Vous n’avez pas pu assister à la journée AFCDP du groupe Lyon + et du groupe données de santé ?
Pas d’inquiétude, on vous a préparé une synthèse de cette journée particulièrement riche en informations et en échanges.
Début de la journée à 9 h00 au Palais Bondy, dans le Vieux Lyon, bâtiment classé « Patrimoine du XXe siècle »
François Pallin – Co-animateur du groupe Lyon + a ouvert la journée avant de laisser Nathalie Brunet présenter l’actualité de l’AFCDP :
- il est toujours possible de s’inscrire à l’Université des DPO sur le site de l’AFCDP afin d’accéder aux enregistrements des 5 et 6 février et de suivre les sessions numériques à venir ;
- la prochaine Assemblée Générale de l’Association se tiendra le 29 juin prochain.
Actualités juridiques : présentation de Nathalie Peltz
Une actualité du droit de la protection des données personnelles très dense, parmi laquelle :
- CJUE, 2 déc. 2025, aff. C-492/23, Russmedia Digital : l’exploitant d’une plateforme d’annonces en ligne est responsable conjoint du traitement des annonces publiées par les annonceurs, même lorsqu’il bénéficie du régime d’exonération de responsabilité des hébergeurs prévu par la directive e-commerce (désormais DSA). Il en découle diverses obligations de contrôle pesant sur l’exploitant.
- CJUE, 19 mars 2026, aff. C-526/24, Brillen Rottler GmbH & Co : reconnaissance du caractère abusif d’une demande de droit d’accès. Plusieurs indices peuvent être mobilisés, dont l’intention abusive de la personne concernée. La Cour exclut tout droit à réparation lorsque la personne concernée est en partie responsable du refus opposé par le responsable du traitement.
- CE, 13 févr. et 4 mars 2026 : le CE est revenu sur les notions de pseudonymisation et d’anonymisation, soutenant la position qu’adopte la CNIL depuis l’avis WP216 du G29 sur les techniques d’anonymisation de 2014. Le Conseil d’État ne suit pas la position retenue par la CJUE dans son arrêt du 4 septembre 2025. Le fait de pouvoir isoler un parcours de soins exclut la qualification d’anonymisation.
- CJUE, 4 sept. 2025, aff. C-413/23 P, CRU : une décision particulièrement commentée dans laquelle la CJUE adopte une conception relative de la notion de donnée personnelle. La qualification dépend des moyens concrets dont dispose chaque acteur pour relier une information à une personne physique. Une même donnée peut ainsi constituer une donnée personnelle pour le responsable du traitement sans l’être nécessairement pour un destinataire qui la reçoit sous forme pseudonymisée.
- Digital Omnibus et avis conjoint CEPD/EDPS, défavorable au projet de modification de la définition de donnée personnelle (qui va même au-delà de la jurisprudence de la CJUE) mais favorable à d’autres évolutions, notamment l’augmentation du seuil de risque déclenchant l’obligation de notifier une violation de données.
A noter également : le 13 mai dernier le Sénat a appelé le gouvernement à défendre fermement la protection des données personnelles dans le cadre des négociations en cours sur l’Omnibus numérique.
Table ronde « Les traitements de données de santé en assurance : enjeux d’hier et d’aujourd’hui »
Une table ronde réunissant Alexandra YONC, Jeanne SANVIGNE et Robin WETZEL (Animateur Gaëtan Bourdais) autour d’échanges instructifs sur :
- Les spécificités sectorielles (Convention AERAS, Pack de conformité Assurance de la CNIL, règlement DORA)
- Les différents métiers de l’assurance et les traitements de données de santé mis en œuvre par chacun d’eux
- La délicate détermination des bases légales
- La recherche du consentement au traitement des données de santé selon que le contrat d’assurance est encadré par l’État ou non
- Les conséquences du règlement sur la cyber-résilience pour les fournisseurs
- Les subtilités de la qualification juridique des acteurs de l’assurance.
Les prises de parole ont repris après la pause déjeuner.
Données de santé : Actualités et évolutions récentes pour les DPO
Florence EON-JAGUIN et Clémence BOLLA, co-animatrices du groupe AFCDP Données de santé, sont revenues sur plusieurs évolutions récentes :
- L’hébergement des données de santé et les nouvelles exigences issues du décret du 24 mars 2026, avec un référentiel HDS en cours de révision
- Le décret du 14 avril 2026 qui durcit les règles d’utilisation des services cloud fournis par des prestataires privés pour le traitement des données publiques sensibles
- Le projet de révision des guidelines du CEPD sur les techniques d’anonymisation qui pourrait aboutir d’ici à la fin du semestre
- Le projet de règlement « Biotech Act », à suivre de près compte tenu des évolutions importantes envisagées en matière de recherche clinique et qui ne sont pas toujours cohérentes avec d’autres règlements européens
- La convention de partenariat CNIL et HAS du 10 mars 2026 visant à renforcer les bonnes pratiques de gestion des données de santé ainsi que leur projet de guide conjoint sur l’IA en contexte de soins
et un peu de jurisprudence récente.
La gestion des données de santé des mineurs au sein d’une collectivité territoriale
François Pallin et Laurent Perrier ont rappelé que les collectivités territoriales traitent des données de santé tout au long de la vie : petite enfance (crèches), enfance (école, protection de l’enfance), vie active (handicap, logement social) puis retraite (EHPAD).
Ils ont présenté un panorama concret des traitements mis en œuvre pour la gestion de la vie scolaire et para scolaire ainsi que les mesures de sécurité déployées ou prévues par la Ville de Lyon. De quoi rassurer les parents lyonnais présents !
Définition, articulation avec le RGPD et apports du règlement relatif à l’espace européen des données de santé (EHDS)
La journée s’est conclue par un focus sur le règlement EHDS qui constitue le premier espace de données sectoriel à l’échelle européenne :
- Présentation de ses enjeux et de son articulation avec le RGPD
- Distinction entre usages primaires et usages secondaires des données de santé
- Rôle des différents acteurs (détenteur de données, organisme responsable de l’accès aux données – ORAD)
- Nouveaux droits pour les personnes concernées
- Nouvelles exigences applicables aux éditeurs de logiciels médicaux, notamment en matière d’interopérabilité et de marquage de conformité.
Ce règlement sera applicable à compter du 26 mars 2027, mais il prévoit une mise en œuvre progressive s’étalant sur 10 ans. D’autres espaces de données sectoriels verront probablement le jour par la suite, par exemple dans le domaine de l’assurance.
Un grand merci aux organisateurs, intervenants et à l’AFCDP !
La prochaine édition du groupe Lyon + est prévue cet automne 🙂
