par le présent Règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».

Il ne pourra être exonéré de sa responsabilité que s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable (il s’agit donc d’une présomption simple de responsabilité). Comme le rappelle la CNIL, « le RGPD consacre ainsi une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données ».

En cas de violation de la réglementation, le responsable de traitement et le sous-traitant pourront être solidairement condamnés à des amendes administratives (montant le plus élevé pouvant aller jusqu’à 20 millions ou 4% du chiffre d’affaire mondial annuel). Ce principe de co-responsabilité et les sanctions applicables marquent une véritable rupture avec l’esprit de la loi Informatique et Libertés du 6 janvier 1978. Pour rappel, sous le régime de la loi Informatique et Libertés, le montant des sanctions que pouvait prononcer la CNIL à l’encontre du seul responsable de traitement ne pouvait excéder 3 millions d’euros [5].

Le RGPD prévoit également que le sous-traitant est tenu d’informer immédiatement le responsable de traitement s’il considère qu’une instruction donnée par ce dernier constitue une violation du RGPD. Ainsi le sous-traitant ne doit plus se limiter à suivre aveuglement les instructions du responsable de traitement en pensant pouvoir se retrancher derrière ce dernier en cas de violation. Désormais, le sous-traitant doit avoir un rôle proactif de contrôle en matière de conformité réglementaire. A défaut, il pourrait être tenu pour co-responsable avec le responsable de traitement en cas de violation de la réglementation. Ainsi c’est toute la chaine de traitement de la donnée qui bénéficie d’une protection renforcée.

À tout moment, les entreprises devront démontrer la conformité de leurs traitements avec le RGPD : c’est le principe d’accountability. Il faut donc constituer une documentation rigoureuse, adaptée et régulièrement mise à jour qui doit pouvoir être communiquée sans délai aux autorités de contrôle. Ceci doit notamment conduire à la conclusion de contrats avec les prestataires SaaS respectant les nouvelles dispositions du RGPD (incluant les obligations liées à la résilience des systèmes) et la démonstration concrète par ces derniers de la mise en œuvre effective des mesures de sécurité y étant définies.
 

Les obligations du prestataire sous-traitant : transparence, traçabilité, sécurité et alerte :

Le RGPD impose désormais un formalisme spécifique et de nouvelles contraintes en matière de sécurité particulièrement à la charge du sous-traitant, qui jusqu’alors pouvait se contenter de « présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité », lesquelles étaient directement imposées par la loi Informatique et Libertés au responsable de traitement, qui devait ainsi « prendre toutes précautions utiles pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ».

Plusieurs obligations qui ne visaient que le responsable du traitement sont désormais applicables aux sous-traitants. L’objectif est de garantir la sécurité optimale des données sous traitées sur toute la chaine de traitement, de la collecte jusqu’à la destruction définitive des données.

Selon le RGPD, les responsables de traitements souhaitant conclure des contrats SaaS, dès lors qu’ils impliquent un accès direct ou indirect aux données personnelles du client par un sous-traitant (voir un ou plusieurs sous sous-traitants), devront s’assurer de faire appel à des prestataires qui présentent « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement effectué réponde aux exigences du Règlement et garantisse la protection des droits de la personne concernée » [6].

L’ensemble des dispositions obligatoires devant figurer dans le contrat sont ensuite listées à l’article 28 du Règlement. Parmi elles, figurent notamment :
  • L’obligation de prendre « toutes les mesures requises en vertu de l’article 32 du RGPD », c’est-à-dire garantir un niveau de sécurité adapté au risque (par exemple, en cas de données hébergées dans un environnement mutualisé), en fonction de la nature des données et de la finalité du traitement notamment. Ces mesures peuvent être les suivantes : pseudonymisation/chiffrement des données ; mise en place de serveurs dédiés et cloisonnés ; moyens permettant le rétablissement des données en cas d’incident ; tests réguliers sur l’efficacité des mesures de sécurité ;
     
  • L’obligation d’aider le responsable de traitement à garantir le respect de ses propres obligations (sécurité ; notification en cas de faille ; analyse d’impact ; consultation préalable auprès de la CNIL pour certains traitements présentant des risques), et de lui tenir à disposition « toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits », et de « contribuer à ces audits » ;
     
  • L’interdiction de sous sous-traiter sans l’autorisation expresse et écrite du responsable de traitement, et en cas d’accord, l’obligation de reporter l’ensemble des obligations lui étant imputables en matière de protection des données. Il demeure en tout état de cause responsable à l’égard du responsable de traitement de l’exécution des prestations de ses propres sous-traitants.

Bien entendu, les sous sous-traitants seront également impactés par la nouvelle réglementation européenne. Les contrats conclus entre ces derniers et le sous-traitant devront refléter les obligations imposées par le responsable de traitement à son sous-traitant (contrat dit « miroir » ou « back to back », imposé par l’article 28-4 du RGPD). En d’autres termes le responsable de traitement exigera de ses sous-traitants qu’ils imposent les mêmes obligations à l’ensemble de leurs propres cocontractants ayant accès aux données personnelles ainsi communiquées pour les besoins du service SaaS.

A ces obligations devant désormais être respectées par le sous-traitant, il faut en plus ajouter :

L’obligation de tenir un registre des traitements (même obligation imposée au responsable de traitement) ; ce registre participe à l’obligation d’accountability et devra être tenu à la disposition de l’autorité de contrôle [7]
La coopération du sous-traitant aux opérations de contrôle (par la CNIL notamment) [8]
La désignation d’un Délégué à la Protection des Données, dans les mêmes conditions que le responsable de traitement est tenu de le faire [9]
La notification du responsable de traitement en cas de faille de sécurité [10]
Appliquer en amont les principes de Privacy by design et Privacy by default [11], qui impliquent de prendre en compte la protection des données à chaque étape du processus (et notamment que seules les données personnelles nécessaires, au regard de la finalité recherchée, soient traitées) ;
Des mécanismes de certification ou des codes de conduites permettront de démontrer le respect des exigences énoncées.

Dans le cadre de la gestion des risques, les entreprises pourront notamment se référer au nouveau guide de la sécurité des données personnelles publié par la CNIL en janvier 2018 [12] qui rappelle « les précautions élémentaires devant être mise en œuvre de façon systématique ».
 

Plan d’action :

Selon la CNIL, « tous les contrats de sous-traitance en cours d’exécution devront comprendre au 25 mai 2018 les clauses obligatoires prévues par le Règlement européen ».

En conséquence il est indispensable de procéder dès maintenant à une analyse complète de tous contrats en cours conclus avec ou par les prestataires de services SaaS puis de les amender, afin d’y prévoir les nouvelles obligations imposées par la réglementation. Des avenants devront être conclus en ce sens avant le 25 mai 2018.

Il est précisé que la CNIL demande expressément à vérifier l’existence et le contenu de ces contrats en cas de contrôle.


Notes :

[1] SaaS : Software as a Service, c’est-à-dire la fourniture de logiciel en ligne ; PaaS : Platform as a Service, c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne ; IaaS : Infrastructure as a Service, c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne
[2] Loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux Fichiers et aux Libertés
[3] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[4] Article 26 du RGPD
[5] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique
[6] Article 28 du RGPD
[7] Article 30 du RGPD
[8] Article 31 du RGPD
[9] Article 37 du RGPD
[10] Article 33 du RGPD
[11] Article 25 du RGPD
[12] https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles

Mars 2013 - L'innovation dans les contrats d'outsourcing, Village de la Justice, par Hervé Gabadou

L'innovation dans les contrats d'outsourcing, Village de la Justice, par Hervé Gabadou

Juin 2012 : Externaliser par le Cloud : ce qu'il faut savoir

Externaliser par le Cloud : ce qu'il faut savoir : Revue Fiduciaire Comptable, Juin 2012, n°395, p.16 par Donatienne Blin

Mai 2012 : Les écueils à éviter lors de la négociation d'un contrat informatique, www.dafmag.fr, par Hervé Gabadou

Les écueils à éviter lors de la négociation d'un contrat informatique, www.dafmag.fr, par Hervé Gabadou

Décembre 2011 : Logiciel : la notion d'interopérabilité désormais plus précise

Logiciel : la notion d'interopérabilité désormais plus précise : Expertise, Déc. 2011, n°364, p.417 par Hervé Gabadou et Donatienne Blin

Septembre 2011 : La méthode Agile est-elle adaptée aux grands projets informatiques ? par Hervé Gabadou

La méthode Agile est-elle adaptée aux grands projets informatiques ? par Hervé Gabadou

Pré-contentieux informatique

Juillet 2012 : La tolérance à l'échec : le permis à points contractuel, Le Monde du Droit, par Hervé Gabadou

La tolérance à l'échec : le permis à points contractuel, Le Monde du Droit, par Hervé Gabadou

Mars 2012 : Sortie d'un contrat d'externalisation : les points d'attention, Revue Fiduciaire Comptable, Mars 2012 n°392 par Donatienne Blin

Sortie d'un contrat d'externalisation : les points d'attention, Revue Fiduciaire Comptable, Mars 2012 n°392 par Donatienne Blin

Janvier 2012 : La sortie d'un contrat d'outsourcing : la réversibilité, Le cercle des échos, les Echos.fr, Janv. 2012 par Donatienne Blin

La sortie d'un contrat d'outsourcing : la réversibilité, Le cercle des échos, les Echos.fr, Janv. 2012 par Donatienne Blin

Audit IFL et RGPD : mise en conformité et sensibilisation

Testez la conformité de votre organisme au RGPD !

SEA Avocats vous propose un outil d’auto-diagnostic afin d’évaluer la conformité de votre organisme au RGPD - Durée estimée du questionnaire : 10 à 15 min

Faire de quizz

Septembre 2017 : Une nouvelle Loi Informatique, Fichiers et Libertés avant le 25 mai 2018

Le règlement européen 27 avril 2016 sur la protection des données personnelles (RGPD1) entrera en application le 25 mai 2018. Il constitue selon la CNIL « une étape majeure pour la protection des données personnelles en Europe ». 

