Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 407

qui se trouvent dans le cercle de confiance pourront bénéficier
d'une exonération de formalité préalable pour l'utilisation du
NIR, sous réserve du respect des conditions de mise en œuvre
qui restent à être également précisées par décret. Dans l'attente
de l'ensemble des éléments permettant la mise en œuvre de
cette nouvelle obligation, l'utilisation du NIR reste possible,
dans le cadre des procédures particulières prévues par la loi
Informatique et libertés, allant de l'autorisation au décret en
Conseil d'Etat.
L'usage du NIR sera-t-il possible pour des finalités
administratives ?
Cela pourra inclure les fonctions support de la prise en charge
sanitaire des personnes, comme la fonction de gestion du volet
administratif du dossier du patient hospitalisé.
Pour vous, cela représente donc une avancée.
Cette réforme représente en effet une avancée majeure, mais
cela ne va pas se faire en un claquement de doigts. Un décret
va être pris pour préciser cette ouverture dans un périmètre
qui doit rester clairement délimité.

procédure obligatoire. Je voudrais aussi relever que certains
Etats membres ont mis en place des procédures d'autorisation
générale par l'autorité de contrôle beaucoup plus drastiques
qu'en France.
Alors pourquoi change-t-on ce dispositif ?
On ne change pas tout, mais seulement la façon de procéder.
Cette nouvelle procédure s'appuie sur le Cofrac, qui est
l'instance nationale d'accréditation reconnue par la France
dans le cadre des procédures de certification. Nous aurons
un système par lequel il appartiendra aux entreprises de
s'adresser à un organisme de leur choix, à condition qu'il ait
été accrédité par le Cofrac.
Et ce référentiel sera-t-il basé sur l'existant ?
Pour partie, mais le dispositif va être complété. La procédure
étant externalisée auprès de plusieurs organismes, cela
permettra plus de souplesse et plus de rapidité pour la
délivrance du certificat, sans abaisser la qualité et le niveau
de sécurité. Le contenu des référentiels va s'appuyer sur des
normes internationales, notamment la norme ISO 27 001 et la
norme 27 018 relative à la protection des données à caractère
personnel, en y ajoutant des exigences spécifiques liées à
l'hébergement de données de santé. Cela va donner un
peu plus d'autonomie aux candidats qui vont apprécier par
eux-mêmes leur niveau de maturité. S'ils se sont déjà engagés
dans une procédure qualité, ils n'auront pas à refaire le
parcours complet. Ils pourront ainsi produire le certificat qu'ils
ont déjà obtenu. En outre, pour garantir le maintien du niveau
de sécurité des données, il y aura un audit sur pièces et sur site.

