Loi n° 78-17 du 6 janvier 1978
Article 77 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Chronologie des versions de l'article
Entrée en vigueur le 31 décembre 2019
Modifié par : LOI n°2019-774 du 24 juillet 2019 - art. 41 (V)
Dans le respect des missions et des pouvoirs de la Commission nationale de l'informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d'audit du système national des données de santé est institué. Ce comité d'audit définit une stratégie d'audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé.
Le comité d'audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, des responsables des des traitements du système national des données de santé, des autres producteurs de données du système national des données de santé, de la plateforme des données de santé, ainsi qu'une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l'informatique et des libertés, ou son représentant, y assiste en tant qu'observateur.
Les audits, dont le contenu est défini par le comité d'audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d'audit de systèmes d'information et de leur indépendance à l'égard de l'entité auditée.
Le prestataire retenu soumet au président du comité d'audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.
Les missions d'audit s'exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l'autorité et en présence d'un médecin, s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé.
Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d'audit, les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l'informatique et des libertés.
Si le comité d'audit a connaissance d'informations de nature à révéler des manquements graves en amont ou au cours d'un audit ou en cas d'opposition ou d'obstruction à l'audit, un signalement est adressé sans délai par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.
Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d'information audités.
Si la mission constate, à l'issue de l'audit, de graves manquements, elle en informe sans délai le président du comité d'audit, qui informe sans délai le président de la Commission nationale de l'informatique et des libertés et les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique.
En cas d'urgence, les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique peuvent suspendre temporairement l'accès au système national des données de santé avant le terme de l'audit s'ils disposent d'éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Ils doivent en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l'accès ne peut se faire qu'avec l'accord de ce dernier au regard des mesures correctives prises par l'entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l'informatique et des libertés.
Le rapport définitif de chaque mission est transmis au comité d'audit, au président de la Commission nationale de l'informatique et des libertés et au responsable du traitement audité.
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l'audit.
Commentaires • 3
64 à 77) ainsi que l'article 8 de la même loi fixent le régime applicable lorsque des données sensibles sont traitées ; les articles 40 et 41 de la loi renvoient aux dispositions pénales applicables ;
Lire la suite…64 à 77) ainsi que l'article 8 de la même loi fixent le régime applicable lorsque des données sensibles sont traitées ; les articles 40 et 41 de la loi renvoient aux dispositions pénales applicables ;
Lire la suite…Décisions • 2
[…] 1) la liste de composition du comité d'audit, mentionné à l'article 77 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; […]
Lire la suite…2. CNIL, Délibération du 27 mai 2021, n° 2021-070
[…] L'article 77 du décret d'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après loi Informatique et Libertés ) prévoit qu'une demande d'exercice des droits (information, accès, rectification, effacement, limitation du traitement, portabilité et/ou opposition) peut être présentée par une personne spécialement mandatée à cet effet par le demandeur, si celle-ci justifie de son identité et de l'identité du mandant, de son mandat, ainsi que de la durée et de l'objet précis de celui-ci.
Lire la suite…- Personne concernée·
- Données·
- Traitement·
- Mandataire·
- Responsable·
- Commission·
- Identité·
- Accès·
- Réutilisation·
- Authentification
L'article 51 renvoie à l'article 17 du règlement (UE) 2016/679 relatif au droit à l'effacement. […] La sous-section 2, qui concerne les dispositions particulières relatives aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé, contient les articles 72 à 77 qui reprennent les articles 61 à 65 da la loi du 6 janvier 1978 précitée.
Lire la suite…