| Avocat au barreau
de Paris | | |
| | |
Le cadre juridique applicable à l'hébergement en général, fixé par la loi sur la confiance dans l'économie numérique, est aujourd'hui relativement bien identifié par les acteurs de l'Internet. L'hébergement de données de santé à caractère personnel relève en revanche d'un régime spécifique beaucoup plus exigeant, qu'est venu compléter un décret du 4 janvier 2006.
La confidentialité comme prérequis ?
La nature particulièrement sensible des données hébergées, s'agissant d'informations médicales (analyses, imagerie, prescriptions etc.) concernant une personne identifiable et couvertes par le secret professionnel, commandait que leur hébergement soit entouré de garanties particulièrement strictes. Notamment quant à leur sécurité et leur confidentialité. A cet égard, il doit être rappelé que la loi du 6 janvier 1978, dite "Informatique et libertés", interdit expressément la collection ou le traitement de données à caractère personnel notamment relatives à la santé des personnes, sauf exceptions qu'elle prévoit.
Le contexte de la loi
Ce nouveau cadre juridique applicable à l'hébergement des données de santé à caractère personnel était attendu dans la mesure où il influence le chantier du dossier médical personnel, dit "DMP". Prévu par la loi du 13 août 2004 relative à l'assurance maladie, le DMP est en quelque sorte une forme de carnet de santé électronique. Suivant cette loi, il a notamment pour objet de favoriser la coordination, la qualité et la continuité des soins. Il vise également à optimiser les dépenses de santé, sa consultation permettant par exemple d'éviter de renouveler un examen déjà pratiqué. Il est par ailleurs prévu un dispositif incitant patients et médecins à utiliser le DMP.
Afin de permettre aux différents professionnels de santé autorisés d'accéder facilement, sur le plan matériel, au DMP de leur patient, la loi 13 août 2004 précitée a choisi que ce dossier sera créé auprès d'un hébergeur. Ainsi était-il nécessaire que la loi précise les conditions et les garanties de cet hébergement, non pas pour le seul DMP mais plus généralement pour toutes les données de santé à caractère personnel.
La nouvelle réglementation : l'obligation d'un contrat et de la sécurisation
Le code de la santé publique complété dernièrement par le décret du 4 janvier 2006 précité, prévoit tout d'abord le principe que l'hébergeur de données médicales à caractère personnel devra être agréé par le ministre de la santé. Il énonce à cet égard un certain nombre d'exigences dont deux méritent une attention particulière.
D'une part la prestation d'hébergement devra faire l'objet d'un contrat dont un modèle devra être fourni avec la demande d'agrément.
Neuf clauses sont rendues obligatoires. Le professionnel de l'Internet notera notamment une clause mentionnant les indicateurs de qualité et de performance permettant la vérification du niveau de qualité de service annoncé et la périodicité de leur mesure. L'hébergeur devra ainsi se doter d'une véritable politique de qualité de service sur laquelle il devra s'engager.
D'autre part, l'hébergeur devra disposer d'une politique de confidentialité et de sécurité couvrant les quatre matières suivantes : le respect des droits des personnes concernées par les données hébergées, la sécurité de l'accès aux informations, la pérennité des données hébergées, et l'organisation et les procédures de contrôle interne. Il semble clair que l'hébergement de données de santé à caractère personnel devra se situer au plus haut de l'hébergement sécurisé dont il deviendra sûrement un référentiel de poids.
Enfin, mentionnons que l'hébergeur a l'interdiction absolue, sous peine de sanctions pénales, de céder, y compris à titre gratuit même avec l'autorisation de la personne concernée, des données de santé, directement ou indirectement identifiantes. |
