La modification de la législation concernant l’hébergement des données de santé à caractère personnel

La loi de modernisation de notre système de santé n°2016-41 a été promulguée le 26 janvier 2016 et publiée au Journal Officiel le 27 janvier 2016.

La  procédure d’agrément des hébergeurs de données de santé à caractère personnel a été instaurée initialement par la loi "Kouchner" n°2002-303 du 4 mars 2002.

La loi n°2016-41 entraîne certaines modifications dans la législation, avec pour but d’améliorer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel hébergées de façon externalisées.

La modification substantielle de l’article L.1111-8 du code de la santé publique :

La loi a modifié l’article L.1111-8 du code de santé publique, il dispose désormais en son premier alinéa que :

"Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime".

L’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé) considère que la réglementation de l’hébergement des données de santé à caractère personnel (art. L1111-8 et R1111-9 à 14 CSP) s’applique à tout responsable de traitement (au sens de la loi Informatique et libertés n°78-17 du 06 janvier 1978, chapitre 1^er article 3), qui externalise l’hébergement des données de santé à caractère personnel qu’il traite. Cela s’applique donc aussi bien aux Etablissements de Santé qu’aux Mutuelles et Assurances.

Ces modifications de l’article L.1111-8 CSP entraînent principalement deux nouveautés concernant l’hébergement externalisé des données de santé ainsi qu’une modification éventuelle en 2018.

• Le recours à un hébergeur détenant un agrément

Désormais l’article impose pour les responsables de traitement, en cas d’externalisation de l’hébergement, de recourir à un hébergeur agréé. Cette obligation est valable pour le secteur de la santé mais également le secteur social.

L'agrément est délivré à la suite d’une instruction pointilleuse de l’ASIP Santé, qui s’articule autour de 6 principaux formulaires détaillant les capacités techniques, juridiques et économiques de la prestation d’hébergement proposée.

Le candidat à l’agrément doit couvrir l’ensemble des obligations réglementaires, par lui-même ou en en reportant expressément certaines sur son client ou ses sous-traitants, dans le cadre du contrat d’hébergement ou du/des contrat(s) de sous-traitance.

L’agrément est délivré pour 3 ans.

• Le consentement présumé du patient à l’hébergement de ses données de santé

L’article énonce désormais que :

« Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime"

Il suffit désormais d’informer la personne prise en charge de l’hébergement de ses données, sans avoir à recueillir son consentement sauf s’il oppose un motif légitime

• La certification pour remplacer l’agrément à partir de 2018

Une évaluation de conformité technique devrait remplacer l’agrément. Cette évaluation se soldera par une certification.

Cette nouvelle procédure serait mise en place après la publication d’une ordonnance du gouvernement mais également d’études menées par l’ASIP Santé, il faudra compter au moins deux ans à compter de la promulgation de la loi le 26 janvier 2016.

L’ASIP Santé a déjà envisagée 3 types de certifications distinctes dont la 3^ème qui engloberait les 2 premières :

1) Hébergeur d’infrastructure

2) Infogérance d’hébergement

3) Hébergeur de données de santé

Ces certifications vont permettre de déterminer le périmètre de responsabilité de tous les acteurs de la chaîne. Les contrats d’hébergement et de sous-traitance s’en trouveront donc simplifiés.

La certification sera valable 3 ans et sera octroyée par un organisme certificateur lui-même accrédité pour 5ans par le Comité Français d’Accréditation. 

Les agréments en vigueur à cette date devraient rester valables jusqu’à leur terme.

La loi prévoit déjà le remplacement d’une des modifications apportées, il reste à savoir si cette modification sera maintenue en 2018 ou si l’agrément aura donné satisfaction au-delà des attentes initiales.