L’objectif de ce règlement est de renforcer la protection des données personnelles des citoyens européens et d’unifier les législations nationales de chaque Etat membre de l’union. Il introduit de nouveaux principes majeurs, notamment, le renforcement des droits des personnes dont les données sont collectées, les notions de Privacy by design et Privacy by default, le principe d’Accountability, la notion de responsabilité conjointe des traitements, ou encore la désignation obligatoire dans certain cas d’un délégué à la protection des données. 

Ses dispositions seront directement applicables dans tous les Etats membres.

Toutefois le règlement européen comporte de nombreux renvois au droit de chaque Etat membre, laissant à ces derniers la possibilité d’adapter leur droit national avec les nouvelles dispositions. 

Le considérant 10 du RGPD fait référence à ces renvois aux droits nationaux des Etats membres. Il y est précisé que le niveau de protection des droits des personnes devrait être équivalent dans tous les Etats membres, et qu’il convient dès lors « d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union ». 

Puis il ajoute que dans certaines matières, « il y a lieu d'autoriser les Etats membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du règlement », ou encore qu’il « existe plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises ». 

Le règlement laisse ainsi une marge de manœuvre aux Etats membres. Il en résulte que des disparités entre les différents membres de l’Union Européenne pourront exister en matière de protection des données personnelles.

Pour intégrer les nouvelles obligations réglementaires, la France devra donc, avant le 25 mai 2018, adapter en profondeur la Loi du 6 janvier 1978 Informatique, Fichiers et Libertés,  sous peine, selon la CNIL, « de rendre très largement inapplicable le nouveau cadre de protection en France ».

La CNIL a identifié près de 57 renvois au droit des Etats membres dans le RGPD.

Le chapitre IX du RGPD, intitulé « Dispositions relatives à des situations particulières de traitement », dresse la liste des sujets sur lesquels les Etats membres pourront prévoir des dérogations ou des précisions. Il s’agit notamment des traitements suivants : 
 
  • Les traitements réalisés à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire : les Etats membres pourront prévoir « des exemptions ou des dérogations au règlement (…) si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel de la liberté d’expression et d’information » (Article 85 du règlement) ;
     
  • Le traitement et l’accès du public aux documents officiels : afin de concilier le droit d'accès du public aux documents officiels et le droit à la protection des données personnelles, le règlement précise que « les données personnelles figurant dans des documents officiels détenus par une autorité publique, un organisme public ou un organisme privé pour l'exécution d'une mission d'intérêt public peuvent être communiquées par ladite autorité ou organisme conformément au droit de l'Union ou au droit de l'Etat membre auquel est soumis l'autorité publique ou l'organisme public » (Article 86 du règlement) ;
     
  • Le traitement du NIR (Numéro d’Identification National) : selon le RGPD, « les Etats membres peuvent préciser les conditions spécifiques du traitement d'un numéro d'identification national ». Ce numéro ne doit être utilisé « que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées par le règlement » (Article 87 du règlement) ;
     
  • Le traitement des données dans le cadre des relations de travail : le règlement précise que s’agissant du traitement des données personnelles des employés, « les Etats membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés », lesquelles devront comprendre « des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées » (Article 88 du règlement) ;
     
  • Le traitement à des fins de recherche scientifique ou historique, ou à des fins statistiques : selon le RGPD, le droit d'un Etat membre peut prévoir des dérogations aux droits visés aux articles 15 du règlement (Droit d’accès), 16 (Rectification et effacement), 18 (Droit à la limitation du traitement) et 21 (Droit d’opposition), « dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités » (Article 89 du règlement) ;
     
  • Le traitement de données personnelles obtenues dans le cadre d'une activité couverte par le secret professionnel : les Etats membres peuvent adopter des règles spécifiques « afin de définir les pouvoirs des autorités de contrôle à l'égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l'Union ou du droit d'un Etat membre, à une obligation de secret professionnel » (Article 90 du règlement).
 
Outre le chapitre IX précité, le règlement européen comporte plusieurs autres renvois au droit des Etats membres, pour compléter les règles existantes. C’est notamment le cas : 
 
  • Des conditions applicables au consentement des enfants : selon le règlement, le traitement des données personnelles relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Le RGPD précise que les Etats membres peuvent prévoir par la loi un âge inférieur pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans (Article 8 du règlement) ;
     
  • Des données concernant la santé (dont la définition est d’ailleurs élargie par le règlement) : « Les Etats membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé » (Article 9 du règlement) ;
 
  • Des données relatives aux condamnations pénales et aux infractions : le RGPD prévoit que le traitement de telles données « ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un Etat membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées » (Article 10 du règlement) ;
     
  • Des traitements effectués dans le cadre d’une mission d’intérêt public : les Etats membres peuvent décider « que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable » à la mise en place de tels traitements (Article 36 du règlement) ;
     
  • De l’étendue des pouvoirs de l’autorité de contrôle : chaque Etat membre peut prévoir par la loi que son autorité de contrôle dispose de missions ou de pouvoirs additionnels à ceux visés au RGPD (Article 58 du règlement) ;
     
  • Des voies de recours : le RGPD permet aux personnes dont les données ont été collectées de mandater des organismes, organisations ou associations afin d’introduire une réclamation en leur nom devant l’autorité de contrôle et d’obtenir réparation de leur préjudice. Là encore le règlement prévoit que les Etats membres pourront préciser l’étendue des pouvoirs de ces organismes, et ce indépendamment de tout mandat (Article 80 du règlement) ;
     
  • Des sanctions applicables en cas de violation : les Etats membres devront déterminer le régime de sanctions de certains manquements, qui doivent être « effectives, proportionnées et dissuasives », et prendre toutes les mesures nécessaires pour garantir leur mise en œuvre (Article 84 du règlement).
 
Les Etats membres devront notifier à la Commission certaines des règles ainsi adoptées en dérogation ou précision du règlement, au plus tard le 25 mai 2018.
 
Outre ces amendements pouvant être induits par les renvois aux droits nationaux expressément visés par le texte, d’autres adaptations (ajouts ou suppressions) à la Loi du 6 janvier 1978 devraient être envisagées par le législateur français, notamment pour tenir compte des incompatibilités ou des redondances de celle-ci avec le règlement.   
 
C’est le cas par exemple des définitions (Article 4 du règlement), des dispositions relatives aux droits et consentement des personnes dont les données sont collectées (Article 7 du règlement, article 12 et suivants), des principes à respecter relatifs aux traitements et à la licéité de ceux-ci (Art. 5 et suivants du règlement) ou encore des règles sur les obligations des responsables de traitements (Art. 12 et suivants). 
 
Enfin, devront être prises en compte les dispositions de la directive européenne dite « police-justice » adoptée le même jour que le règlement du 27 avril 2016, applicable aux traitements en matière de sécurité publique et de recherche et répression des infractions pénales.  Cette directive qui doit être transposée en droit français a pour but de faciliter l'échange d’informations entre les autorités policières et judiciaires nationales, tout en garantissant des droits aux personnes concernées par la collecte et le traitement de leurs données personnelles.


--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

(1)Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données, dit « RGPD »)

(2)Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
 
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Donatienne Blin 
Avocat à la Cour
SEA AVOCATS
153 rue de Rome 75017 Paris 
 

APPLIS DE SANTÉ : La HAS s'empare du réglement européen

La Haute Autorité de Santé (HAS) a élaboré, avec l’aide de la CNIL, un référentiel de bonnes pratiques visant à aider les concepteurs d’applications et d’objets connectés de santé à respecter les réglementations en vigueur. L’analyse de ce référentiel traduit une volonté d’anticiper l’application du Règlement européen sur la protection des données personnelles, prévue pour mai 2018.

Le marché de la santé mobile est en plein essor. Le nombre d’applications mobiles de santé disponibles ne cesse de croître. Et pour cause, la santé connectée présente de nombreux avantages, que ce soit en termes de progrès médical grâce à l’exploitation du Big Data ou de médecine préventive grâce au rôle actif du patient dans sa prise en charge.

L’image d’un individu acteur de sa santé entre cependant encore trop souvent en conflit avec celle d’un individu acteur de la protection de ses données personnelles.

En effet, que l’ « appli santé » ait une finalité médicale déclarée ou qu’elle se dise simplement « de bien être », elle conduira très certainement à la collecte de données renseignant directement ou indirectement sur l’état de santé de l’utilisateur. Face à l’hétérogénéité des applications disponibles, il n’est alors pas étonnant que l’utilisateur s’interroge sur leur qualité, leur fiabilité et l’existence de risques pour la confidentialité et la sécurité de leurs données.

Cette méfiance est légitime, dès lors qu’aucune règlementation spécifique ne vient encadrer le développement des applications, et que les dispositions légales et règlementaires existantes en matière de dispositifs médicaux, de protection des données personnelles et d’hébergement de données de santé ne suffisent pas à traiter toutes les problématiques soulevées par les « applis santé ».

Consciente de ce problème, la Haute Autorité de Santé (HAS) s’est donné pour objectif de proposer un guide technique à destination des industriels et des évaluateurs, afin de garantir ainsi la conception et la mise sur le marché d’applications et d’objets connectés (OC) de santé fiables, performants, sécurisés et ergonomiques.

Ce référentiel de bonnes pratiques 1, fruit d’une étroite collaboration de la HAS, de la CNIL et de l’ANSSI 2, a vu le jour en octobre 2016. Il concerne les seules applications et OC n’ayant pas de finalité médicale déclarée, et non ceux soumis au régime du marquage CE en tant que dispositifs médicaux.

Non-contraignant, ce référentiel n’a pas vocation à se substituer à la règlementation existante, mais plutôt à proposer des clés concrètes pour une application correcte des dispositions légales en vigueur.

En matière de données personnelles, la HAS, poussée par la CNIL, va encore plus loin : elle anticipe l’entrée en vigueur du Règlement sur la protection des données personnelles du 27 avril 2016 3, en édictant des bonnes pratiques s’inspirant directement des nouveaux principes consacrés par ce texte.
 

L’ANALYSE D’IMPACT


La HAS recommande aux concepteurs de réaliser en amont du développement de l’application ou de l’OC, une analyse de la menace pesant sur le produit, en termes de sécurité. Cette analyse - du type EBIOS 4 - permettrait d’identifier les données sensibles manipulées par le produit et les mesures de sécurité propres à couvrir les risques pesant sur leur confidentialité, leur intégrité et leur disponibilité, afin « d’ajuster le curseur sécurité au bon niveau ».

En édictant cette bonne pratique, la HAS fait manifestement écho à la pratique de l’ « Etude d’Impact sur la Vie Privée » (EIVP) récemment consacrée par le Règlement européen. Cette nouvelle pratique – qui aurait dans certains cas vocation à se substituer aux formalités déclaratives existantes – impose en effet au responsable de traitement projetant la réalisation d’un traitement à risque, d’effectuer, préalablement à la mise en oeuvre du traitement, une auto-évaluation des risques que présente son projet sur la vie privée des individus.


LA MINIMISATION DES DONNÉES


La HAS rappelle que les données collectées par l’application ou l’OC ne peuvent excéder celles nécessaires à la destination d’usage du produit, c’est à dire indispensables à la réalisation des finalités préalablement déterminées. Certes, les principes de pertinence, de proportionnalité et de finalité existent déjà dans la Loi Informatique et Libertés 5, mais la HAS fait ici explicitement référence au principe de minimisation des données, consacré par le Règlement européen, en vertu duquel le responsable de traitement ne doit pas collecter plus de données que nécessaires.


LE CONSENTEMENT EXPLICITE


Le référentiel de bonnes pratiques s’inspire de la nouvelle définition du consentement donnée par le Règlement européen en imposant le recueil du consentement préalable explicite de l’utilisateur de l’application ou de l’OC, pour l’utilisation de ses données. L’influence du Règlement est encore perceptible à travers l’obligation faite au concepteur de mettre l’utilisateur en mesure de modifier et retirer son consentement à tout moment.
D’un point de vue pratique, la HAS affirme que le consentement exprimé via l’acceptation de Conditions Générales d’Utilisation (CGUs) ne permet pas la mise en oeuvre concrète de ces droits de l’utilisateur, dans la mesure où cette acceptation n’intervient que lors de la première utilisation. La mise en oeuvre d’éléments de réglages modifiables doit donc être favorisée.
 

LE DROIT A L’OUBLI


Le principe phare du Règlement européen, le droit à l’oubli, n’est pas en reste. La HAS anticipe son application en invitant le concepteur d’une part à préciser la durée de conservation nécessaire à l’accomplissement des finalités et à ne pas la dépasser ; et d’autre part à mettre l’utilisateur en mesure – via un élément de réglage – d’exercer son droit de corriger et d’effacer ses données à tout moment, même si la durée de conservation n’est pas écoulée.


LE PRIVACY BY DESIGN


Sur l’autel de la sécurité et de la confidentialité, la HAS sacrifie l’appli santé ou l’objet « hyper connecté ».

La HAS relève que certains produits peuvent avoir accès à des fonctionnalités du smartphone contenant une quantité importante de données personnelles. Nombreuses sont en effet les applications qui demandent, pour fonctionner de manière optimale, un accès aux e-mails, carnet d’adresses, calendriers, historiques de navigations, photographies et films stockés, préférences du système, géolocalisation, microphone, caméras, etc. Similairement, la HAS envisage le cas – fréquent – où l’application ou l’OC prévoit de partager les données qu’il gère avec d’autres applications ou OC, ou sur des réseaux sociaux.

Or, le principe de loyauté en matière de protection des données personnelles suppose que l’utilisateur soit en mesure de donner son consentement éclairé, après avoir reçu une information explicite, à l’accès ou au partage par l’application ou l’OC d’informations sensibles.

Pour la HAS, applications et OC doivent donc être conçus d’une manière telle que ces accès et partages soient par défaut impossibles, et que leur mise en oeuvre soit subordonnée à une autorisation expresse de l’utilisateur. L’application ou l’OC pourrait ainsi proposer à l’utilisateur d’approuver une notification ou d’effectuer un réglage spécifique avant l’utilisation par le produit concerné de la caméra, de la géolocalisation ou tout autre contenu de son smartphone. De même, s’agissant du partage des données, l’application ou l’OC pourrait prévoir une zone de réglage permettant à l’utilisateur de sélectionner les applications et réseaux sociaux pour lesquels il accepte la diffusion de ses données.

La HAS précise en outre que le concepteur doit prendre en compte les droits de l’utilisateur de modifier son consentement et de corriger et d’effacer ses données personnelles à tout moment, en prévoyant des éléments de réglage lui permettant de gérer son consentement et ses données.

Au final, la HAS recommande donc aux concepteurs d’application et d’OC d’intégrer, dès la conception du produit (built-in) et avant sa mise en circulation, des fonctionnalités permettant le respect des principes clés de la protection des données personnelles et notamment des principes d’information, de consentement exprès, explicite et révisable à tout moment, et de droit à l’oubli.

Ce faisant, la HAS procède à une application anticipée des principes de Privacy by Design et de Privacy by Default consacrés par le Règlement européen qui imposent de prendre en compte le respect de la vie privée et de la protection des données dès les premières phases de conception des technologies et de paramétrer ces technologies de manière à garantir par défaut le plus haut niveau de protection des données.

La référence au principe du Privacy By Design est d’ailleurs explicite. La HAS souligne en effet la criticité de son respect par les développeurs, notamment afin d’assurer la loyauté de l’application.
 

LA SÉCURITÉ RENFORCÉE


Pour la HAS, le Privacy by Design s’applique aussi aux mesures de sécurité, qui doivent être prises en compte dans les spécifications même de l’application ou de l’OC afin de protéger la confidentialité et l’intégrité des données.

La conception de l’application ou de l’OC devrait ainsi intégrer des « fonctions de sécurité » telles que l’authentification des utilisateurs (en cas d’échanges de données entre l’application et des services distants), la pseudonymisation (qui consiste à masquer l’identité réelle de l’utilisateur en y associant un pseudonyme) ou encore l’anonymisation (obligatoire en cas de transmission de données de santé à des fins de statistiques).

La HAS préconise également le recours au chiffrement, que ce soit pour sécuriser les données faisant l’objet d’un transfert ou pour protéger les données stockées sur le terminal ou sur les serveurs distants. Cette technique permettant en effet de garantir la confidentialité des données en cachant leur substance : les données chiffrées n’apparaîtront sous leur forme d’origine que si elles sont déchiffrées à l’aide de la bonne clé. Le recours à des services de cryptographie robustes, connus et éprouvés devra être privilégié par le concepteur, le développement de ces fonctionnalités étant particulièrement difficile.

Ces bonnes pratiques s’inspirent directement des mesures de sécurité renforcées dont le Règlement européen préconise la mise en oeuvre.


LA NOTIFICATION DES FAILLES DE SÉCURITÉ


La HAS explique enfin, qu’en cas de survenance d’un incident de sécurité ou d’une violation des données, l’éditeur de l’application ou le concepteur de l’OC devra faire preuve de transparence et en alerter les autorités compétentes et les utilisateurs. Elle recommande alors au concepteur de mettre en place, au stade de la conception (Privacy By Design), un processus de signalement lui permettant de remplir cette obligation de notification. Une application pourrait ainsi, selon la HAS, adresser une notification à l’utilisateur pour mettre à jour l’application suite à une faille de sécurité.

L’influence du Règlement européen est ici indiscutable : la bonne pratique édictée par la HAS est une application pratique directe de l’obligation de notification des failles de sécurité instaurée par le Règlement.



Si le guide n’a pas de portée contraignante, il invite les concepteurs d’applications et d’OC à se mettre dès aujourd’hui en conformité avec le Règlement Européen qui leur sera directement applicable, sous peine de sanctions, à compter de son entrée en vigueur le 6 mai 2018.

Dans l’intervalle, le référentiel de la HAS sera complété par un code de conduite établi par la Commission Européenne destiné à aider les concepteurs d’applications de santé à respecter la législation européenne en matière de données personnelles avec des conseils et exemples concrets

Par Marion Barbezieux et Hervé Gabadou, avocats, et Agnès Morel, stagiaire chez SEA AVOCATS.


1Référentiel de bonnes pratiques sur les applications et les objets connectés en santé (Mobile Health ou mHealth) de la Haute Autorité de Santé, Octobre 2016
2 Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)
3 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
4 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode de gestion desrisques SSI de l'ANSSI.
5 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 6.

Un guide de protection des données personnelles publié par l’AFNOR dans la perspective du Règlement européen en matière de protection des données personnelles

Avril 2016 : Le Règlement européen sur la protection des données enfin adopté

Hier qualifiée de « tâche herculéenne », la refonte de la régulation européenne en matière de données personnelles porte désormais l’étiquette « mission accomplie ».

Après quatre années de dur labeur, l’adoption définitive du règlement européen sur la protection des données personnelles, suite au feu vert des députés européens le 14 avril, marque un tournant décisif pour la protection des données en Europe.

La directive de 1995 sur la protection des données – dont la concomitance avec l’émergence du World Wild Web lui confère un certain caractère archaïque – et le patchwork de législations nationales qui en est résulté laissera désormais place à un cadre juridique unique, applicable dans l’ensemble des Etats membres de l’Union Européenne.

Gage de sécurité juridique et de protection élevée des données personnelles, le règlement européen ne néglige aucun acteur :
 
  • Au citoyen, le règlement octroi une maîtrise plus effective de ses données personnelles au moyen d’un renforcement de ses droits. Au sein du catalogue des droits des individus consacré par le règlement européen figurent ainsi l’incontournable droit à l’oubli – c’est-à-dire le droit de l’individu à l’effacement de ses données personnelles lorsqu’il ne souhaite plus que celles-ci soient traitées, sauf existence d’un motif légitime à leur conservation – ainsi que le droit de transmettre facilement ses données personnelles à un autre fournisseur de services (par exemple, pour changer de fournisseur de messagerie sans perdre ses précédents courriels), mieux connu sous le vocable « droit à la portabilité ». Mais le règlement européen permettra aussi aux personnes de mieux contrôler leurs données en leur donnant le droit d’être informés préalablement au traitement de leurs données, en des termes clairs, accessibles et précis – ce qui devrait mettre fin aux politiques de confidentialité en caractères illisibles – et en imposant préalablement à tout traitement le recueil de leur consentement clair et explicite, c’est-à-dire donné de manière active (une case à cocher par exemple). L’élargissement des droits des individus repose enfin sur la reconnaissance du droit d’être informé en cas de piratage de ses données (via l’obligation de notification des failles de sécurité imposée aux entreprises), l’établissement de limitations claires au recours au profilage (les techniques de profilage ne sont autorisées que si la personne y consent, la loi le permet, et si elles ne se basent pas uniquement sur un traitement automatique de données mais implique une évaluation menée par l’homme), ou encore la consécration d’une protection spécifique pour les mineurs (nécessité d’une autorisation parentale préalable à l’ouverture d’un compte sur les réseaux sociaux).

