Un premier projet de décret précise les modalités de mise en place de la certification hébergeur de données de santé.
Premier projet de décret
Un premier projet de décret d’application de l’article L.1111-8 du Code de la santé publique, modifié par la loi de santé, a été notifié à la Commission européenne, conformément aux dispositions de la directive « Services de la société de l’information » n°2015-1535, pour des règles techniques restreignant la fourniture de services.
Cette notification s’accompagne d’un court texte de motivation dans lequel il est rappelé :
« Cette certification est ainsi établie en vue de garantir aux personnes physiques le respect de leur vie privée et du secret médical. Elle est de nature à diminuer le risque de violation des données à caractère personnel en renforçant les conditions de leur hébergement. »
Mise en place de la certification hébergeur de données de santé
Le projet de décret modifie les articles R.1111-1 et suivants du Code de la santé publique. Outre le passage à la certification et l’uniformisation avec la nouvelle rédaction de l’article L.1111-8 du code précité, qu’apporte le projet de décret par rapport au régime en vigueur ?
Le premier apport de l’article 3 du projet de décret, spécifique à la certification, est la mention explicite de la qualité de responsable de traitement, au sens de la loi n°78-17 du 6 janvier 1978 des personnes à l’origine de la production ou du recueil de ces données. Celui-ci a expressément la responsabilité de vérifier si l’hébergeur est bien titulaire de la certification hébergeur de données de santé. La qualité de responsable de traitement n’était auparavant précisée que dans le FAQ de l’ASIP Santé.
Les activités assurées en tout ou partie par les hébergeurs sont désormais listées :
- la mise à disposition et le maintien en condition opérationnelle :
- des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
- de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
- de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
- de la plateforme d’hébergement d’applications du système d’information ;
- l’administration et l’exploitation du système d’information contenant les données de santé ;
- la sauvegarde des données de santé. »
Contenu du contrat d’hébergement
La liste des clauses obligatoires des contrats d’hébergement actuellement à l’article R.1111-13 du Code de la santé publique a été remaniée dans le cadre de la certification hébergeur de données de santé.
De nouvelles clauses ont été rendues obligatoires :
- périmètre du certificat de conformité, ses dates de délivrance et de renouvellement ;
- lieux d’hébergement ;
- mesures mises en œuvre pour garantir le respect des droits des personnes concernées ;
- mention du référent contractuel du client de l’hébergeur pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
- mention de l’interdiction pour l’hébergeur d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
- engagement de l‘hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.
D’autres clauses obligatoires ont été complétées ou simplifiées (les apports sont en italiques), en conformité avec les bonnes pratiques en vigueur telles qu’exigées par le Comité d’agrément jusqu’à présent :
- description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données hébergées ;
- mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l’existence ou l’absence de pénalités applicables au non-respect de ceux-ci ;
- modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées (simplification) ;
- obligations de l’hébergeur à l’égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;
- information sur les garanties et les procédures mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
- présentation des prestations à la fin de l’hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d’hébergement de données de santé.
La clause sur le recours à des prestataires techniques externes est inchangée :
« information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l’hébergeur ».
La clause générale relative à la description des moyens mis en œuvre pour la fourniture des services à quant à elle été supprimée des clauses obligatoires.
Enfin, le mécanisme de report des obligations et des mentions obligatoires du contrat d’hébergement conclu par l’éditeur logiciel ou revendeur vers le contrat entre le client final et l’éditeur ou revendeur est désormais entériné dans le respect des bonnes pratiques édictées par l’ASIP Santé dans son FAQ jusqu’à présent.
Entrée en vigueur et modalités transitoires
La mise en place de la certification hébergeur de données de santé est prévue pour le 1er janvier 2018. L’ordonnance n°2017-27 du 12 janvier 2017 relative à la certification et l’article 3 du décret précité entrent donc en vigueur au 1er janvier 2018.
Les dispositions de l’article 1 et 2 du décret précité harmonisant les textes réglementaires avec la rédaction actuelle de l’article L.1111-8 du Code de la santé publique, tel que modifié par la loi de santé, entreront en vigueur le lendemain de la publication dudit décret.
Le projet de décret prévoit des dispositions transitoires :
- le régime actuel restera applicable à tous les agréments délivrés avant le 1er janvier 2018 ou à ceux délivrés après cette date pour les demandes déposées jusqu’au 31 décembre 2017 ;
- les agréments expirant dans le courant de l’année 2018 seront prolongés de 6 mois pour permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.
Il doit être précisé que l’article R.1111-10 du Code de la santé publique est modifié pour que le silence du ministre chargé de la Santé, dans le délai de 2 mois après l’avis du comité, vaille acceptation et non plus rejet.
Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique