La loi de santé n° 2019-774 relative à l’organisation et à la transformation du système de santé a été promulguée le 24 juillet 2019 et est parue au Journal officiel le 26 juillet 2019. Elle traduit notamment la stratégie « Ma santé 2022 ».
Cette loi « vise à faire émerger un système de santé mieux organisé dans les territoires, renforçant l’accès aux soins. [Elle] favorise les coopérations entre les acteurs et les métiers de la santé, et assure à chaque Français la qualité et la sécurité des soins. [Elle] dépasse les approches sectorielles et apporte des réponses globales et cohérentes aux enjeux auxquels est confronté le système de soins ».
La loi introduit 3 axes majeurs de développement en santé numérique :
- la création d’une plateforme de données de santé,
- l’ouverture d’une espace numérique de santé pour chaque usager, et
- le développement de la télésanté.
Plateforme des données de santé
Cette plateforme des données de santé positionnerait « la France parmi les pays en pointe en termes de structuration des données de santé, tout en préservant un haut niveau de protection de la vie privée ».
La plateforme des données de santé, ou Health Data Hub, est portée par un groupement d’intérêt public du même nom, remplaçant l’Institut national des données de santé (INDS).
Il est notamment chargé « de réunir, organiser et mettre à disposition les données du système national des données de santé » (SNDS), dont le périmètre a été élargi, « de promouvoir l’innovation dans l’utilisation des données de santé », et « d’accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d’appels à projets lancés à son initiative ».
Sur ce dernier point, dix projets pilotes ont été sélectionnés le 16 avril 2019, dans le cadre de l’appel à projet. Ils ont pour mission de contribuer à la coconstruction du Health Data Hub par l’enrichissement de son catalogue de données et l’expérimentation de son offre de services.
Agnès Buzyn, a exprimé le souhait de voir le Health Data Hub définitivement créé d’ici au 31 octobre 2019.
Une fois la plateforme définitivement créée, il conviendra de déterminer les moyens d’accès et d’utilisation des données de santé stockées.
Une autre nouveauté introduite par la loi de Santé est l’ouverture d’un espace numérique de santé pour chaque usager, sauf opposition de sa part, et dans le respect des référentiels d’interopérabilité, tel que développé ci-dessous.
Espace numérique de santé pour chaque usager
Conformité à la PGSSI-S et au CI-SIS
La nouvelle loi de Santé modifie l’article L.1110-4-1 du Code de la santé publique en précisant notamment son périmètre d’application.
Ainsi, l’obligation de conformité aux référentiels d’interopérabilité et de sécurité concerne les personnes ou organismes suivants :
- les professionnels de santé et les personnes exerçant sous leur autorité, les établissements et services de santé, le service de santé des armées et tout organisme participant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le Code de la santé publique ;
- les professionnels des secteurs médico-social et social et les établissements ou services des secteurs médico-social et social ;
- les organismes d’assurance maladie, ayant pour finalité principale de contribuer directement à la prévention ou au suivi du parcours de soins des patients.
L’article L. 1110-4-1 précité précise en outre le mécanisme d’élaboration des référentiels, qui s’effectue en concertation avec les représentants des secteurs susvisés. Il rappelle que les référentiels doivent être approuvés par arrêtés du ministre chargé de la santé.
S’agissant particulièrement des référentiels d’interopérabilité, la loi de Santé précise qu’ils sont fondés sur des « standards ouverts en vue de faciliter l’extraction, le partage et le traitement des données de santé dans le cadre de la coordination des parcours de soins, de l’amélioration de la qualité des soins et de l’efficience du système de santé ou à des fins de recherche clinique, chaque fois que le recours à ces standards est jugé pertinent et possible ».
Interopérabilité des systèmes d’information
La loi de Santé introduit, dans un nouvel article L.1110-4-2 du Code de la santé publique, une procédure d’évaluation et de certification permettant d’attester « la conformité d’un système d’information ou d’un service ou outil numérique en santé aux référentiels d’interopérabilité mentionnés à l’article L. 1110‑4‑1 [du Code de la santé publique] ».
La procédure d’évaluation et de certification sera définie par décret en Conseil d’Etat.
