La réglementation en vigueur impose aux professionnels de santé (PS), aux établissements de santé (ES) et à la personne concernée de recourir à un hébergeur agréé à cet effet, en cas d’externalisation de l’hébergement de données de santé à caractère personnel (1).
Les ES et PS hébergeant eux-mêmes les données de santé des patients dont ils assurent la charge sont dispensés de la procédure d’agrément. A ce jour, la personne qui confie à l’hébergeur des données (le déposant) est tenue de recueillir le consentement exprès de la personne concernée au titre de l’hébergement, des modalités d’accès et des modalités de transmission. Ce consentement n’est pas requis dès lors que seul le déposant accède aux données de santé hébergées. Le projet de loi de santé n°505, adopté en première lecture à l’Assemblée nationale le 14 avril 2015, modifie cette procédure.
Les articles 25 et 51 du projet de loi modifient l’article 1111-8 CSP et en particulier habilitent le gouvernement à prendre par voie d’ordonnance des mesures de simplification de la procédure dans un délai de douze mois à compter de la promulgation.
La loi sera a priori d’application immédiate, et l’ordonnance modifiant le décret hébergement sera prise dans le délai susvisé. A l’issue de ce délai, un référentiel précisant le contenu du dossier devrait être établi (2). Le régime transitoire ne dispensera pas de la nécessité de disposer d’un agrément.
Le projet de loi supprime la référence aux PS, ES et personne concernée de sorte que tout responsable de traitement de données de santé à caractère personnel doit respecter l’obligation de recourir à un tiers agréé pour l’hébergement de données de santé. Ainsi, l’obligation de certification est élargie notamment aux personnes hébergeant des données à l’occasion d’activités de suivi social et médico-social (art.25-4-a).
L’hébergement sera réalisé après que « la personne en a été dûment informée et sauf opposition pour un motif légitime » (art.25-4-a). Cette nouvelle disposition dispense le déposant du recueil d’un consentement exprès, tel que prévu dans le régime actuel, sous réserve de la délivrance d’une information préalable.
L’ordonnance définira les conditions dans lesquelles le médecin de l’hébergeur peut accéder aux données de santé à caractère personnel. Les contrats devront donc être mis à jour afin d’intégrer ces conditions (art.51-I-5°).
L’attestation de la conformité de l’hébergement aux exigences légales et réglementaires ne se traduira plus par la délivrance d’un agrément par l’Asip santé mais par celle d’une accréditation par l’instance nationale d’accréditation (art.51-I-5°).
Enfin, le projet de loi entend harmoniser cette nouvelle procédure d’accréditation et les dispositions du Code du patrimoine relatives à l’archivage (3) afin d’éviter que les établissements publics de santé et les établissements de santé privé d’intérêt collectif soient soumis à une double obligation lorsqu’ils confient les données de santé et leur archivage à un tiers hébergeur (art.51-I-5°).
En tout état de cause, l’objectif du projet de loi est toujours d’assurer la confidentialité et la sécurité des données de santé. Dès lors, les conditions techniques nécessaires pour ce faire, telles que mises en œuvre par les hébergeurs agréés à ce jour, ne seront pas impactées.
Marguerite Brac de La Perrière
Alix d’Omezon
Lexing Droit Santé numérique
(1) CSP, art. 1111-8.
(2) Décr. 2006-6 du 4- 1-2006.
(3) C. patrimoine, art. L.212-4.