L’obligation de certification des LAP annulée par le Conseil d’Etat

Le Conseil d’Etat avait sursis à statuer en juin 2016 en renvoyant à la Cour de justice de l’Union européenne la question de savoir si l’obligation de certification des logiciels d’aide à la prescription et à la dispensation (LAP) prévue par l’article L.161-38 du Code de la sécurité sociale et précisée par le décret 2014-1359 du 14 novembre 2014 était compatible avec les dispositions de la directive 93/42/CEE du 14 juin 1993 sur les dispositifs médicaux.

Saisi par le SNITEM et la société Philips France, la question était particulièrement importante pour les logiciels qui permettent l’exploitation de données propres à un patient en vue d’aider son médecin à établir sa prescription. Continuer la lecture

Le groupe de travail parlementaire sur les droits et libertés à l’ère numérique présente un projet de Charte du Numérique

Créé en mai 2018, ce groupe de travail a adressé le jeudi 21 juin 2018, le résultat de ses délibérations autour de trois propositions de texte visant :

  • « – à intégrer dans le préambule de la Constitution la mention d’une Charte du numérique, à l’instar de la Charte de l’environnement adoptée en 2004 ;
  • à reconnaître le rôle du numérique dans l’expression démocratique
  • et à élargir expressément le domaine de la loi à certains enjeux liés au numérique en complétant l’article 34 de la Constitution ».

Le projet de Charte vise à garantir des principes tels que la neutralité du net, l’accès aux documents publics ou la protection des données personnelles.

Le communiqué de presse de la présidence de l’Assemblée précise qu’« Il appartient désormais aux commissions compétentes de chaque Assemblée et, plus largement, au Parlement, d’enrichir cette réflexion, en lien avec le Gouvernement » .

Jeanne Bossi Malafosse, avocat associé

Le nouveau chapitre IX de la loi de protection des données personnelles

Objectifs :

Cette formation vise à appréhender les évolutions apportées par le nouveau chapitre IX de la loi de protection des données personnelles

Formateur  :

Maître Jeanne BOSSI MALAFOSSE, Avocat associé, DELSOL Avocats,

Responsable du département Données personnelles

Maître Thomas ROCHE, Avocat associé, DELSOL Avocats,

Responsable du département Sciences du vivant

Durée : 1/2 journée

Tarif : 400 € HT par participant, nombre de places limité

Dates et lieu :

Paris, 13 septembre 2018

Lyon, 26 septembre 2018

Programme détaillé à venir

INSCRIPTION

 

Brèves de juin

  • Manquement d’Optical Center à son obligation d’assurer la sécurité et la confidentialité des données

 Le 7 mai 2018, la formation restreinte de la CNIL a prononcé une sanction de 250 000 euros à l’égard de la société Optical Center pour le manquement à l’obligation d’assurer la sécurité des données clients de son site internet. Continuer la lecture

La sécurité des données personnelles : une préoccupation générale des systèmes d’information

L’obligation pour un responsable de traitement d’assurer la confidentialité des données personnelles a toujours constitué un principe fondamental du droit de la protection des données personnelles et sur ce point, le RGPD accentue encore l’importance de ce principe.

Face aux attaques récurrentes de systèmes d’information, la définition d’une politique de sécurité de la donnée s’intègre dorénavant dans un espace plus large qui est celui de la cybersécurité.

Préoccupation prise en compte par l’Union européenne dans le cadre de l’adoption du « Paquet numérique », la Commission Juncker a voulu créer et harmoniser au sein de l’Union européenne un niveau élevé de sécurité des données et des infrastructures. Continuer la lecture

Protection des données personnelles : l’Europe et au-delà

S’il a été difficile d’échapper à l’entrée en application du RGPD le 25 mai dernier, le cadre européen de la protection des données personnelles ne serait pas complet s’il n’était également fait mention de l’adoption le 18 mai dernier du protocole d’amendement à la Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement de leurs données personnelles.

Texte politique et juridique fondateur en Europe sur le sujet de la protection des données, il réaffirme la volonté d’une reconnaissance des valeurs fondamentales du respect de la vie privée et de la protection des données personnelles, à l’échelle européenne et mondiale dans un monde pourtant très différent de celui qui a justifié en son temps l’adoption de ce texte. Continuer la lecture

La CNIL a publié le formulaire de désignation du DPO

La CNIL a publié aujourd’hui 28 mars 2018 le formulaire de désignation des DPO afin que les organismes puissent dès à présent réaliser cette étape majeure dans la mise en conformité au RGPD.

Pour rappel, l’article 37 du RGPD prévoit que la désignation d’un DPO est obligatoire dans trois cas :
– pour toute autorité publique ou tout organisme public ;
– si les activités de base de l’organisme consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
– si les activités de base de l’organisme consistent en des traitements à grande échelle de données sensibles, ou de données relatives aux condamnations et infractions spéciales.
Cette obligation concerne aussi bien les responsables de traitement que les sous-traitants. Notons que le G29 recommande la désignation d’un DPO même hors des cas de désignation obligatoire.

Avant d’accéder au formulaire de désignation, la CNIL rappelle au responsable de traitement l’importance de vérifier que le DPO dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions.

Pour cela, la CNIL rappelle trois conditions prévues par les articles 37 à 39 du RGPD :
– le DPO doit détenir les compétences juridiques requises incluant notamment une pratique en matière de protection des données personnelles ;
– le DPO doit disposer de moyens suffisants pour exercer ses missions notamment en bénéficiant des ressources nécessaires et du temps suffisant. Il doit être associé en amont des projets impliquant le traitement de données personnelles ;
– le DPO doit avoir la capacité d’agir en toute indépendance. Il ne doit pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction et doit rendre compte au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant.

La désignation du DPO s’effectue en quatre étapes :
– fournir des informations permettant de décrire la structure déclarante et son représentant,
– désigner le DPO et indiquer ses coordonnées,
– indiquer les coordonnées publiques du DPO, comme le prévoit le règlement
– validation et envoi. Le DPO doit mentionner au moins 2 moyens de contacts différents, dont au moins une adresse électronique publique ou une adresse internet vers un formulaire de contact.

Les organismes qui souhaitent désigner un Délégué à la protection des données (DPO) peuvent désormais le faire en utilisant le téléservice de désignation DPO https://www.cnil.fr/fr/designation-dpo.

L’extranet des CIL sera définitivement fermé le 30 avril 2018 et tous les CIL seront automatiquement en fin de mission au 25 mai 2018 dans la mesure où cette fonction disparait. La CNIL indique également que « Compte tenu de l’évolution de l’activité du service des DPO, nous nous orientons désormais principalement vers le soutien aux réseaux sectoriels, régionaux ou métiers qui deviendront vos interlocuteurs privilégiés. »

Toutefois, la désignation des DPO ne prendra effet qu’au 25 mai 2018, jour de l’entrée en application du Règlement européen sur la protection des données personnelles.