A une date fixée par décret, et à compter du 1er janvier 2023 au plus tard, l’attribution de certains fonds publics sera conditionnée à des engagements de mise en conformité aux référentiels d’interopérabilité susmentionnés.
Cette nouvelle obligation impose aux éditeurs de distribuer des logiciels conformes aux référentiels d’interopérabilité. Les établissements de santé ou autres entités faisant appel à des éditeurs de logiciels devront être vigilants et devront notamment encadrer contractuellement le respect de cette obligation de conformité.
Parmi les documents constitutifs du Cadre d’Interopérabilité des Systèmes d’Information de Santé (CI-SIS) publiés, le Volet structuration minimale de documents de santé présente les principaux éléments permettant de rendre un système d’information interopérable.
Le nouvel article L.1110-4-2 du Code de la santé publique impose notamment que certains contrats comprennent des engagements relatifs à l’acquisition ou à l’utilisation de systèmes d’information ou de services ou outils numériques en santé dont la conformité aux référentiels d’interopérabilité est attestée par la procédure d’évaluation et de certification.
Il s’agit des contrats suivants :
- les conventions d’objectifs et de gestion mentionnées à l’article L.227-1 du Code de la sécurité sociale ;
- les contrats pluriannuels d’objectifs et de moyens mentionnés à l’article L.1435-3 du Code de la santé publique ;
- les contrats ayant pour objet d’améliorer la qualité et la coordination des soins mentionnés à l’article L.1435-4 du Code de la santé publique.
Ces contrats devront donc être modifiés afin d’être conformes à cette nouvelle disposition, qui entrera en vigueur à une date fixée par décret, et au plus tard le 1er janvier 2023.
La sanction en cas de non-respect des référentiels d’interopérabilité est donc un défaut d’attribution de fonds publics.
Il y a lieu de relever que cette nouvelle procédure d’évaluation et de certification ne concerne que les référentiels d’interopérabilité (CI-SIS) à l’exclusion des référentiels de sécurité (PGSSI-S).
Sécurité des systèmes d’informatio de santé
Si aucune procédure d’évaluation et de certification de la conformité n’est prévue par la Loi s’agissant de la PGSSI-S, c’est qu’il n’y avait nul besoin de créer des sanctions spécifiques en cas de non-respect par les acteurs concernés, puisque qu’elles sont celles prévues par les dispositions du RGPD.
En effet, et pour mémoire, l’article 32 du RGPD impose aux responsables de traitement et sous-traitants de mettre en œuvre les mesures techniques et organisationnelles appropriées, lesquelles doivent donc s’apprécier au regard du référentiel légal applicable au secteur, c’est-à-dire les dispositions des articles L.1110-4 et L1110-4-1 CSP, ces dernières portant sur la PGSSI-S.
Ainsi, en cas de non-respect de la PGSSI-S, ce sont les sanctions prévues par l’article 83 du RGPD qui sont encourues, et s’agissant d’un défaut de sécurité, a priori 10 000 000 €.
En outre et enfin, la nouvelle loi prévoit que des mesures complémentaires d’incitation à la mise en conformité pourront être prévues par décret en Conseil d’Etat. Une vigilance particulière est dès lors nécessaire s’agissant des éventuels textes à venir en la matière.
Ainsi, l’interopérabilité des systèmes d’information est mise à l’honneur par le Gouvernement dans la mesure où il s’agit d’une condition sine qua non à la bonne coordination des soins, et qu’elle s’inscrit dans la volonté de développement d’un espace numérique de santé pour chaque usager.
Espace numérique par défaut
La loi de Santé prévoit désormais l’ouverture gratuite et automatique d’un espace numérique pour chaque usager sauf opposition de sa part. L’ouverture de cet espace numérique n’est donc pas subordonnée au recueil de son consentement.
Cet espace numérique de santé comportera notamment
- les données administratives de la personne concernée,
- son dossier médical personnalisé (DMP),
- les constantes de santé issues des applications et objets connectés renseignés dans l’espace numérique,
- les informations relatives aux remboursements des dépenses de santé,
- ainsi que des outils d’échange et de partage sécurisés (MSS, télésanté, etc.).
