Hébergeur de données
personnelles de santé : un métier sous contrôle Par le Journal du Net (Benchmark Group) URL : http://www.journaldunet.com/juridique/juridique031021.shtml Lancer l'impression Mardi 21 octobre 2003
Conformément à ce qui été prévu dans la loi du 4 mars 2002, et plus particulièrement au sein de l'article L 1111-8 codifié au Code la Santé Publique, les "hébergeurs de données de santé à caractère personnel", assistent à la réglementation de leur activité appelée de ses vux par la CNIL (Recommandation issue de la Délibération CNIL N° 01-011 du 8 mars 2001). Le projet de Décret, annoncé au sein de cet article et tant attendu a enfin été circularisé, en vue d'être discuté, notamment par les professionnels concernés, et ce avant sa publication.
Concrètement, l'obtention de l'agrément repose
sur un certain nombre d'obligations techniques, juridiques et organisationnelles,
et est sollicité devant le Comité d'agrément placé près le ministère de
la Santé, par le dépôt d'un dossier dont le contenu, fixé au sein du projet
de Décret, a pour objet de rendre compte au comité de la satisfaction
de l'ensemble desdites obligations : Il est intéressant de relever plus particulièrement que le projet de Décret requiert, au sein de la politique de confidentialité, la description des moyens permettant aux "hébergeurs" de satisfaire l'exercice du droit d'accès direct des patients à leur dossier médical, et ce dans de brefs délais (huit jours pour toutes les données ou deux mois pour les données collectées plus de cinq ans avant la demande d'accès direct (Disposition phare de la Loi du 4 mars 2002 sur la qualité du système de santé codifiée à l'article L 1111-7 Code de la Santé Publique.), et ajoute en leur faveur un droit d'accès tout aussi direct "aux traces des accès et des traitements" : tout patient pourra à ce titre non seulement accéder aux données de santé qui le concerne mais pourra, en principe, disposer de l'identification des personnes ayant consulté ses données, et ainsi disposer de preuves susceptibles de s'avérer fort utiles à la défense de leurs droits notamment dans le cadre de litige de responsabilité médicale. - la réalisation d'un audit technique externe à partir du référentiel d'agrément préalablement établi par le Comité d'agrément, confié à un prestataire spécifiquement habilité à cet effet par le Comité d'agrément, et ayant pour objet de vérifier la mise en uvre effective et conforme de la politique de confidentialité de l'hébergeur. Les frais de cet audit sont à la charge du candidat à l'agrément. Le dossier devra contenir en outre les comptes prévisionnels de l'activité du candidat, et dans le cadre de la procédure de demande de renouvellement de l'agrément accordé initialement pour une durée de trois ans, les comptes consolidés de celui-ci, étant toutefois précisé qu'une telle vérification ne pourra parfaitement neutraliser le risque de discontinuité des services d'hébergement en cas de difficultés financières graves de "l'hébergeur", par exemple soumis à une procédure de liquidation judiciaire. A ce titre, la mise en place d'un opérateur tiers de confiance de secours pourrait valablement être envisagée dans ces cas là. Bien entendu, le demandeur devra également joindre le ou les récépissés obtenu(s) par ailleurs de la CNIL à l'occasion de la réalisation des formalités préalables imposées par la loi Informatique, fichiers et Libertés, ainsi que décrire les modalités dans le cadre desquelles les personnes concernées pourront exercer leur droit d'accès à leurs données personnelles. Le législateur a ainsi souhaité réserver l'activité d'hébergement de données de santé à caractère personnel aux seules entités en mesure de garantir des niveaux de sécurité technique mais aussi juridique et financière adaptés à la sensibilité de ces données "pas comme les autres". Ce faisant, ce Décret, qui nécessite des précisions quant à certaines de ses dispositions, va sans nul doute entraîner une restructuration du marché concerné par la sélection qu'il va opérer. L'informatisation de la pratique médicale et la dématérialisation des échanges entre les professionnels de santé et/ou avec les patients ont en effet conduit le législateur à organiser une nouvelle "profession réglementée" pénalement sanctionnée, tel que cela est le cas de toutes les professions de santé, étant rappelé que seuls les "hébergeurs agréés" pourront, sous peine de sanctions pénales poursuivre cette activité. Les "hébergeurs" candidats devraient à ce titre anticiper le dépôt d'une demande d'agrément qui devra être effectuée nécessairement dans les trois mois de la publication du décret, et prévoir la constitution d'un dossier cohérent et complet, l'obtention en temps opportuns de cet agrément étant de nature à les faire bénéficier d'une faveur de ce "nouveau marché". [Rédaction, JDNet] |
|