Conformément à ce qui été prévu dans la loi du 4 mars 2002, et plus particulièrement au sein de l'article L 1111-8 codifié au Code la Santé Publique, les "hébergeurs de données de santé à caractère personnel", assistent à la réglementation de leur activité appelée de ses vœux par la CNIL (Recommandation issue de la Délibération CNIL N° 01-011 du 8 mars 2001). Le projet de Décret, annoncé au sein de cet article et tant attendu a enfin été circularisé, en vue d'être discuté, notamment par les professionnels concernés, et ce avant sa publication.

Ce Décret organise un certain nombre de nouvelles obligations à la charge des hébergeurs de données de santé à caractère personnel, étant précisé que :
- les données de santé concernées sont les données déposées auprès des "hébergeurs" soit par les professionnels de santé, soit par les patients eux-mêmes, et recueillies à l'occasion des activités de prévention, de diagnostic ou de soins,
- l'activité d'hébergement est définie comme "l'organisation du dépôt et la conservation des données, notamment de manière à en assurer la pérennité et la confidentialité", c'est-à-dire ne correspondant, ni n'opérant de référence à la définition légale existante de l'activité d'hébergement (Loi 2000-719 du 1er Août 2000 et projet de loi pour la confiance dans l'économie numérique),
- l'activité d'hébergement devra nécessairement être fournie, à partir d'un Etat membre de l'Union européenne, ou à tout le moins à partir d'un Etat offrant des garanties équivalentes à celles existantes en droit français en matière de protection des données sensibles et du secret médical ,
- il n'est enfin pas précisé si les professionnels de santé - ou établissements de santé - qui assurent eux-mêmes l'hébergement des données concernées, sont soumis à ces dispositions. C'est là l'un des premiers écueils du projet de Décret, qui devra être précisé, puisque l'hébergement des données de santé personnelles par des professionnels ou des établissements de santé est fréquent.

Concrètement, l'obtention de l'agrément repose sur un certain nombre d'obligations techniques, juridiques et organisationnelles, et est sollicité devant le Comité d'agrément placé près le ministère de la Santé, par le dépôt d'un dossier dont le contenu, fixé au sein du projet de Décret, a pour objet de rendre compte au comité de la satisfaction de l'ensemble desdites obligations :
- la conclusion d'un contrat entre l'hébergeur et le dépositaire des données dont les dispositions devront intégrer a minima les clauses dont le contenu est défini au sein du projet de Décret (parmi lesquelles la description des prestations, les garanties en cas de défaillance de l'hébergeur, les obligations en matière de réversibilité des prestations, les modalités de résiliation et dans ce cas là de restitution des données) ;
- la mise en oeuvre d'une politique de confidentialité, dont les spécifications sont décrites au sein du projet de décret, ayant vocation à définir les règles et l'organisation destinées à assurer la sécurité des traitements et la protection des informations ( intégrité des données, disponibilité et continuité de services), les modalités d'accès à ces données, les mécanismes de contrôle et de sécurité informatique ainsi que les procédures de contrôle interne ; il s'agit de la pierre angulaire du dispositif légal et réglementaire ainsi mis en œuvre.

Il est intéressant de relever plus particulièrement que le projet de Décret requiert, au sein de la politique de confidentialité, la description des moyens permettant aux "hébergeurs" de satisfaire l'exercice du droit d'accès direct des patients à leur dossier médical, et ce dans de brefs délais (huit jours pour toutes les données ou deux mois pour les données collectées plus de cinq ans avant la demande d'accès direct (Disposition phare de la Loi du 4 mars 2002 sur la qualité du système de santé codifiée à l'article L 1111-7 Code de la Santé Publique.), et ajoute en leur faveur un droit d'accès tout aussi direct "aux traces des accès et des traitements" : tout patient pourra à ce titre non seulement accéder aux données de santé qui le concerne mais pourra, en principe, disposer de l'identification des personnes ayant consulté ses données, et ainsi disposer de preuves susceptibles de s'avérer fort utiles à la défense de leurs droits notamment dans le cadre de litige de responsabilité médicale.

- la réalisation d'un audit technique externe à partir du référentiel d'agrément préalablement établi par le Comité d'agrément, confié à un prestataire spécifiquement habilité à cet effet par le Comité d'agrément, et ayant pour objet de vérifier la mise en œuvre effective et conforme de la politique de confidentialité de l'hébergeur. Les frais de cet audit sont à la charge du candidat à l'agrément.

Le dossier devra contenir en outre les comptes prévisionnels de l'activité du candidat, et dans le cadre de la procédure de demande de renouvellement de l'agrément accordé initialement pour une durée de trois ans, les comptes consolidés de celui-ci, étant toutefois précisé qu'une telle vérification ne pourra parfaitement neutraliser le risque de discontinuité des services d'hébergement en cas de difficultés financières graves de "l'hébergeur", par exemple soumis à une procédure de liquidation judiciaire.

A ce titre, la mise en place d'un opérateur tiers de confiance de secours pourrait valablement être envisagée dans ces cas là.

Bien entendu, le demandeur devra également joindre le ou les récépissés obtenu(s) par ailleurs de la CNIL à l'occasion de la réalisation des formalités préalables imposées par la loi Informatique, fichiers et Libertés, ainsi que décrire les modalités dans le cadre desquelles les personnes concernées pourront exercer leur droit d'accès à leurs données personnelles.

Le législateur a ainsi souhaité réserver l'activité d'hébergement de données de santé à caractère personnel aux seules entités en mesure de garantir des niveaux de sécurité technique mais aussi juridique et financière adaptés à la sensibilité de ces données "pas comme les autres". Ce faisant, ce Décret, qui nécessite des précisions quant à certaines de ses dispositions, va sans nul doute entraîner une restructuration du marché concerné par la sélection qu'il va opérer.

L'informatisation de la pratique médicale et la dématérialisation des échanges entre les professionnels de santé et/ou avec les patients ont en effet conduit le législateur à organiser une nouvelle "profession réglementée" pénalement sanctionnée, tel que cela est le cas de toutes les professions de santé, étant rappelé que seuls les "hébergeurs agréés" pourront, sous peine de sanctions pénales poursuivre cette activité.

Les "hébergeurs" candidats devraient à ce titre anticiper le dépôt d'une demande d'agrément qui devra être effectuée nécessairement dans les trois mois de la publication du décret, et prévoir la constitution d'un dossier cohérent et complet, l'obtention en temps opportuns de cet agrément étant de nature à les faire bénéficier d'une faveur de ce "nouveau marché".

[nathalie@beslay.net]

Sommaire de la rubrique