La procédure d’agrément des hébergeurs de données de santé à caractère personnel vient d’être refondée par la loi de santé.
La loi de modernisation de notre système de santé du 26 janvier 2016 (1) a remplacé l’agrément par une procédure de certification.
Rappelons que la procédure d’agrément des hébergeurs de données de santé à caractère personnel a été instaurée par la loi n°2002-303 du 4 mars 2002, dite « loi Kouchner ». Elle vise à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, lorsque leur hébergement est externalisé.
La loi de santé remplace l’agrément par une évaluation de conformité technique. D’après l’ASIP Santé (Agence des systèmes d’information partagés de santé), le candidat à l’agrément doit couvrir l’ensemble des obligations réglementaires, par lui-même ou en en reportant expressément certaines sur son client ou ses sous-traitants, dans le cadre du contrat d’hébergement ou du/des contrat(s) de sous-traitance.
L’ASIP Santé a anticipé sur la procédure de certification et segmenté les services des hébergeurs. Elle envisage 3 types de certification :
- Hébergeur d’infrastructure, incluant la fourniture de l’hébergement physique ainsi que la mise en œuvre des matériels informatiques, leur maintenance, et éventuellement l’activité de sauvegardes externalisées ;
- Infogérance d’hébergement, incluant l’activité d’infogérance hors infogérance de l’application métier, et éventuellement l’activité de sauvegardes externalisées ;
- Hébergeur de données de santé, regroupant les deux premières certifications.
Les hébergeurs seraient désormais certifiés pour 3 ans par un organisme certificateur, lui-même accrédité par un organisme accréditeur pour 5 ans (en France, le COFRAC).
La nouvelle procédure de certification serait mise en place après la publication de l’ordonnance du gouvernement et aussi de référentiels par l’ASIP Santé, soit à une échéance de 2 ans à compter de la promulgation de la loi le 26 janvier 2016.
Les agréments en vigueur à cette date devraient rester valables jusqu’à leur terme.
Marguerite Brac de la Perrière, Aude Latrive, pour L’Usine Digitale, « Données de santé : ce que change la loi du 26 janvier 2016« , le 29 janvier 2016.
(1) Loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.