Loi relative à la protection des données personnelles
Mise en ligne le 22 juin 2018

Est parue au Journal Officiel du 20/06/2018 la loi n°2018-493 relative à la protection des données personnelles. Elle permet l’adaptation de la loi n°78-17 du 6 janvier 1978 (« Informatiques et Libertés ») aux dispositions du Règlement (UE) 2016/679 (dit « RGPD »), détaillant les marges de manœuvre de la législation française autorisées par ce même Règlement et transposant la Directive (UE) 2016/680 en droit français.

Il n’y a que peu de changements vis-à-vis du projet de loi. Les premiers articles détaillant les missions et pouvoirs de la CNIL, ainsi que la coopération de celle-ci avec les autres « CNIL » européennes  n’est ainsi pas modifiée. Elle devient donc l’autorité nationale de contrôle pour l’application du Règlement « RGPD » en France. Pour rappel, la logique de contrôle est désormais celle d’une conformité continue, avec des pouvoirs de contrôle et de sanction renforcés pour la CNIL. Les formalités préalables au traitement des données les plus sensibles sont maintenues, tandis que le droit des personnes à l’information, l’accès, la rectification du traitement de leurs données est également renforcé.

Concernant les traitements de données à caractère personnel dans le domaine de la santé, traitements qui ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent, il est précisé que « la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public » (article 16 – section 1).

Concernant les dispositions particulières relatives au traitement à des fins de recherche, d‘étude ou dévaluation dans le domaine de la santé (article 16 – section 2), il est créé un Comité d’audit du système national des données de santé. Ce Comité « fait réaliser des audits sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé ». Font partie de ce Comité plusieurs représentants, dont des représentants du Ministère de la Santé, de la Caisse nationale d’assurance maladie ou encore une personne représentant les acteurs privés du domaine de la santé. La procédure d’audit, ainsi que les mesures à prendre en cas de constat de manquements graves, sont également détaillées. A noter qu’un décret en Conseil d'Etat viendra préciser la composition du Comité et définir ses règles de fonctionnement ainsi que les modalités de l'audit.

Enfin, sont insérées plusieurs séries d’articles en comparaison du projet de loi :

  • - les articles 19 à 24 détaillent les dispositions particulières relatives aux droits des personnes concernées pour détailler la situation des mineurs et leur consentement au traitement de leurs données,
  • - les articles 25 à 28 développent également les voies de recours ouvertes aux personnes concernées par le traitement de leurs données. Il faut ainsi retenir que « le responsable de traitement doit être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur final » (article 28).

Source : ARC Pharma

Retour