Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 391

dont cette personne souffre, ce qui n'est
pas acceptable. « C'est le problème de
la « ré identification ». Les données de
santé mises en « open data » doivent être
constituées de telle façon que le risque
de ré-identification soit négligeable
(sachant qu'il ne peut pas être rigoureusement nul) »11.
Les données potentiellement identifiantes, comme les données hospitalières (bien qu'elles ne comportent ni
les noms et prénoms ni le numéro de
sécurité sociale), pourront être utilisées
dans un mode d'accès permanent par
les services de l'Etat, les établissements
publics et les organismes chargés d'une
mission de service public identifiés à
l'article .R1461-12 du code de la santé
publique. Sont concernés les organismes
chargés d'une mission de service public
agissant au niveau national (la direction
de la recherche, des études, de l'évaluation et des statistiques - DREES, la direction générale de la santé-DGS et la direction générale de l'offre de soins DGOS,
la direction de la sécurité sociale - DSS,
l'institut national du cancer, l'agence de
la biomédecine, etc.) au niveau régional,
(ARS, unions régionales des professionnels de santé, etc.), ou au niveau local
(équipe de recherche et de formation
de l'Ecole des hautes études de santé
publique, etc.), pour l'accomplissement des missions de service public, à
des conditions rigoureuses assurant la
protection de ces données sensibles.
Si ces organismes habilités à accéder de
façon permanente au SNDS envisagent
de dépasser les limites fixées définies
aux articles R. 1461-13 et R. 1461-14, pour
traiter des données à caractère personnel du système national des données de
santé, ils devront alors demander une
autorisation auprès de la Cnil.
Par ailleurs, pour tous les acteurs souhaitant utiliser ces données des fins de
recherche, étude ou évaluation dans le
domaine de la santé ne disposant pas
d'un accès permanent au titre de l'article
précité R. 1461-12, l'accès aux données
potentiellement identifiantes est soumis
à autorisation de la Cnil. Il s'agit notamment organismes privés à but lucratif.
Une autorisation doit être sollicitée auprès
de la Cnil rendue après avis du comité

d'expertise pour les recherches, les
études et les évaluations dans le
domaine de la santé (CEREES12) pour les
recherches n'impliquant pas la personne
humaine et, le cas échéant, après avis
de l'Institut national des données de
santé sur l'intérêt public de l'étude. A cet
égard, l'INDS a rendu public une étude
confiée au Cabinet d'avocats Simmons
et Simmons remise le 14 juin 2017 pour
définir et circonscrire la notion d'intérêt
public.
Parmi les explications apportées par
cette étude, on peut retenir que cette
notion d'intérêt public figure également
au IV de l'article 8, qui constitue une des
exceptions au principe d'interdiction
de collecte et de traitement de données
de santé à caractère personnel, accompagnée de l'obligation de recueillir
l'autorisation préalable de la Cnil à ce
traitement. Face au constat d'un silence
des textes tant nationaux qu'européens
sur les contours précis de cette notion,
il semble que l'appréciation de cette
notion devra être faite par l'INDS - et le
cas échéant par le juge en cas de litige
- en s'appuyant sur un faisceau d'indices, étant précisé que le statut privé
du porteur du projet de recherche est
présenté comme ne pouvant pas faire
obstacle à la reconnaissance de l'existence d'un intérêt public, au risque
notamment de paralyser le développement de la recherche et de manquer l'objectif de l'open data santé. Sont cités en
sus du critère organique le critère de la
finalité, le critère du financement.
L'INDS, guichet unique pour l'accès aux
données du SNDS, assure un accompagnement des demandeurs. L'Institut
estime que le délai moyen d'instruction
de la demande d'accès au SNDS variera entre 3 et 6 mois (hors circuits courts)
contre un délai moyen de 18 mois sous
l'égide des règles régissant l'accès au
SNIIRAM13. Des circuits courts seront en
outre mis en place (méthodologies de
référence, autorisations uniques).
Comme pour la mise à disposition des
données de santé à caractère personnel
dans une finalité médicale et de suivi
social et médico-social, la loi de santé a
expressément rappelé que les personnes
responsables des traitements, ainsi que
celles les mettant en Suvre ou autorisées

