Actualité web & High tech sur Usine Digitale

Données de santé : ce que change la loi du 26 janvier 2016

|
Twitter Facebook Linkedin Google + Email
×

La procédure d’agrément des hébergeurs de données de santé à caractère personnel vient d’être entièrement refondée par la loi de modernisation de notre système de santé du 26 janvier 2016 au bénéfice d’une procédure de certification.

Données de santé : ce que change la loi du 26 janvier 2016
Données de santé : ce que change la loi du 26 janvier 2016 © Withings

La loi de modernisation de notre système de santé n°2016-41 vient d’être promulguée le 26 janvier 2016 et publiée au journal officiel le 27 janvier 2016.

 

Rappelons que la procédure d’agrément des hébergeurs de données de santé à caractère personnel a été instaurée par la loi n°2002-303 du 4 mars 2002, dite "loi Kouchner". Elle  vise à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, lorsque leur hébergement est externalisé.

 

de l'Hébergement de données de santé à caractère personnel

Pilotée par l’ASIP Santé, elle s’impose dans les conditions suivantes : "Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée" (art. L.1111-8 Code de la Santé Publique).

 

Selon l’interprétation pragmatique de l’ASIP Santé, la réglementation (art. L1111-8 et R1111-9 à 14 CSP) s’applique à tout responsable de traitement, au sens de la loi Informatique et libertés n°78-17 du 6-1-1978 qui externalise l’hébergement des données de santé à caractère personnel qu’il traite, incluant notamment les mutuelles et assurances. L'agrément est délivré après instruction (8 mois maximum) d’un dossier remis par le candidat à l’ASIP Santé, s’articulant autour de 6 principaux formulaires détaillant les caractéristiques techniques, juridiques et économiques de la prestation d’hébergement.

 

D’après l’ASIP Santé, le candidat à l’agrément doit couvrir l’ensemble des obligations réglementaires, par lui-même ou en en reportant expressément certaines sur son client ou ses sous-traitants, dans le cadre du contrat d’hébergement ou du/des contrat(s) de sous-traitance.

 

Une évaluation de conformité technique remplace l’agrément

La loi de janvier 2016 modifie substantiellement l’art. 1111-8 CSP. Son article 96 I 5° a)  prévoit ainsi  : "Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime".

 

Cette nouvelle formulation étend le périmètre de l’obligation, pour les responsables de traitement, en cas d’externalisation de l’hébergement, de recourir à un hébergeur agréé, dès lors qu’elle s’impose dorénavant au secteur de la santé, mais aussi à celui du secteur social. Par ailleurs, le consentement de la personne concernée par les données - dûment informée - n’a plus à être recueilli : il est présumé. Enfin, l’article 204 I 5° c) de la loi habilite le gouvernement, par voie d’ordonnance, dans un délai d’1 an à compter de la promulgation de la loi, à remplacer l'agrément par une "évaluation de conformité technique".

 

3 types de certification

Recommandations :
- Anticiper sur le périmètre de certification concerné par sa prestation d’hébergement
- Mettre en conformité sa prestation d’hébergement avec la norme ISO27001, qui constituera le socle de la nouvelle certification 
- S’il était confirmé que les agréments en vigueur à la date de mise en place de la nouvelle certification le restaient jusqu’à leurs termes, anticiper sur le renouvellement des agréments en cours.
L’ASIP Santé a anticipé sur la procédure de certification et segmenté les services des hébergeurs. Elle envisage 3 types de certification :

- Hébergeur d’infrastructure, incluant la fourniture de l’hébergement physique ainsi que la mise en œuvre des matériels informatiques, leur maintenance, et éventuellement l’activité de sauvegardes externalisées 

- Infogérance d’hébergement, incluant l’activité d’infogérance hors infogérance de l’application métier, et éventuellement l’activité de sauvegardes externalisées 

- Hébergeur de données de santé, regroupant les deux premières certifications.

 

Ainsi, tous les acteurs de la chaîne seraient désormais certifiés pour leur périmètre de responsabilités, à l’exclusion du périmètre de son client ou de ses sous-traitants. De la sorte, les contrats d’hébergement et de sous-traitance n’auront plus à intégrer les reports d’obligations à leur égard et s’en trouveront donc largement simplifiés.

 

Certification pour 3 ans

Les hébergeurs seraient désormais certifiés pour 3 ans par un organisme certificateur, lui-même accrédité par un organisme accréditeur pour 5 ans (en France, le COFRAC).

 

La nouvelle procédure de certification serait mise en place après la publication de l’ordonnance du gouvernement et aussi de référentiels par l’ASIP Santé, soit à une échéance de 2 ans à compter de la promulgation de la loi le 26 janvier 2016.

 

Les agréments en vigueur à cette date devraient rester valables jusqu’à leur terme.

 

Marguerite Brac de la Perrière, Aude Latrive, avocats, cabinet Alain Bensoussan Avocats

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

Jouglet

31/01/2016 09h04 - Jouglet

Cette nouvelle donne pour l'hébergement des données médicales est une atteinte au droit fondamental de toute personne à posséder sa propre santé. Mais je me souviens qu'à l'époque du don d'organe le fait de ne pas receuillir son consentement mais son refus avait posé de vrais problèmes aux médecins et finalement on s'en était accommodé. Ben là pour moi c'est pareil, les mutuelles et assurances vont imposer cela aux patients et les médecins devront s'en accommoder. Le CON est en dessous de tout , il ne défendra plus le secret médical. Personnellement le seul code que j'accepte de suivre désormais est le serment d'Hippocrate. Je n'écrirai plus rien dans les dossiers de patients qui acceptent le partage de ces données.

Répondre au commentaire | Signaler un abus

Publicité

à la une

Description obligatoire

Facebook fait voler son drone pour connecter les populations isolées

Le drone solaire conçu par Facebook pour connecter les populations des zones de la planète qui n'ont pas encore accès à internet est sorti de son hangar.

Baptisé Aquila, il a tenu en l'air 96 minutes à 600 mètres d'altitude pour son premier vol ce 21 juillet.

À terme, l'entreprise de Mark Zuckerberg voudrait lancer des flottes de ces engins capables de communiquer entre eux, à 18 kilomètres d'altitude.

23/07/2016 - 12h00 |

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale