Actualités

Hébergement des données de santé – précisions apportées par le projet de loi de santé

L’article L.1111-8 du Code de la santé publique (CSP), qui fixe le cadre législatif de l’activité d’hébergement de données de santé, a été modifié par l’article 25 du « Projet de Loi de modernisation de notre système de santé ». Celui-ci élargit le domaine d’application de la réglementation et les possibilités de faire appel à un hébergeur, tout en précisant les exigences techniques à mettre en œuvre.

1. Données hébergées
Initialement réservée aux « données de santé recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins », la réglementation de l’hébergement s’applique désormais également aux données « recueillies à l’occasion du suivi social et médico-social. »

2. Suppression du consentement exprès
La loi précisait antérieurement que l’hébergement de données de santé à caractère personnel ne pouvait avoir lieu qu’avec le consentement exprès de la personne concernée, sauf dans les hypothèses où l’accès aux données était limité au seul professionnel de santé ou établissement qui les avait déposées.
Dans sa nouvelle rédaction, l’article L.1111-8 du CSP dispose désormais que « Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime ». L’exigence du consentement exprès a donc été supprimée.
Cependant, les traitements de données de santé à caractère personnel que nécessite l’hébergement doivent être réalisés dans le respect des dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les personnes concernées disposent donc d’un droit de communication, d’opposition et de rectification.

3. Accès aux données
L’accès aux données ayant fait l’objet d’un hébergement s’effectue selon les modalités fixées dans le contrat de prestation d’hébergement signé entre l’hébergeur et le déposant.
La rédaction nouvelle prévoit que seules peuvent accéder aux données ayant fait l’objet d’un hébergement les personnes physiques ou morales à l’origine de la production de soins ou de leur recueil et qui sont désignées par les personnes concernées (article L.1111-8 du CSP). Cependant, reste inchangée la disposition selon laquelle les informations déposées auprès d’un hébergeur ne peuvent être communiquées par cet hébergeur à la personne qu’elles concernent qu’avec l’accord du professionnel de santé ou de l’établissement qui en a le dépôt (Article R.1111-8 du Code de la Santé Publique).
Lorsqu’il est mis fin à l’hébergement, l’hébergeur restitue les données aux personnes qui leur ont confiées, sans en garder de copie
Pour rappel, aucune manipulation ou utilisation à d’autres fins des informations de santé conservées par le prestataire de service d’hébergement n’est autorisée. Tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l’accord de la personne concernée, est interdit sous peine des sanctions prévues à l’article226-21 du code pénal (cinq ans d’emprisonnement et 300.000 euros d’amende)

4. Respect des référentiels d’interopérabilité
Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, les hébergeurs de données de santé à caractère personnel doivent utiliser pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d’information conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public d’intérêt public ASIP Santé créé par l’arrêté du 9 décembre 2009

5. Obligation d’agrément
Une réponse ministérielle du 21 mai 2013 confirmait l’obligation d’agrément même pour les établissements hospitaliers mettant leur système d’hébergement de données de santé au service d’autres établissements de santé (Question n° 16575). Cependant, le Ministre indiquait qu’une simplification de la procédure d’agrément était envisagée.
En ce sens, l’article 51-I-5°) c du « Projet de Loi de modernisation de notre système de santé » autorise le Gouvernement à prendre par ordonnance les mesures visant à simplifier la législation en matière de traitement des données personnelles de santé, et à remplacer l’agrément prévu à l’article L. 1111-8 par une évaluation de conformité technique réalisée par un organisme certificateur accrédité par le Comité français d’accréditation (COFRAC) ou par l’organisme compétent d’un autre État membre de l’Union européenne.
Cette certification de conformité porte notamment sur le contrôle des procédures, de l’organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des applications hébergées.
Sous l’empire de la précédente législation, le Ministère de la Santé avait indiqué que l’utilisation d’une méthodologie respectant la norme ISO 27005, si elle ne garantissait pas, à elle seule, que le candidat satisfasse aux exigences du décret, le plaçait dans de bonnes conditions pour atteindre cet objectif. S’agissant des administrations, le Référentiel Général de sécurité (RGS) publié par l’Agence Nationale de la Sécurité des Systèmes d’Information recommande également l’utilisation des méthodes prévues par la norme ISO27005.