L'hébergement de données de santé est soumis à un régime
spécial, des obligations très lourdes et une procédure
d'agrément que vous instruisez. Cet encadrement a été
réformé par la loi de 2016. La procédure d'agrément va
être remplacée par une procédure de certification. Cet
allègement de la procédure vous semble-t-il une bonne
chose ? Est-il opérationnel ?
Cette nouvelle procédure de certification qui va remplacer
l'agrément actuel a pour objectif de supprimer ses lourdeurs
Il n'y aura donc plus de consultation de la Cnil ?
et les délais d'attentes liés à l'instruction du dossier du presNon. Cela ne veut pas dire que la Commission n'aura plus de
tataire, candidat à l'agrément. Aujourd'hui, l'agrément est
rôle à jouer. Elle reste l'autorité de contrôle pour la protection
délivré par une décision du ministre de la Santé, à l'issue
des
données
à
caractère
d'une procédure d'instruction dont
personnel. Mais elle ne délivrera
l'Asip Santé assure le secrétariat
« Toute la chaîne d'acteurs qui
plus d'avis, comme elle le fait
et qui fait aussi intervenir la Cnil
gravitent autour des objets
aujourd'hui dans le cadre de la
et le comité d'agrément des héberprocédure actuelle d'agrément.
connectés,
et
ils
sont
nombreux,
geurs. Le recueil de leurs deux
Nous travaillons sur le référentiel
avis est préalable à la décision
doivent s'interroger sur la finalité
ministérielle. Le candidat prestades données, à l'aune des nouveaux d'exigences techniques, qui va
être complété par un référentiel de
taire doit déposer un dossier qui
principes du règlement européen. » gouvernance qui n'est pas encore
respecte le référentiel d'agrément
établi. Et c'est dans ce cadre que
qui comporte trois volets : sécurité,
sera décrit le rôle des différences institutions, comme celui de
juridique et éthique, et comptable. Cela explique la lourdeur
l'Asip Santé notamment pour la mise à jour des référentiels ou
de l'instruction.
de la Cnil. Mais tout cela reste encore à définir.
La France a, semble-t-il, le dispositif le plus lourd en matière
Cela va prendre encore du temps.
d'hébergement de données de santé.
Au vu de l'impact sur les entreprises, il y a nécessairement
On peut le dire différemment. La France présente une
un dispositif d'entrée en vigueur progressif. La procédure
originalité au travers de ce dispositif. On relève souvent
actuelle ne sera donc pas arrêtée du jour au lendemain et
l'aspect négatif de la lourdeur de sa procédure. Aujourd'hui, il
sera appliquée, a priori, jusqu'en 2019. Un décret viendra
s'avère que de nombreux industriels eux-mêmes la valorisent
préciser les règles de mise en conformité, pour passer de
car l'agrément fait partie de leur patrimoine. Et cet agrément
l'ancienne procédure à la nouvelle. Dans l'ordre, c'est d'abord
représente un atout au regard de la protection des données,
l'ordonnance prise sur le fondement de la loi du 26 janvier 2016
leur permettant d'apporter de la confiance à leurs clients. On
qui réforme l'hébergement de données de santé qui doit être
peut le comparer à un label, qui a cependant un caractère
publiée. Ce texte a été soumis au Conseil d'Etat et doit être
très administratif et qui est délivré de manière unilatérale
notifié à la Commission européenne. Le décret que j'ai cité à
par le ministère chargé de la Santé, dans la cadre d'une

EXPERTISES DÉCEMBRE 2016

407



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419

Couverture
Editorial & Sommaire
MAGAZINE RÉSEAUX SOCIAUX CGU : L’ARME ANTI-SURVEILLANCE MASSIVE
INTERVIEW LA DONNÉE AU COEUR DE L’E-SANTÉ
DOCTRINE
LOGICIELS : VOYAGE AU COEUR DES AUDITS DE LICENCES...
AUDITS DE LICENCES DE LOGICIELS : L’ÉDITEUR DOIT SE COMPORTER AVEC BONNE FOI ET LOYAUTÉ
MARCHÉS PUBLICS : LE CONTRAT DE PARTENARIAT D’INNOVATION DE TIC
DONNÉES PERSONNELLES LOI POUR UNE RÉPUBLIQUE NUMÉRIQUE ET RGDP : LECTURE CROISÉE
JURISPRUDENCE ORACLE FRANCE, ORACLE CORP., ORACLE INT. CORP. / AFPA, SOPRA STERIA GROUP
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - MAGAZINE RÉSEAUX SOCIAUX CGU : L’ARME ANTI-SURVEILLANCE MASSIVE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 396
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 397
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 398
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 399
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 400
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 401
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 402
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 403
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 404
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - INTERVIEW LA DONNÉE AU COEUR DE L’E-SANTÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 406
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 407
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 408
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 409
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - LOGICIELS : VOYAGE AU COEUR DES AUDITS DE LICENCES...
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 411
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 412
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - AUDITS DE LICENCES DE LOGICIELS : L’ÉDITEUR DOIT SE COMPORTER AVEC BONNE FOI ET LOYAUTÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 414
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - MARCHÉS PUBLICS : LE CONTRAT DE PARTENARIAT D’INNOVATION DE TIC
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 416
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 417
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 418
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 419
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 420
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 421
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - DONNÉES PERSONNELLES LOI POUR UNE RÉPUBLIQUE NUMÉRIQUE ET RGDP : LECTURE CROISÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 423
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 424
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - JURISPRUDENCE ORACLE FRANCE, ORACLE CORP., ORACLE INT. CORP. / AFPA, SOPRA STERIA GROUP
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 426
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 427
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 428
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 429
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 430
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 431
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2016 - n°419 - 432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com