Informatique et libertés
L’hébergement de données de santé : le nouveau cadre juridique
Le chantier du dossier médical personnel (DMP) avance lentement mais sûrement. Le décret du 4 janvier 2006 qui concerne essentiellement l’aspect technique et informatique du projet de DMP va permettre de lancer les candidatures en vue de l’hébergement de données de santé selon la procédure et les exigences prescrites (sécurité, confidentialité…). Un véritable cadre juridique applicable à l’hébergement de données de santé à caractère personnel est ainsi fixé.
Les conditions fixées par le décret du 4 janvier 2006 sont strictes compte tenu de la nature sensible des données hébergées, s’agissant d’informations médicales. Il est important de remarquer que le décret ne définit pas la notion « d’hébergement de données de santé » mais vise le fait de « déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agréées à cet effet ». Dans ces conditions, l’hébergeur de données de santé ne doit pas être confondu avec « l’hébergeur » ou le « prestataire de stockage » visé par la loi pour la confiance dans l’économie numérique . Ces deux prestataires techniques sont différents : le premier s’apparente à une sorte de séquestre informatique auprès duquel sont « déposées » des données dont l’accessibilité est limitée alors que le second assure pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par ses clients.
En outre, le Code de la santé publique complété par le décret prévoit les conditions que doit remplir le prestataire souhaitant obtenir l’agrément requis pour héberger des données de santé. Il devra notamment définir et mettre en œuvre une politique de confidentialité et de sécurité permettant d’assurer le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations et la pérennité des données hébergées. Ceci induira sans doute le déploiement de process nouveaux et la mise en place d’un schéma directeur visant à se conformer aux dispositions légales et notamment à la loi « Informatique et libertés ».
De plus, la prestation d’hébergement devra faire l’objet d’un contrat entre l’hébergeur et son client (établissement de santé, médecins…) comportant neuf clauses obligatoires parmi lesquelles une clause mentionnant les indicateurs de qualité et de performance permettant la vérification du niveau de qualité de service annoncé et la périodicité de leur mesure, une clause décrivant les prestations réalisées, une autre relative aux obligations de l’hébergeur à l’égard de la personne à l’origine du dépôt des données de santé à caractère personnel, en cas de modifications ou d’évolutions techniques introduites par lui, une autre relative à l’information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l’activité d’hébergement, et enfin une clause traitant de l’information sur les garanties permettant de couvrir toute défaillance éventuelle de l’hébergeur.
Il conviendra d’adapter les contrats d’hébergement existants à ces nouvelles exigences légales. Enfin, précisions que l’agrément est délivré aux hébergeurs de données de santé pour trois ans renouvelables et que le ministre de la santé peut procéder au retrait ou à la suspension de l’agrément dans certaines conditions. Ceci nécessitera d’établir un dossier d’agrément en bonne et due forme.
Chloé Torres
Directeur du département Informatique & libertés
chloe-torres@lexing.law