L’article 50 de la loi prévoit désormais l’ouverture automatique du dossier médical partagé (DMP), sauf opposition de l’usager. L’article 51 précise que dans le cadre de la médecine du travail, le DMP est accessible « uniquement pour y déposer des documents ».
Chaque usager peut exercer ses droits garantis par le RGPD sur ses données contenues dans son espace numérique de santé. Il peut librement proposer des accès temporaires ou permanents à son espace numérique de santé à un établissement de santé, un professionnel ou une équipe de soins, extraire des données de l’espace numérique de santé ou clore son espace.
L’identifiant de l’espace numérique de santé est l’identifiant national de santé mentionné à l’article L.1111-8-1 du Code de la santé publique (NIR) et le titulaire de l’espace peut y avoir accès après identification et authentification.
Accès à l’espace numérique et prérequis des services et outils
La loi prévoit la possibilité pour le Gouvernement de prendre, par voie d’ordonnance, toute mesure relative à l’identification et à l’authentification des acteurs de santé, notamment afin d’adapter l’usage de la carte de professionnel de santé (CPS) aux outils numériques.
L’objectif est de dématérialiser les moyens techniques d’identification et d’authentification et d’accompagner le développement de services numériques tels que la prescription électronique et la télémédecine.
Bien sûr, les services et outils numériques doivent respecter les référentiels d’interopérabilité du CI-SIS mais également les référentiels de sécurité de la PGSSI-S pour être intégrés dans l’espace numérique de santé.
Les conditions et modalités d’application des dispositions relatives à l’espace numérique de santé seront définies par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés.
Déploiement de la télémédecine et du télésoin
Introduction du télésoin dans le code de la santé publique
La loi modifie le Code de la santé publique en remplaçant dans le Livre III de sa sixième partie, dans son Titre Ier et dans son Chapitre VI, les termes « télémédecine » par « télésanté ». Elle intègre deux sections dans ce chapitre VI rebaptisé : l’une portant sur la télémédecine et l’autre portant sur le télésoin.
Le télésoin est défini comme une forme de pratique de soins à distance utilisant les technologies de l’information et de la communication qui met en rapport un patient avec un ou plusieurs pharmaciens ou auxiliaires médicaux.
Les activités de télésoin seront définies par arrêté du ministre de la santé pris après avis de la Haute Autorité de Santé (HAS). Les conditions de mise en œuvre des activités de télésoin seront fixées par décret en Conseil d’Etat.
La prise en charge des activités de télésoin par l’assurance maladie est conditionnée par :
- l’utilisation d’une vidéotransmission ;
- la réalisation préalable, en présence du patient, d’un premier soin par un pharmacien ou un auxiliaire médical de la même profession que celle du professionnel assurant le télésoin.
L’activité du professionnel de santé accompagnant le cas échéant le patient n’est pas prise en charge dans le cadre du télésoin.
Les conditions de prise en charge des activités de télésoin seront fixées par décret en Conseil d’Etat.
Les contrats pris dans le cadre d’activités de télésoin devront nécessairement prendre en compte les règlementations à venir.
Par ailleurs, l’article 54 de la nouvelle loi de santé supprime les restrictions géographiques à l’exercice de la télémédecine.
Prescription électroniqe et dématérialisation des arrêts de travail
Enfin, la loi prévoit la possibilité pour le Gouvernement de prendre par voie d’ordonnance, prise dans un délai de 12 mois à compter de la publication de la présente loi, toute mesure afin de généraliser par étapes la prescription électronique (e-prescription) d’ici 2021, conformément à ce qui était prévu par la stratégie « Ma santé 2022« .
Ces ordonnances pourront également porter sur les « règles régissant les conditions de certification des logiciels d’aide à la prescription et à la dispensation, tout en assurant la sécurité et l’intégrité des données ».
Par ailleurs, la nouvelle loi de Santé rend obligatoire, à compter du 31 décembre 2021 au plus tard, la transmission des arrêts de travail de manière dématérialisée par l’intermédiaire d’un service mis à la disposition des professionnels de santé par les organismes d’assurance maladie, sauf exceptions.
Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique