Le gouvernement veut se donner le temps d’adopter les référentiels de sécurité et d’interopérabilité nécessaires à la procédure d’agrément des hébergeurs de données de santé à caractère personnel. La loi du 30 janvier 2007 (1) ratifiant l’ordonnance relative à l’organisation de certaines professions de santé (Ordonnance n°2005-1040 du 26 août 2005) a suspendu, sauf lorsqu’il s’agit d’héberger des dossiers médicaux personnels (2), pour une durée de deux ans, la procédure d’agrément des hébergeurs de données personnelles de santé prévue par l’article L.1111-8 du CSP. Cette procédure s’avère, en effet, très difficile à mettre en œuvre, tant que n’auront pas été adoptés des référentiels de sécurité et d’interopérabilité, permettant aux candidats d’obtenir une certification auprès d’organismes accrédités.
Pendant la période de suspension, la procédure découlant de la loi du 6 janvier 1978 sur l’informatique et les libertés continuera à s’appliquer normalement. Les garanties de fond et de procédure que prévoit cette loi, avec en particulier l’intervention systématique de la Cnil, seront donc maintenues. La procédure d’agrément continuera à s’appliquer à l’activité spécifique d’hébergement des DMP (dossier médical personnel), activité nouvelle qui mérite particulièrement d’être encadrée et sur laquelle le comité d’agrément pourra se concentrer. Il semblerait donc que l’activité d’hébergement de données de santé à caractère personnel, autres que celles constituant le dossier médical personnel, ne soit pas, pour la durée de suspension, régie par les dispositions de l’article L. 1111-8 du CSP.
(1) Loi 2007-127 du 30 janvier 2007 (parue au JO du 1er février 2007)
(2) Cnil, Fiche de synthèse du 5 février 2007