  • Les entreprises, quant à elles, bénéficieront du système centralisé mis en place par le règlement européen, qui simplifiera leurs échanges intra-communautaires en leur permettant de n’avoir à faire face qu’à une autorité de surveillance unique, et non 28. Elles se réjouiront, par ailleurs, de la simplification des formalités et de la mise à disposition d’une boîte à outils de conformité (code de conduite, certifications), mises en place par le règlement. Elles sont enfin encouragées à faire preuve d’innovation, en développant des technologies dont les fonctionnalités sont conçues de manière à protéger les droits des individus et notamment à ne collecter que les données indispensables au regard des finalités poursuivies, conformément au principe de Privacy by Design (« protection de la vie privée dès la conception ») consacré par le règlement.

  • Aux autorités de protection, le règlement européen confère un pouvoir de sanction plus important, en leur donnant la possibilité de prononcer des sanctions administratives pouvant atteindre 4% du chiffre d’affaires mondial de l’entreprise en cause. Le règlement européen entend également renforcer l’intégration et la coopération entre les autorités de protection. Pour ce faire, il prévoit que ces dernières pourront prendre des décisions conjointes (visant par exemple, à prononcer une sanction, ou à déclarer un organisme conforme). Mais surtout, il instaure un nouvel organe européen indépendant, successeur du G29, chargé d’arbitrer les différends entre les autorités et d’élaborer une doctrine européenne : le Comité Européen de la protection des Données (CEPD).

L’entrée en vigueur du règlement, qui interviendra 20 jours après sa publication – prochaine - au Journal officiel de l’Union Européenne, sonnera le début d’un compte à rebours de deux ans, durée dont disposent les entreprises pour se mettre en conformité avec le Règlement. A l’issue de cette période de deux ans, les dispositions du Règlement seront effectivement directement applicables dans les Etats membres de l’Union. Les entreprises confrontées au défi de la mise en conformité sont donc encouragées à amorcer, dès aujourd’hui, le processus de transition.

Marion Barbezieux
Avocat à la Cour
SEA Avocats – Département Industries de l’Intelligence

Octobre 2011 : Modifications substantielles de la loi Informatique et Libertés : Journal des sociétés, Oct. 2012 n°91, p.52, par Donatienne Blin

Modifications substantielles de la loi Informatique et Libertés : Journal des sociétés, Oct. 2012 n°91, p.52, par Donatienne Blin

Protection des données personnelles et BIG DATA

Mars 2018 : Protection des données personnelles - Les gestionnaires de flotte doivent s'imprégner de l'esprit du nouveau texte

Le 25 mai prochain, le RGPD (ou GDPR), nouveau règlement européen sur la protection des donnéess personneles, entrera en vigueur. Un dispositif que les gestionnaire de parc doivent comprendre afin de procéder à d'éventuels ajustements dans leurs pratiques quant à l agestion des données personelles des conducteurs... Le prix de la sérénité, selon l'avocat spécialisé Hervé Gabadou.

Février 2017 : Les recommandations de la CNIL en matière de mots de passe

Alors que l’accès à de nombreux services est conditionné à l’utilisation de mots de passe, et dans un contexte de menace accrue sur la sécurité des données, la CNIL adopte une recommandation sur les mots de passe pour garantir un niveau de sécurité minimal en la matière. Elle met également des outils pratiques à disposition des professionnels et des particuliers...

Septembre 2016 : L’adoption de la directive NIS (Network and Information Security) par Donatienne Blin, Avocat, SEA AVOCATS

La directive NIS 1 (Network and Information Security) a été adoptée le 6 juillet 2016 par le Parlement européen et le Conseil. Les Etats membres auront jusqu’au 9 mai 2018 pour la transposer dans leur droit national.

Ce texte intervient dans un contexte où la fréquence et l'impact des incidents de cybersécurité dont les entreprises sont victimes ne cessent de croître.

Selon la directive, une perturbation des réseaux et des systèmes, qu'elle soit intentionnelle ou non et indépendamment du lieu où elle se produit dans un état membre, pourrait avoir des conséquences sur l’ensemble des autres états membres.

L’objectif de la directive est donc d’établir des mesures harmonisées visant à assurer dans l’Union un niveau élevé et commun de sécurité des réseaux et des systèmes d’information.

La transposition de la directive sera assurée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) avec l’aide de l’ENISA (Agence européenne chargée de la sécurité des réseaux et des systèmes d’information).

En synthèse, les principaux apports de cette directive sont les suivants :

-    La désignation d’ « Autorités nationales compétentes » et d’un « point de contact unique »

Les états membres devront désigner une ou plusieurs autorités nationales spécialisées en matière de sécurité des réseaux et des systèmes d'information.

En France, c’est l’ANSSI, créée par décret le 7 juillet 2009, qui est prévue pour assurer cette fonction.

Les états devront également désigner un « point de contact national unique ». Celui-ci devra exercer une « fonction de liaison pour assurer une coopération transfrontalière entre les autorités des États membres », ainsi qu'avec le « Groupe de coopération » et le « Réseau des CSIRT » (cf. ci-dessous).

Les états membres rendront publique la désignation de l'Autorité nationale compétente et du point de contact unique.

-    La création d’un « Réseau de centre de réponse aux incidents de sécurité informatiques » (CSIRT)

Chaque état membre devra désigner un ou plusieurs CSIRT. En France, c’est le CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) qui assurera cette fonction.

Le « Réseau des CSIRT» devra contribuer au renforcement de la confiance entre les États membres et « promouvoir une coopération rapide et effective au niveau opérationnel ».

Les CSIRT seront notamment chargés de la gestion des incidents (ils recevront les notifications) et des risques selon un processus défini. Ils auront également pour tâche d’aider les états membres à faire face aux incidents transfrontaliers, de publier des lignes directrices pour « faciliter la convergence des pratiques opérationnelles entre les différents états ».

Ils devront enfin avoir accès « à une infrastructure d'information et de communication adaptée, sécurisée et résiliente au niveau national ».

Le secrétariat du réseau des CSIRT tiendra à jour un site internet mettant à la disposition du public des informations générales sur les principaux incidents qui sont survenus dans toute l'Union.

-    La création d’un « Groupe de coopération » :

Ce Groupe doit réunir les représentants des états membres, de la Commission et de l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA).

Il aura pour mission de « soutenir et de faciliter la coopération stratégique entre les États membres », de faciliter l’échange d’information et de renforcer la confiance mutuelle.

A titre d’exemple, ce Groupe aidera les états membres à suivre une approche cohérente dans le processus d'identification des opérateurs de services essentiels. Il sera chargé de fournir des orientations stratégiques, d’évaluer les stratégies nationales mises en place par les états membres en matière de sécurité, ou encore plus généralement d’échanger sur les bonnes pratiques dans le domaine de la sécurité informatique.

-    Des exigences de sécurité spécifiques et renforcées pour les « Opérateurs de services essentiels » et les « Fournisseurs de services numériques »

Selon la directive, les « Opérateurs de services essentiels » sont des opérateurs publics ou privés qui (i) fournissent « un service essentiel au maintien d'activités sociétales et/ou économiques critiques », (ii) qui sont « tributaires des réseaux et des systèmes d'information », et (iii) pour lesquels « un incident aurait un effet disruptif important sur la fourniture du service ».

En France, cette définition est proche de celle d’ « Opérateurs d’importance vitale » (OIV) déjà prévue dans la loi de programmation militaire du 19 décembre 2013, et dont les entités y répondant sont soumises à des obligations de sécurité spécifiques.

Les secteurs concernés sont l’énergie, les transports, les banques et infrastructures de marchés financiers, la santé, les fournisseurs d’eau potable et les infrastructures numériques.   

Chaque état doit les identifier et constituer une liste, qui devra être mise à jour tous les deux ans.

Les « Fournisseurs de services numériques » relevant de la directive « sont ceux qui sont considérés comme offrant des services numériques sur lesquels de nombreuses entreprises de l'Union s'appuient de plus en plus ». Il s’agit précisément des marchés en ligne (site d’e-commerce comme Amazon), des moteurs de recherche et des fournisseurs de services Cloud.

Les Opérateurs de services essentiels et les Fournisseurs de services numériques devront mettre en œuvre les mesures techniques et organisationnelles renforcées pour prévenir les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent dans le cadre de leurs activités.

Ils seront également astreints à une obligation de notification à l'Autorité compétente ou au CSIRT.

Les exigences imposées aux fournisseurs de services numériques seront moins contraignantes que celles applicables aux opérateurs de services essentiels.

-    La définition d’une « Stratégie nationale »

La directive prévoit un renforcement des obligations de sécurité imposées aux états membres. Elle impose notamment à chaque état la création d’une « stratégie nationale en matière de sécurité des réseaux et des systèmes d'information ».

Cette stratégie doit notamment inclure les objectifs et priorités de la stratégie, un cadre de gouvernance, l'inventaire des mesures en matière de préparation, d'intervention et de récupération, un plan d'évaluation des risques, ou encore la liste des acteurs chargés de la mise en œuvre de la stratégie nationale.

En France, la « stratégie nationale pour la sécurité du numérique » a fait l’objet de travaux interministériels coordonnés par l’ANSSI. Cette stratégie nationale a été publiée le 16 octobre 2015.