EXPERTISES NOVEMBRE 2017

à accéder aux données à caractère
personnel qui en sont issues, sont
soumises au secret professionnel dans
les conditions et sous les peines prévues
à l'article 226-13 du code pénal.
Si les apports de l'open data en santé
sont clairement identifiés pour la santé
publique, et que des simplifications sont
opérées14, de nombreuses questions
restent en suspens dans l'attente de leur
mise en Suvre en pratique par les autorités publiques responsables du dispositif
et les chercheurs, en particulier s'agissant des mesures de sécurité qui seront
mise en place pour contrôler l'accès aux
données.
Les mesures de sécurité ont été décrites
dans le référentiel pris par arrêté du
22 mars 2017 relatif au référentiel de sécurité applicable au Système national des
données de santé. Il est non seulement
applicable au SNDS lui-même, mais
également à tous les systèmes d'information traitant des données de santé issues
du SNDS. Les exigences s'appliquent
aux systèmes mettant à disposition des
jeux de données ré-identifiants du SNDS.
Il est toutefois expressément précisé qu'il
n'appartient pas au référentiel de définir
les techniques de pseudonymisation et
d'anonymisation. Le g du 2 de l'article
11 de la loi de 1978 confie cette tâche à la
Cnil.
Alors que chaque destinataire de
données devient en principe responsable
des mesures de sécurité à appliquer aux
données personnelles une fois celles-ci
transmises, il a été sciemment décidé
d'empiéter sur cette sphère de responsabilité au nom de la protection des
données personnelles et partant de la
vie privée des personnes concernées. La
limite de cette ingérence est également
précisée et est cohérente avec l'objectif : pour les jeux de données anonymes,
une fois exportés, les exigences du référentiel ne s'appliquent plus.
L'arrêté prévoit un délai de mise en
conformité maximum de deux ans. Les
nouveaux systèmes d'information, créés
après l'entrée en vigueur de l'arrêté,
traitant des données de santé issues du
SNDS doivent être en conformité avec le
référentiel dès leur création.
Anticipant l'entrée en vigueur du règlement européen relatif à la protection
des données personnelles, il est imposé

391



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES DUR COMBAT AUTOUR DE L’E-PRIVACY
EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEWS
BREVETABILITÉ DE LOGICIELS INSÉCURITÉ JURIDIQUE
VALORISER SES ACTIFS IMMATÉRIELS
DOCTRINE
DONNÉES - DE QUELQUES QUESTIONS SUR LA PROPRIÉTÉ DES DONNÉES DE PAIEMENT
DONNÉES PERSONNELLES - LES ENSEIGNEMENTS DE LA DÉLIBÉRATION HERTZ POUR L’ASSURANCE CYBER
CYBERCRIMINALITÉ - DARKNET, ZONE DE NON-DROIT OU TERRA INCOGNITA POUR LE JURISTE ?
DONNÉES PERSONNELLES - MISE À DISPOSITION DES DONNÉES DE SANTÉ (2)
MARQUES VERBALES - POUR OPTIMISER UNE DÉFENSE DES MARQUES SUR L’INTERNET
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - FOCUS DONNÉES PERSONNELLES DUR COMBAT AUTOUR DE L’E-PRIVACY
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - EN BREF L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 365
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 366
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 367
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 369
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 370
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 371
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - BREVETABILITÉ DE LOGICIELS INSÉCURITÉ JURIDIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 373
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - VALORISER SES ACTIFS IMMATÉRIELS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 375
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 376
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 377
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES - DE QUELQUES QUESTIONS SUR LA PROPRIÉTÉ DES DONNÉES DE PAIEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 379
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 380
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES PERSONNELLES - LES ENSEIGNEMENTS DE LA DÉLIBÉRATION HERTZ POUR L’ASSURANCE CYBER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 382
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 383
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 384
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - CYBERCRIMINALITÉ - DARKNET, ZONE DE NON-DROIT OU TERRA INCOGNITA POUR LE JURISTE ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 386
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 387
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - DONNÉES PERSONNELLES - MISE À DISPOSITION DES DONNÉES DE SANTÉ (2)
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 389
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 390
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 391
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 392
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 393
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 394
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - MARQUES VERBALES - POUR OPTIMISER UNE DÉFENSE DES MARQUES SUR L’INTERNET
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 396
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 397
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 398
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 399
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2017 - n°429 - 400
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com