par Nathalie Beslay
Avocat au barreau
de Paris
|
Conformément
à ce qui été prévu dans la loi du 4 mars 2002, et plus
particulièrement au sein de l'article L 1111-8 codifié
au Code la Santé Publique, les "hébergeurs de données
de santé à caractère personnel", assistent à la réglementation
de leur activité appelée de ses vux par la CNIL (Recommandation
issue de la Délibération CNIL N° 01-011 du 8 mars 2001).
Le projet de Décret, annoncé au sein de cet article
et tant attendu a enfin été circularisé, en vue d'être
discuté, notamment par les professionnels concernés,
et ce avant sa publication.
Ce Décret organise un certain nombre de nouvelles obligations
à la charge des hébergeurs de données de santé à caractère
personnel, étant précisé que :
- les données de santé concernées sont les données
déposées auprès des "hébergeurs" soit par les professionnels
de santé, soit par les patients eux-mêmes, et recueillies
à l'occasion des activités de prévention, de diagnostic
ou de soins,
- l'activité d'hébergement est définie comme
"l'organisation du dépôt et la conservation des données,
notamment de manière à en assurer la pérennité et la
confidentialité", c'est-à-dire ne correspondant, ni
n'opérant de référence à la définition légale existante
de l'activité d'hébergement (Loi 2000-719
du 1er Août 2000 et projet de loi pour la confiance
dans l'économie numérique),
- l'activité d'hébergement devra nécessairement être
fournie, à partir d'un Etat membre de l'Union européenne,
ou à tout le moins à partir d'un Etat offrant des garanties
équivalentes à celles existantes en droit français en
matière de protection des données sensibles et du secret
médical ,
- il n'est enfin pas précisé si les professionnels
de santé - ou établissements de santé - qui assurent
eux-mêmes l'hébergement des données concernées, sont
soumis à ces dispositions. C'est là l'un des premiers
écueils du projet de Décret, qui devra être précisé,
puisque l'hébergement des données de santé personnelles
par des professionnels ou des établissements de santé
est fréquent.
Concrètement, l'obtention de
l'agrément repose sur un certain nombre d'obligations
techniques, juridiques et organisationnelles, et est
sollicité devant le Comité d'agrément placé près le
ministère de la Santé, par le dépôt d'un dossier dont
le contenu, fixé au sein du projet de Décret, a pour
objet de rendre compte au comité de la satisfaction
de l'ensemble desdites obligations :
- la conclusion d'un contrat entre l'hébergeur
et le dépositaire des données dont les dispositions
devront intégrer a minima les clauses dont le contenu
est défini au sein du projet de Décret (parmi lesquelles
la description des prestations, les garanties en cas
de défaillance de l'hébergeur, les obligations en matière
de réversibilité des prestations, les modalités de résiliation
et dans ce cas là de restitution des données) ;
- la mise en oeuvre d'une politique de confidentialité,
dont les spécifications sont décrites au sein du projet
de décret, ayant vocation à définir les règles et l'organisation
destinées à assurer la sécurité des traitements et la
protection des informations ( intégrité des données,
disponibilité et continuité de services), les modalités
d'accès à ces données, les mécanismes de contrôle et
de sécurité informatique ainsi que les procédures de
contrôle interne ; il s'agit de la pierre angulaire
du dispositif légal et réglementaire ainsi mis en uvre.
Il est intéressant de relever
plus particulièrement que le projet de Décret requiert,
au sein de la politique de confidentialité, la description
des moyens permettant aux "hébergeurs" de satisfaire
l'exercice du droit d'accès direct des patients à leur
dossier médical, et ce dans de brefs délais (huit jours
pour toutes les données ou deux mois pour les données
collectées plus de cinq ans avant la demande d'accès
direct (Disposition phare de la Loi du
4 mars 2002 sur la qualité du système de santé codifiée
à l'article L 1111-7 Code de la Santé Publique.),
et ajoute en leur faveur un droit d'accès tout aussi
direct "aux traces des accès et des traitements" : tout
patient pourra à ce titre non seulement accéder aux
données de santé qui le concerne mais pourra, en principe,
disposer de l'identification des personnes ayant consulté
ses données, et ainsi disposer de preuves susceptibles
de s'avérer fort utiles à la défense de leurs droits
notamment dans le cadre de litige de responsabilité
médicale.
- la réalisation d'un audit
technique externe à partir du référentiel d'agrément
préalablement établi par le Comité d'agrément, confié
à un prestataire spécifiquement habilité à cet effet
par le Comité d'agrément, et ayant pour objet de vérifier
la mise en uvre effective et conforme de la politique
de confidentialité de l'hébergeur. Les frais de cet
audit sont à la charge du candidat à l'agrément.
Le dossier devra contenir en
outre les comptes prévisionnels de l'activité du candidat,
et dans le cadre de la procédure de demande de renouvellement
de l'agrément accordé initialement pour une durée de
trois ans, les comptes consolidés de celui-ci, étant
toutefois précisé qu'une telle vérification ne pourra
parfaitement neutraliser le risque de discontinuité
des services d'hébergement en cas de difficultés financières
graves de "l'hébergeur", par exemple soumis à une procédure
de liquidation judiciaire.
A ce titre, la mise en place
d'un opérateur tiers de confiance de secours pourrait
valablement être envisagée dans ces cas là.
Bien entendu, le demandeur
devra également joindre le ou les récépissés obtenu(s)
par ailleurs de la CNIL à l'occasion de la réalisation
des formalités préalables imposées par la loi Informatique,
fichiers et Libertés, ainsi que décrire les modalités
dans le cadre desquelles les personnes concernées pourront
exercer leur droit d'accès à leurs données personnelles.
Le législateur a ainsi souhaité
réserver l'activité d'hébergement de données de santé
à caractère personnel aux seules entités en mesure de
garantir des niveaux de sécurité technique mais aussi
juridique et financière adaptés à la sensibilité de
ces données "pas comme les autres". Ce faisant, ce Décret,
qui nécessite des précisions quant à certaines de ses
dispositions, va sans nul doute entraîner une restructuration
du marché concerné par la sélection qu'il va opérer.
L'informatisation de la pratique
médicale et la dématérialisation des échanges entre
les professionnels de santé et/ou avec les patients
ont en effet conduit le législateur à organiser une
nouvelle "profession réglementée" pénalement sanctionnée,
tel que cela est le cas de toutes les professions de
santé, étant rappelé que seuls les "hébergeurs agréés"
pourront, sous peine de sanctions pénales poursuivre
cette activité.
Les "hébergeurs" candidats
devraient à ce titre anticiper le dépôt d'une demande
d'agrément qui devra être effectuée nécessairement dans
les trois mois de la publication du décret, et prévoir
la constitution d'un dossier cohérent et complet, l'obtention
en temps opportuns de cet agrément étant de nature à
les faire bénéficier d'une faveur de ce "nouveau marché".
[nathalie@beslay.net]
Sommaire
de la rubrique
|