1- Directive (UE) 2016/1148 du parlement européen et du conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'union

Donatienne Blin, Avocat,
SEA AVOCATS

Juin 2016 : Brève : campagne de contrôles de la CNIL

Comme chaque année, la CNIL prévoit de dédier une part significative de son activité de contrôle à des thèmes sélectionnés en raison de leur impact sur les libertés individuelles et du nombre important de personnes concernées.
 
En 2015, la CNIL s’était notamment concentrée sur les thèmes suivants : le paiement sans contact ; les outils de mesure de fréquentation des lieux publics ; les objets connectés « bien-être et santé » ; les « Binding Corporate Rules » (BCR). Pour l’année 2016, la CNIL a indiqué qu’elle réalisera entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne, tant dans le secteur public que privé. Les thématiques retenues pour ce programme de contrôle concernent des traitements portant sur la vie quotidienne des personnes. Précisément, la CNIL a indiqué que ses contrôles porteront sur les thèmes suivants :
 
-          Les courtiers en données (Data Brokers) : Les entreprises utilisent toujours des données personnelles pour maximiser leur rentabilité et améliorer leurs performances commerciales, en analysant les centres d’intérêts de leurs clients, leur comportement, leurs habitudes. La commercialisation de ces données revêt une importance majeure. La CNIL s’intéressera plus particulièrement aux intermédiaires faisant le lien entre les organismes collectant des données personnelles, et ceux les utilisant dans le cadre de leur activité économique. Le profilage, de plus en plus fin et pertinent, réalisé à partir de ces données constitue l’enjeu majeur de la protection de la vie privée du 21ème siècle, selon la CNIL. Il s'agira notamment pour la CNIL de veiller au respect des obligations de pertinence des données et d'information des personnes, de consentement et de respect des droits prévus par la loi Informatique et Libertés et, enfin, de sécurité.
 
-          Le SNIIRAM : cette base de données contient les données « pseudonymisées » relatives aux demandes de remboursements de frais de santé. Les données collectées sont l’âge et le sexe du patient, le diagnostic de l’affection longue durée, la commune et le département de résidence, la date de décès ou encore les soins remboursés. Les contrôles permettront de vérifier la conformité des traitements de données mis en œuvre avec l’ensemble des dispositions de la loi Informatique et Libertés, notamment la sécurité des données et la réalité de la pseudonymisation de ces dernières.
 
-          Le fichier API-PNR : il s’agit du fichier de contrôle des déplacements aériens et sert notamment à la lutte contre le terrorisme ou le trafic de drogue.
 
Rappelons qu’en matière de données personnelles, l’année 2015 a notamment été marquée par le nombre record de plaintes enregistrées par la CNIL et par l’adoption du règlement européen sur la protection des données personnelles.  La CNIL connait donc une forte activité et va voir ses pouvoirs élargis suite à la réforme européenne.

Accord de l'Union Européenne sur la protection des données personnelles sur internet

Après des années de négociation, les instances européennes sont parvenues, ce 15 décembre, à un compromis sur le règlement européen en matière de protection des données personnelles. Destiné à harmoniser les législations nationales existantes en matière de données personnelles, ce règlement  s’appliquera directement dans les Etats-Membres à partir de début 2017.

Ses mesures phares prévoient notamment :
  • Le droit à l’oubli, c’est-à-dire la possibilité pour tout citoyen européen de demander la suppression et de déréférencer des données non-pertinentes le concernant ;
  • La portabilité des données, c’est-à-dire la possibilité de demander le transfert de leurs données d’une plateforme à une autre ;
  • L’obligation faites aux entreprises de signaler aux régulateurs nationaux, sous trois jours et sous peine d’amende, toute fuite de donnée dont elle serait victime ;
  • L’obligation, pour les moins de 16 ans, d’obtenir une autorisation parentale afin d’accéder à des services en ligne collectant des données personnelles tels que Facebook, Instagram ou SnapShat.

Surtout, les Autorités de Protection des Données nationales, telles que la CNIL, voient leur pouvoir de sanction largement renforcé, puisqu’elles pourront notamment infliger des amendes allant jusqu’à 4% du chiffre d’affaires mondial aux entreprises qui enfreindraient le règlement.

Le règlement européen s’appliquera à toutes les sociétés qui recueillent les données d’utilisateurs établis dans l’Union Européenne, quand bien même elle n’y seraient pas elles-mêmes établies.

 

Avril 2015 : La donnée personnelle et la transformation digitale, www.bmi-system.com, par Hervé Gabadou

La transformation numérique des industries des produits de santé a pour colonne vertébrale le double numérique de l’individu avec ses données.
De petits objets connectés ont fait intrusion dans sa vie pour lui permettre de gérer son bien-être.
En tant que patient, il devient plus acteur de sa santé. La technologie lui permet d’interagir désormais avec son médecin où qu’il se trouve.
En contrepartie, il se pose moins de questions quant à la protection de ses données.  Il n’hésite pas à les divulguer lui-même sur les réseaux sociaux.
Est-ce sans risques ?

Cette libération des données de bien-être et de santé, à des fins préventives, concerne-t-elle toutes les parties prenantes ? [...]

Par Hervé GABADOU
Acocat à la cour
SEA-AVOCATS

Septembre 2013 - La lutte contre la cybercriminalité : village-justice.com, Solutions IT & Logiciels, Monde du droit, par Donatienne Blin

Septembre 2013 - La lutte contre la cybercriminalité : village-justice.com, Solutions IT & Logiciels, Monde du droit, par Donatienne Blin

Octobre 2011 : Modifications substantielles de la loi Informatique et Libertés : Journal des sociétés, Oct. 2012 n°91, p.52, par Donatienne Blin

Modifications substantielles de la loi Informatique et Libertés : Journal des sociétés, Oct. 2012 n°91, p.52, par Donatienne Blin 

Propriété intellectuelle des actifs immatériels

Juin 2013 - Gare aux noms de domaine descriptifs !, Village de la Justice, par Marion Barbezieux

Gare aux noms de domaine descriptifs ! , Village de la Justice, par Marion Barbezieux

Mai 2013 - Clients de web-agency : un site Web appartient à celui qui l'a développé, Journal du Net, par Marion Barbezieux

Mai 2013 - Clients de web-agency : un site Web appartient à celui qui l'a développé, Journal du Net, par Marion Barbezieux

Site web et application mobile

Janvier 2016 : Affaire Le Bon Coin : précisions sur la responsabilité des plateformes collaboratives, par Marion Barbezieux

Affaire Le Bon Coin : précisions sur la responsabilité des plateformes collaboratives, par Marion Barbezieux

Janvier 2014 : Les nouveaux GTLD : enjeux et opportunités, Le Monde du Droit, Fiscal Online, Domaine.info

Les nouveaux GTLD : enjeux et opportunités, Le Monde du Droit, Fiscal Online, Domaine.info 

Mai 2013 - E-commerce : des CGV adaptées à chaque pays visé, Journal du Net, par Marion Barbezieux

E-commerce : des CGV adaptées à chaque pays visé, Journal du Net, par Marion Barbezieux

Avril 2010 : Le statut d'hébergeur refusé en application du critère économique, Gaz. Pal. Avr. 2012, juris. p.33. par Donatienne Blin

Le statut d'hébergeur refusé en application du critère économique, Gaz. Pal. Avr. 2012, juris. p.33. par Donatienne Blin

Intelligence Artificielle

Février 2018 : Quel droit pour l'Intelligence Artificielle ?

Acte 1 : L'IA: révolution ou évolution?

A la fois nouvel eldorado économique et source de questionnements existentiels sur le futur de l’humanité, l’Intelligence Artificielle (IA) inonde le débat public[1]. Ce « boom » actuel plonge ses racines au lendemain de la seconde guerre mondiale.

Après l’apparition des ordinateurs programmables dans les années 1940, c’est surtout la conférence de Dartmouth de 1956 qui a rendu possible le rêve – ou le cauchemar – de l’IA. Cet évènement fondateur donna à l’ « Intelligence Artificielle » son nom et ouvrit la porte à deux décennies de découvertes extraordinaires, à l’image du système-expert Mycin[2] permettant le diagnostic de maladies du sang.

Paralysée par des critiques d’ordre philosophique et par une puissance de calcul et un volume de données limités, l’IA connut un second souffle avec la diversification des systèmes experts et la banalisation de l’informatique. Grâce à l’émergence du Big Data et aux avancées technologiques, l’IA ne cesse de démontrer son potentiel. Et les GAFAM d’accroître leur domination entre R&D interne et rachats de start-up prometteuses…

Aujourd’hui, les spéculations sur les potentiels de l’IA se multiplient et le besoin d’encadrement juridique devient de plus en plus pressant.

L’Intelligence Artificielle reste pourtant difficile à définir, en raison de sa dimension technique irréductible. Pour faire simple, l’IA a pour ambition de répliquer les capacités cognitives de l’être humain (la mémoire, le langage, la motricité, l’indentification sensorielle, etc.).

Depuis les travaux d’Alain Turing, on distingue deux seuils d’intelligence artificielle : l’« IA générale » ou « faible », qui n’est qu’une intelligence rationnelle et la « super IA » ou « IA forte », pourvue d’intelligence émotionnelle et de conscience de soi[3].


1. L’Intelligence Artificielle dite « faible »

Le terme d’IA faible désigne les technologies reconstituant – et amplifiant – l’intelligence humaine rationnelle. L’objectif est de leur permettre d’exécuter de manière performante et autonome des tâches prédéterminées. La calculatrice par exemple, effectue à une vitesse fulgurante d’imposants calculs que l’homme serait parfois incapable de résoudre.

Initialement, les IA faibles se contentaient d’effectuer les missions pour lesquelles elles avaient été programmées. Aujourd’hui, elles sont de plus en plus sophistiquées : elles apprennent et évoluent, sous la supervision de l’homme ou par elles-mêmes, sans qu’une modification de leurs algorithmes ne soit nécessaire.

Cette mutation doit beaucoup au développement des techniques d’apprentissage automatique, elles-mêmes rendues possible par l’explosion du Big Data : les données sont le carburant des IA actuelles, ce qui a fait dire à Satya Nadella, CEO de Microsoft, « Data is the new electricity !».

