La loi de modernisation de notre
système de santé n°2016-41 a été promulguée le 26 janvier 2016 et publiée au
Journal Officiel le 27 janvier 2016.
La procédure d’agrément des hébergeurs de
données de santé à caractère personnel a été instaurée initialement par la loi
"Kouchner" n°2002-303 du 4 mars 2002.
La loi n°2016-41 entraîne
certaines modifications dans la législation, avec pour but d’améliorer la
sécurité, la confidentialité et la disponibilité des données de santé à
caractère personnel hébergées de façon externalisées.
La modification substantielle de
l’article L.1111-8 du code de la santé publique :
La loi a modifié l’article L.1111-8
du code de santé publique, il dispose désormais en son premier alinéa
que :
"Toute personne qui héberge des données
de santé à caractère personnel recueillies à l'occasion d'activités de
prévention, de diagnostic, de soins ou de suivi social et médico-social, pour
le compte de personnes physiques ou morales à l'origine de la production ou du
recueil desdites données ou pour le compte du patient lui-même, doit être
agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou
électronique, est réalisé après que la personne prise en charge en a été dûment
informée et sauf opposition pour un motif légitime".
L’Agence des Systèmes
d’Information Partagés de Santé (ASIP Santé) considère que la réglementation de
l’hébergement des données de santé à caractère personnel (art. L1111-8 et
R1111-9 à 14 CSP) s’applique à tout responsable de traitement (au sens de la
loi Informatique et libertés n°78-17 du 06 janvier 1978, chapitre 1er
article 3), qui externalise l’hébergement des données de santé à caractère personnel
qu’il traite. Cela s’applique donc aussi bien aux Etablissements de Santé qu’aux
Mutuelles et Assurances.
Ces modifications de l’article
L.1111-8 CSP entraînent principalement deux nouveautés concernant l’hébergement
externalisé des données de santé ainsi qu’une modification éventuelle en 2018.
- Le recours à un hébergeur détenant un agrément
Désormais l’article impose pour les responsables de traitement,
en cas d’externalisation de l’hébergement, de recourir à un hébergeur agréé.
Cette obligation est valable pour le secteur de la santé mais également le
secteur social.
L'agrément est délivré à la suite
d’une instruction pointilleuse de l’ASIP Santé, qui s’articule autour de 6
principaux formulaires détaillant les capacités techniques, juridiques et économiques
de la prestation d’hébergement proposée.
Le candidat à l’agrément doit
couvrir l’ensemble des obligations réglementaires, par lui-même ou en en
reportant expressément certaines sur son client ou ses sous-traitants, dans le
cadre du contrat d’hébergement ou du/des contrat(s) de sous-traitance.
L’agrément est délivré pour 3
ans.
- Le consentement présumé du patient à l’hébergement de ses données de santé
L’article énonce désormais
que :
« Cet hébergement, quel qu'en soit le
support, papier ou électronique, est réalisé après que la personne prise en
charge en a été dûment informée et sauf opposition pour un motif légitime"
Il suffit désormais d’informer la
personne prise en charge de l’hébergement de ses données, sans avoir à
recueillir son consentement sauf s’il oppose un motif légitime
- La certification pour remplacer l’agrément à partir de 2018
Une évaluation de conformité
technique devrait remplacer l’agrément. Cette évaluation se soldera par une
certification.
Cette nouvelle procédure serait
mise en place après la publication d’une ordonnance du gouvernement mais
également d’études menées par l’ASIP Santé, il faudra compter au moins deux ans
à compter de la promulgation de la loi le 26 janvier 2016.
L’ASIP Santé a déjà envisagée 3
types de certifications distinctes dont la 3ème qui engloberait les
2 premières :
1) Hébergeur d’infrastructure
2) Infogérance d’hébergement
3) Hébergeur de données de santé
Ces certifications vont permettre
de déterminer le périmètre de responsabilité de tous les acteurs de la chaîne. Les
contrats d’hébergement et de sous-traitance
s’en trouveront donc simplifiés.
La certification sera valable 3
ans et sera octroyée par un organisme certificateur lui-même accrédité pour
5ans par le Comité Français d’Accréditation.
Les agréments en vigueur à cette
date devraient rester valables jusqu’à leur terme.
La loi prévoit déjà le
remplacement d’une des modifications apportées, il reste à savoir si cette
modification sera maintenue en 2018 ou si l’agrément aura donné satisfaction au-delà
des attentes initiales.
Aucun commentaire:
Enregistrer un commentaire