La technologie du machine learning consiste ainsi à fournir au système une masse conséquente de données, que l’homme lui aura préalablement décrites et expliquées. A partir de ces exemples précalculés, l’IA est capable d’effectuer ses propres déductions, en affinant ses résultats à mesure qu’elle apprend de ses erreurs.

Plus poussé encore, le deep learning permet de se dispenser de l’étape de description du contenu des données par l’homme. Un algorithme perfectionné gère seul cette phase d’apprentissage. En contrepartie, le système est très gourmand en données : l’IA devra visionner et analyser plus d’un million de photos de chats pour être capable d’en reconnaître un toute seule.

La méthode du deep learning est ainsi à l’origine du développement des technologies de reconnaissance visuelle (Horus[4], Facebook Tag, etc.) ou sonore (Siri, Shazam, etc.). Demain, la voiture autonome, entièrement pilotée par l’IA, sera capable d’identifier en temps réel les obstacles sur sa route pour déterminer s’il faut ou non les éviter.

Finalement, l’IA est amenée à devenir omniprésente, comme l’illustre le système A.I Watson, développé par IBM. Depuis son apparition remarquée dans le jeu télévisé Jeopardy en 2011[5], IBM a renforcé sa plate-forme intelligente, repoussant les limites de ce que Watson peut faire. Elle propose aujourd’hui un portefeuille de plus de 25 APIs pouvant être exploitées par des développeurs dans des domaines variés, pour étoffer leurs applications.

Après une phase d’apprentissage, Watson pourra conseiller le meilleur investissement financier[6], assister un médecin dans la réalisation de diagnostics médicaux et le choix du traitement le plus adapté[7], accompagner un compositeur dans l’écriture d’une chanson[8], créer des recettes de cuisine[9] ou recruter le meilleur candidat pour un poste donné[10].

IBM se tourne aujourd’hui vers les objets connectés. Elle annonce des collaborations :

avec Whirpool pour créer de l’électroménager analysant les habitudes alimentaires,
avec Nokia pour un dispositif d’assistance aux personnes âgées chez elles,
ou avec Medtronic pour développer, via l’API Discovery, un système de monitoring du diabète et de prédiction de crises d’hypoglycémie.
Les start-ups ne sont pas en reste. Dans le domaine juridique, la « révolution » est menée aux Etats-Unis par Ross Intelligence et son assistant personnel autonome sur la recherche juridique et en France par Predictice et son outil d’analyse et de prédiction des décisions de justice.
 

2. L’Intelligence artificielle dite « forte »

Contrairement à l’IA faible, l’IA forte éprouverait des sentiments, une réelle conscience de soi, et comprendrait ce qui la pousse à faire telle ou telle action. On parlera de cognition artificielle : la machine pense !

Du film Westworld de 1973 à la série éponyme de 2016, qui immerge le spectateur dans un parc à thème peuplé de robots presque impossible à distinguer des humains, en passant par Blade Runner ou Ex-Machina, l’IA forte prend vie grâce à l’imagination des romanciers et cinéastes.

L’IA forte, si fascinante soit-elle, inquiète : certains, influencés par ces scénarios où la machine se rebelle toujours contre la société, y voient une « menace existentielle » pour la civilisation humaine[11]. Mais le « point de singularité technologique » n’est pas encore atteint[12], le robot tout-puissant demeurant une fiction.

L’IA est pourtant inéluctablement appelée, dans un futur proche, à se substituer aux individus dans l’exécution de multiples travaux. Chacun doit donc prendre conscience du besoin pressant de repenser les métiers et d’organiser la reconversion des actifs : il ne s’agit plus de former les individus à exécuter des tâches concurrentes à celles de l’IA, mais à devenir complémentaires de cette nouvelle Intelligence Artificielle.

Toute aussi impérieuse est la nécessité de réfléchir au cadre juridique dans lequel l’IA pourra se développer. Les problématiques juridiques soulevées par l’IA sont en effet nombreuses. Trois d’entre elles seront développées dans une trilogie à venir :

Le créateur de l’IA voudra protéger sa création et les éventuelles œuvres produites par celle-ci. Quelles réponses le droit de la propriété intellectuelle actuel peut-il alors lui apporter ?
L’IA se nourrit du Big Data. La règlementation applicable aux données personnelles sera-t-elle un frein à son développement ?
L’IA étant dépourvue de personnalité juridique, sur qui pèsera la responsabilité de l’erreur de prédiction ou de l’accident ?
A cette occasion, les concepts juridiques en vigueur seront confrontés à la technologie disruptive de l’IA. Si notre droit positif pourrait permettre d’appréhender et de réguler de manière satisfaisante les IA faibles d’aujourd’hui, l’émergence d’une IA forte bouleverserait cette certitude. Elle imposerait de définir une lex robotica à laquelle il faut dès aujourd’hui réfléchir[13].

Marion Barbezieux


[1] Dans la continuité du Rapport France IA remis au précédent gouvernement en mars 2007, le Premier Ministre a chargé le député Cédric Villani d’une mission ayant pour objectif de permettre au Gouvernement de fixer une stratégie publique en matière d’IA.

[2] Un système expert est un outil informatique d’IA, conçu pour simuler le savoir-faire d’un spécialiste, dans un domaine précis et délimité, grâce à l’exploitation de connaissances fournies par des experts.

[3] Le « test de Turing » (1950) mesure la capacité d’une machine à penser : pour être qualifiée d’IA forte, une machine doit, à l’issue de cinq minutes d’échanges, tromper plus de 30% de ses interlocuteurs en les amenant à penser qu’ils conversent avec un être humain et non une machine.

[4] Horus, le dispositif de reconnaissance visuelle crée par la start-up Eyra, décrit à son utilisateur malvoyant l'environnement où il évolue, lit des textes et reconnaît les visages.

[5] En moins de trois secondes Watson a été capable de comprendre la question posée, rechercher la réponse exacte, buzzer pour prendre la main et formuler cette réponse grâce à un système de synthèse vocale.

[6] Watson Financial Services : https://www.ibm.com/watson/financial-services/

[7] IBM met son IA Watson au service du traitement du cancer dans le cadre d’un accord avec le Memorial Sloan Ketting Hospital de New York. Grâce à l’API Discovery, Watson peut lire 20 millions de pages de publications médicales en 3 secondes. https://www.ibm.com/blogs/watson-health/watson-treatment-option/

[8] Avec ses outils Tone Analyser et Beat, Watson lui a fourni une liste d’inspirations qu’il a perçus comme tendance en analysant 26 000 chansons ainsi que les réseaux sociaux: https://www.ibm.com/watson/music/, https://tone-analyzer-demo.mybluemix.net/

[9] Chef Watson propose, à partir d’un aliment, une liste d’associations culinaires fondées sur des statistiques de synergie entre saveurs : https://www.ibmchefwatson.com/tupler

[10] Watson Talent Acquisition : https://www.ibm.com/watson/talent/talent-acquisition/. Similairement, l’entreprise Hire Vue propose aux entreprises un système de reconnaissance faciale capable de déceler les qualités recherchées chez un candidat. Depuis un an, l’entreprise Unilever a soumis 250 000 candidats à ce processus.

[11] Une partie de la communauté scientifique, avec Elon Musk pour chef de file, alerte sur les dérives de l’IA et plaide pour une régulation préventive. Dans une lettre ouverte du 27 juillet 2015, plus d’un millier de personnalités, dont Elon Musk, Stephen Hawking et Steve Wozniak, ont notamment réclamé l’interdiction des armes autonomes, capables « de sélectionner et de combattre des cibles sans intervention humaine ».

[12] Cette notion, envisagée depuis les années 1950, désigne le point au-delà duquel le développement des IA déclencherait des modifications imprévisibles (et dévastatrices) sur notre société, jusqu’à créer un super-intelligence dépassant de loin l'intelligence humaine.

[13] Tel est justement l’objet de la Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique (2015/2103(INL)), dont les pistes de réflexion méritent d’être approfondies.

Marché public informatique

Janvier 2016 : Affaire Le Bon Coin : précisions sur la responsabilité des plateformes collaboratives, par Marion Barbezieux

Affaire Le Bon Coin : précisions sur la responsabilité des plateformes collaboratives, par Marion Barbezieux

Janvier 2014 : Les nouveaux GTLD : enjeux et opportunités, Le Monde du Droit, Fiscal Online, Domaine.info

Les nouveaux GTLD : enjeux et opportunités, Le Monde du Droit, Fiscal Online, Domaine.info 

Mai 2013 - E-commerce : des CGV adaptées à chaque pays visé, Journal du Net, par Marion Barbezieux

E-commerce : des CGV adaptées à chaque pays visé, Journal du Net, par Marion Barbezieux

Avril 2010 : Le statut d'hébergeur refusé en application du critère économique, Gaz. Pal. Avr. 2012, juris. p.33. par Donatienne Blin

Le statut d'hébergeur refusé en application du critère économique, Gaz. Pal. Avr. 2012, juris. p.33. par Donatienne Blin

Droit du travail & numérique

PLEK : Le droit à la deconnexion

Le nouveau texte sur la Loi Travail intitulé « projet de loi visant à instituer de nouvelles libertés et de nouvelles protections pour les entreprises et les actif-ve-s » prévoit d’inclure un droit à la déconnexion dans le code du travail conformément aux recommandations du rapport Mettling.
Ce rapport a mis en lumière les dangers pour sur les salariés utilisant leurs outils numériques en dehors du temps de travail. Le projet de loi El Khomri (PLEK) anticipe et corrige l’impact du tout numérique. Il sensibilise les entreprises pour que soit assuré le respect des temps de repos et de congés des salariés. (Article 25)

 

LES PREMICES D’UNE REGULATION DES OUTILS NUMERIQUES


Aujourd’hui, la notion de droit à la déconnexion n’a pas d’existence propre dans le code du travail. Cependant, sous l’influence des nouvelles technologies, de nombreux employés, et notamment les cadres, restent connectés hors des heures de bureau. A ce jour, l’accord de branche des entreprises du numérique et du conseil (Syntec) est la seule à avoir validé ce droit. Dans son rapport, Monsieur Mettling, préconise la mise en place d’un devoir de déconnexion, dans les entreprises. Le DRH du groupe Orange insiste pour qu’il soit encouragé par la soft law (chartes, vademecum) et le dialogue social. Même si l’efficacité du travail s’est améliorée grâce au développement des outils numériques, l’utilisation intensive de ces technologies floute la frontière entre la vie professionnelle et la vie privée. Dans la pratique, de grands groupes ont déjà commencé à se pencher sur le sujet et à réguler l’usage de ces outils d’une manière qui reste plus ou moins ferme selon les entreprises.
 

LE PLEK ASSURE UN DROIT A LA DECONNEXION


Le texte du gouvernement  prévoit une discussion annuelle sur : 1/ les modalités d’exercice du droit à la déconnexion et 2/ sur la mise en place de dispositifs de régulation de l’utilisation des outils numériques. On note que ce sujet a été ajouté au contenu de la négociation annuelle sur l’égalité professionnelle entre femmes et les hommes et sur la qualité de vie au travail. Le gouvernement vise autant le respect des temps de repos et de congés que le respect de la vie personnelle et familiale. Par ailleurs, est mise en place une expérimentation nationale d’une durée de douze mois portant sur « l’articulation du temps de travail et l’usage raisonnable des messageries électroniques par les salariées » en dehors des heures de bureau. L’objet est d’élaborer des lignes directrices à destination des entreprises. Ces dispositions enteront en vigueur le 1 janvier 2017.
 

LE PLEK DONNE LA PAROLE A L’EMPLOYEUR


A défaut de pouvoir conclure un accord collectif, l’employeur établira unilatéralement les règles à mettre en place pour concrétiser ce droit à la déconnexion dans l’entreprise. Il définira lui-même ces modalités et les communiquera par tout moyen aux salariés. Dans les entreprises d’au moins cinquante salariés, une charte est prévue. La charte est élaborée après avis du comité d’entreprise ou à défaut, des délégués du personnel. Elle doit prévoir « notamment la mise en œuvre, à destination des salariés et du personnel d’encadrement et de direction, d’actions de formation et de sensibilisation à un usage raisonnable des outils numériques ».
 

UNE SENSIBILISATION NECESSAIRE MAIS DELICATE


Le PLEK est pragmatique. Du fait de la spécificité des entreprises, il donne directement la possibilité de négocier et d’atténuer les inconvénients des nouvelles technologies. Les entreprises pourront ainsi adapter les pratiques du travail à l’ère du numérique et sensibiliser les managers et les salariés. Conforme au rapport Mettling, la mise en place de ce droit se base davantage sur une prise de conscience collective que sur des solutions contraignantes. En effet, la commission des affaires sociales a retiré l’amendement visant à introduire une sanction en cas de non-respect de ce droit par un employeur. Cependant, le succès de la mesure n’est pas assuré, puisque à l’heure du « tout connecté », du travail à distance et du travail hors salariat, la frontière d’utilisation risque d’être difficile à tracer. C’est pour toutes ces raisons que le droit à la déconnexion doit être co-construit entre entreprise et salariés. 

Avril 2013 - L'encadrement juridique de l'utilisation de leurs équipements personnels par les salariés : www.indicerh.net, www.solutions-logiciels.com, www.info-utiles.com, par Donatienne Blin

L'encadrement juridique de l'utilisation de leurs équipements personnels par les salariés : www.indicerh.net, www.solutions-logiciels.com, www.info-utiles.com, par Donatienne Blin

Médiation, contentieux et expertise informatique

Février 2010 : Publier les moyens d'exploiter la vulnérabilité d'un SI constitue un délit : Gaz. Pal. Fév.2010, juris p.32 par Donatienne Blin

Publier les moyens d'exploiter la vulnérabilité d'un SI constitue un délit : Gaz. Pal. Fév.2010, juris p.32 par Donatienne Blin 

Juillet 2009 : L'accès aux codes sources : Gaz. Pal. Juil. 2009, juris p.37 par Donatienne Blin

L'accès aux codes sources : Gaz. Pal. Juil. 2009, juris p.37 par Donatienne Blin

Données personnelles de santé

Mars 2018 : Hébergement de données personnelles de santé : publication du décret précisant les modalités de la nouvelle procédure de certification

Novembre 2017 : Renforcement des contraintes de cybersécurité des données de santé : entrée en vigueur du dispositif de déclaration des incidents de sécurité

Les établissements de santé sont fréquemment la cible d’opérations de cyberterrorisme. Si la France n’a pas encore connu d’attaque de grande ampleur, les pirates ont eu raison des systèmes d’information d’un hôpital américain en février 2016, et d’une dizaine d’établissements de santé britanniques en mai 2017. Un ransomware avait paralysé ces établissements en bloquant et rendant illisibles leurs fichiers dans l’attente du versement d’une rançon. 

Les ravages causés par ces actes de malveillance sont considérables : au-delà de la gestion économique de l’établissement, c’est toute l’organisation des soins qui se trouve bouleversée et la vie des patients qui est mise en danger.

A la menace grandissante des techniques de piratage de plus en plus perfectionnées s’ajoutent les risques sécuritaires inhérents à une santé qui se digitalise. La dématérialisation des données de santé et l’interconnexion des systèmes d’information des acteurs de santé accroît nécessairement l’exposition de ces systèmes aux dysfonctionnements et failles de sécurité. La sécurisation des systèmes d’information (SI) des établissements de santé devient de facto une préoccupation majeure.

Dans ce contexte, la récente mise en place du dispositif de signalement des incidents graves de sécurité des SI de certaines structures de santé, instauré par la Loi de modernisation de notre système de santé du 26 janvier 2016(1), est bienvenue. 
Depuis le 1er octobre 2017, les établissements et organismes de santé concernés par le nouveau dispositif de signalement doivent ainsi déclarer les incidents de sécurité auxquels ils sont confrontés via un « portail de signalement des évènements sanitaires indésirables » accessible à l’adresse https://www.signalement.social-sante.gouv.fr.
 

Qui doit déclarer ?

Vous êtes concernés par ce dispositif si vous êtes :
  • un établissement de santé ;
  • un hôpital des armées ;
  • un centre de radiothérapie ;
  • un laboratoire de biologie médicale.
 

Quels incidents déclarer ?

Vous devez systématiquement déclarer sans délai les actions ou suspicions d’actions malveillantes ayant des conséquences potentielles ou avérées sur :
  • la disponibilité totale ou partielle de votre SI ; la disponibilité, l’intégrité ou la confidentialité des données de santé que vous traitez ; 
  • le fonctionnement normal de votre établissement, et notamment la prise en charge des patients et la sécurité des soins.

Pour s’assurer de la bonne exécution de cette nouvelle obligation de déclaration, les structures de santé pourront se faire accompagner par l’ASIP Santé, logiquement chargée de la mise en œuvre du dispositif de signalement.

A cette fin, l’ASIP Santé a créé en son sein une Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS) dédiée au traitement des incidents. 
Cette cellule ACSS a vocation à intervenir :
  • pour prévenir les failles de sécurité, en sensibilisant et informant les acteurs concernés sur les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Un espace documentaire et une cyber-veille sur les vulnérabilités des matériels et logiciels du secteur santé est ainsi mise à leur disposition via un portail dédié (https://www.cyberveille-sante.gouv.fr/);
  • pour réagir aux failles de sécurité, en réceptionnant les signalements, en aidant à la qualification de la criticité de l’incident, et au besoin, en accompagnant la structure pour la gestion de l’incident. 

Ce nouveau dispositif, qui s’inscrit dans la continuité de l’élargissement du champ de l’obligation de notification des failles de sécurité par le Règlement Européen sur la protection des données personnelles, poursuit des objectifs multiples(2). Il vise à partager des bonnes pratiques pour éviter la survenance de failles, à alerter plus efficacement les acteurs en cas de menace et à renforcer le suivi des incidents dans les structures de santé.

Surtout, il participe au mouvement de renforcement de la cybersécurité des données de santé, en ajoutant une brique supplémentaire aux corpus de contraintes sécuritaires s’imposant aux responsables de traitement de données de santé. 

Rappelons à ce titre que ces derniers ont déjà l’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé – et, à partir du 1er janvier 2019, à un tiers hébergeur certifié HDS(3). Ils sont encore tenus de respecter les exigences générales et principes fondamentaux de sécurité des SI de santé définis par l’ASIP Santé au sein de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).

Pour être efficace, le renforcement des contraintes de cybersécurité doit encore être couplé à une responsabilisation des acteurs du secteur. Tandis que les établissements de santé doivent adopter une démarche sécuritaire globale, tant sur le plan physique, logique, qu’organisationnel, les professionnels doivent prendre conscience de l’importance de préserver la sécurité du système (et notamment d’assurer la confidentialité de leurs identifiants) et adopter des automatismes en la matière. Les patients ne sont pas en reste : à eux de contrôler la mise en circulation de leurs données, notamment au profit des géants du numérique.

La sécurité informatique apparaît ainsi comme l’enjeu premier de la transformation numérique en matière de santé, où chacun à un rôle à jouer.

Marion Barbezieux

[1] Article L.1111-8-2 Code de santé publique.
[2]Le Règlement Européen impose à tout responsable de traitement de notifier à l’autorité de contrôle compétente (la CNIL) toute violation de données à caractère personnel, dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques (article 33). Le responsable de traitement devra également informer individuellement les personnes physiques concernées par une faille de sécurité dans les meilleurs délais lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés de cette personne (article 34).
[3]L’ordonnance n°2017-27 publiée le 12 janvier 2017 remplace, à compter du 1er janvier 2019, la procédure d’agrément délivrée par l’ASIP Santé par une procédure de certification par un organisme certificateur indépendant. Le changement de procédure renforce le niveau de sécurité des services d’hébergement de données de santé : les certifications ne sont délivrés qu’à l’issue d’un audit tant documentaire que sur site, sur la base d’un référentiel internationalement reconnu (ISO 27001 dans son intégralité, exigences issues de l’ISO 20000, de l’ISO 27018 et des exigences spécifiques santé). Elle offre ainsi davantage de confiance face à un agrément basé sur un audit déclaratif.

Traitement des données de santé : une nouvelle simplification des formalités préalables

Dans la perspective de l’entrée en vigueur du nouveau règlement européen sur la protection des données personnelles (RGPD), la CNIL vient d’annoncer une nouvelle simplification des formalités préalables obligatoires pour la mise en œuvre de certains traitements de données de santé.

Les données de santé de santé sont, rappelons-le, des données sensibles dont le traitement est par principe interdit. Lorsque ces traitements sont autorisés – parce que bénéficiant d’une exception légale – ils doivent, pour être licites, faire l’objet de formalités légales préalables (autorisation, déclaration normale, déclaration simplifiée, etc).

Or, la CNIL vient d’annoncer que les traitements de données de santé relevant des exceptions prévues à l’article 8 II de la loi Informatique et Libertés dont la mise en œuvre est aujourd’hui subordonnée à une autorisation de la CNIL, seront désormais soumis au régime de la déclaration.

Il s’agit notamment des traitements pour lesquels la personne concernée a donné son consentement exprès, ceux nécessaires à la sauvegarde de la vie humaine pour lesquels le consentement est impossible, les traitements portant sur des données rendues publiques, ou encore ceux relatifs à la médecine préventive, aux diagnostics médicaux, à l’administration de soins ou de traitements, ou à la gestion de services de santé. Les traitements statistiques et ceux nécessaires à la recherche, aux études et évaluation dans le domaine de la santé sont aussi concernés.

Cette vague de simplification avait été amorcée par la CNIL en 2016 par l’adoption des méthodologies de référence MR-001 et MR-003 simplifiant les formalités des traitements de données réalisés dans le cadre de nombreuses recherches dans le domaine de la santé. Elle concerne désormais de nombreux autres traitements, les dispositifs de télémédecine, les dossiers médicaux partagés ou encore les dispositifs d’éducation thérapeutique. Le régime de l’autorisation restera applicable aux traitements ne relevant pas des exceptions de l’article 8 II, mais présentant néanmoins un intérêt public.

Cette décision est bienvenue en ce qu’elle allège les démarches incombant aux responsables de traitements, favorisant ainsi l’innovation en matière de e-santé et évitant toute situation de blocage. Plus autonomes dans la mise en œuvre de leur traitement de données de santé, les responsables de traitements ne devront pas pour autant être moins vigilants quant à la protection des données traitées. Le respect des principes de Privacy by Design et de Privacy by Default, et la réalisation d’études d’impact sur la vie privée pour les traitements à risques s’inscrivent notamment au rang de leurs futures obligations.

A cet égard, la CNIL prévoir de diffuser « très prochainement de nouveaux outils clairs, synthétiques et accessibles au bénéfice de l’ensemble des professionnels de santé pour les accompagner dans la mise en œuvre de leurs traitements ».

L’article 47 du projet de loi de modernisation de notre système de santé, l’open data des données de santé ?

La révolution numérique concerne également le secteur de la santé.

Dans le prolongement du big data qui permet la valorisation des données collectées en masse, et de l’open data qui garantit le libre accès et la réutilisation des données d’origine publique par tous, l’article 47 du projet de loi relatif à la santé (dite « loi Touraine ») a introduit dans le Code de santé publique un titre intitulé « Mise à disposition des données de santé ».

Le gouvernement est parti du principe que les traitements liés à la collecte massive de données de santé par les professionnels de santé et l’analyse ciblée et intelligente de l’information en résultant pourraient permettre de mieux comprendre les pathologies, de déterminer les habitudes de consommation des médicaments, d’identifier les traitements qui fonctionnent et ceux qui sont inefficaces, d’orienter les axes de recherche dans le cadre des politiques de santé publique, ou encore de mieux gérer les dépenses de santé publique.

Avec cet article 47 « Mise à disposition des données de santé », l’objectif du gouvernement est donc de permettre l’exploitation à grande échelle des données de santé, dans l’intérêt de la collectivité.
 

Les enjeux liés à la sécurité des données de santé et au respect de la vie privée

Cet article 47 est probablement celui qui soulève le plus de polémiques dans le projet de loi. Les discussions ont été nombreuses au Parlement (celles-ci sont d’ailleurs encore en cours) compte tenu du sujet hautement sensible auquel il se rapporte : il s’agirait de centraliser et de mettre à disposition du public dans une unique base les données personnelles concernant la santé de 66 millions de français.

Il faut donc analyser ce projet d’article 47 en lien étroit avec l’article 9 du Code civil sur le respect de la vie privée, mais surtout avec la loi Informatique Fichiers et Libertés n°78-17 du 6 janvier 1978 relative à la protection des données personnelles (ci-après, la « loi Informatique et Libertés »), l’article 1er de cette dernière affirmant que « l’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Le projet de créer une telle base, « l’une des plus importantes du monde » selon la ministre de de la Santé Marisol Touraine, et d’en permettre l’accès au public, pose la problématique de la sécurité et de la confidentialité des données de santé la composant, ces données étant qualifiées de « sensibles » au sens de la loi Informatique et Libertés.

Les données de santé obéissent à un régime spécifique plus contraignant que celui applicable aux autres données personnelles, tant en terme de collecte que lors de leur traitement, par principe interdits selon l’article 8 de la loi Informatique et Libertés (les exceptions y sont listées de manière exhaustive).

L’enjeu du gouvernement est donc de concilier ces dispositions légales protectrices consacrées par la loi Informatique et Libertés avec la nécessité de permettre l’accès et la valorisation des données de santé, en vue d’améliorer le fonctionnement de notre système de santé.
 

La création du « Système National des Données de Santé » ou la centralisation des données de santé dans une base unique 

Le projet d’article 47 du projet de loi relatif à la santé prévoit la mise en place d’un « Système National des Données de Santé » (SNDS).

Ce système centraliserait l’ensemble des fichiers de données de santé collectées notamment par les établissements de santé publics et privés, par les organismes d’assurance maladie (le fichier SNIIRAM) ou encore par la caisse nationale de solidarité pour l’autonomie des personnes handicapées. Le responsable de ce traitement au sens de l’article 3 de la loi Informatique et Libertés serait la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (la CNAMTS) .

Selon le projet de loi, le SNDS aurait notamment pour finalités de « contribuer à l’information sur la santé  », « à la mise en œuvre des politiques de santé », « à la connaissance des dépenses de santé », « à l’information des professionnels et des établissements sur leurs activités », ou encore, à « la recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé ».

Compte tenu du risque d’identification directe des personnes, il est prévu que le SDNS ne contienne ni le nom ni le prénom ni même le numéro de sécurité sociale des personnes, en synthèse, aucune information permettant une identification directe. Les données permettant une ré-identification seront confiées à un organisme distinct, qualifié de « tiers de confiance », seul détenteur du dispositif de correspondance permettant de ré-identifier les personnes pour des cas précisément définis.


Les différents régimes d’accès au SDNS

Pour respecter les principes de confidentialité imposés par la loi Informatique et Libertés, le projet d’article 47 prend soin de distinguer, dans le cadre de l’accès aux données contenues dans ce SNDS, (i) les données personnelles rendues entièrement anonymes (ii) des autres données personnelles de santé, potentiellement identifiantes.

S’agissant des données complètement anonymes, elles seront accessibles et réutilisables par tous gratuitement, sous forme de statistiques agrégées : c’est le concept de l’open data. S’agissant en revanche de la deuxième catégorie (les données présentant un risque de ré-identification directe ou indirecte), elles obéiraient à un régime spécifique et beaucoup plus contraignant.
  • L’accès ne serait autorisé que pour permettre des traitements : o (i) réalisés à des fins de recherches, d’étude ou d’évaluation contribuant à l’une des finalités précisées ci-dessus et répondant à un motif d’« intérêt public », qu’il faudra donc pouvoir démontrer et justifier précisément, ou o (ii) pour les besoins des missions des services de l’Etat, des établissements publics ou des organismes chargés d’une mission de service public. 
     
  • Pour le (i), le traitement ne serait possible qu’après une procédure de requête spécifique impliquant notamment l’autorisation de la CNIL et l’avis de l’Institut National des Données de Santé (organisme remplaçant l’actuel Institut des Données de santé, aux missions plus élargies). Ce dernier aura le rôle de « guichet unique », notamment en charge de l’évaluation du motif « d’intérêt public »
     
  • Ces données seront payantes afin que les demandeurs contribuent au coût de l’infrastructure mise en place par la puissance publique pour assurer leur sécurité.

 

Les mesures permettant la protection des droits des personnes

Conformément aux dispositions de la loi Informatique et Libertés, il est prévu plusieurs « gardes fous » pour protéger la vie privée, garantir la sécurité et la confidentialité des données du SNDS et des traitements utilisant ces données, notamment :

•    Un référentiel de sécurité garantissant la confidentialité, la traçabilité et l’intégrité des données. Celui-ci devra être défini par le demandeur et approuvé par la CNIL au préalable ; 
  • Aucune décision ne pourra être prise à l’encontre d’une personne physique identifiée sur le fondement des données la concernant ;
     
  • Le système ne pourra pas avoir pour finalités (i) la promotion des produits autorisés par l’ANSM ni (ii) l’exclusion de garantie des contrats d’assurance ou la modification de cotisations ou de primes d’assurance en fonction de l’état de santé d’un individu ;
     
  • Enfin la CNIL, qui devrait déjà voir ses pouvoirs de sanctions renforcés avec le règlement européen sur la protection des données personnelles, voit également ici avec ce projet d’article 47 ses pouvoirs élargis, notamment pour l’autorisation préalable à la mise en œuvre des traitements.
Compte tenu de ces précautions, l’accès aux données potentiellement identifiantes devrait donc être cantonné à des cas limités et soumis à des conditions contraignantes. Les rédacteurs du projet de l’article 47 semblent avoir veillé au respect des droits des personnes. Reste à déterminer si en pratique, ces mesures seront suffisantes. Il faudra notamment rester vigilant sur la qualification in concreto de l’« intérêt public », sur la garantie de l’anonymat, sur la non réutilisation des données à des fins commerciales et sur l’indépendance des membres composant l’Institut National des Données de Santé chargés de donner leurs avis à la CNIL.

Donatienne Blin 
Avocat à la Cour 
SEA AVOCATS
Département Industries de l’intelligence