Données de santé : ce que change la loi du 26 janvier 2016

La procédure d’agrément des hébergeurs de données de santé à caractère personnel vient d’être entièrement refondée par la loi de modernisation de notre système de santé du 26 janvier 2016 au bénéfice d’une procédure de certification.

Partager
Données de santé : ce que change la loi du 26 janvier 2016

La loi de modernisation de notre système de santé n°2016-41 vient d’être promulguée le 26 janvier 2016 et publiée au journal officiel le 27 janvier 2016.

Rappelons que la procédure d’agrément des hébergeurs de données de santé à caractère personnel a été instaurée par la loi n°2002-303 du 4 mars 2002, dite "loi Kouchner". Elle vise à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, lorsque leur hébergement est externalisé.

de l'Hébergement de données de santé à caractère personnel

Pilotée par l’ASIP Santé, elle s’impose dans les conditions suivantes : "Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée" (art. L.1111-8 Code de la Santé Publique).

Selon l’interprétation pragmatique de l’ASIP Santé, la réglementation (art. L1111-8 et R1111-9 à 14 CSP) s’applique à tout responsable de traitement, au sens de la loi Informatique et libertés n°78-17 du 6-1-1978 qui externalise l’hébergement des données de santé à caractère personnel qu’il traite, incluant notamment les mutuelles et assurances. L'agrément est délivré après instruction (8 mois maximum) d’un dossier remis par le candidat à l’ASIP Santé, s’articulant autour de 6 principaux formulaires détaillant les caractéristiques techniques, juridiques et économiques de la prestation d’hébergement.

D’après l’ASIP Santé, le candidat à l’agrément doit couvrir l’ensemble des obligations réglementaires, par lui-même ou en en reportant expressément certaines sur son client ou ses sous-traitants, dans le cadre du contrat d’hébergement ou du/des contrat(s) de sous-traitance.

Une évaluation de conformité technique remplace l’agrément

La loi de janvier 2016 modifie substantiellement l’art. 1111-8 CSP. Son article 96 I 5° a) prévoit ainsi : "Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime".

Cette nouvelle formulation étend le périmètre de l’obligation, pour les responsables de traitement, en cas d’externalisation de l’hébergement, de recourir à un hébergeur agréé, dès lors qu’elle s’impose dorénavant au secteur de la santé, mais aussi à celui du secteur social. Par ailleurs, le consentement de la personne concernée par les données - dûment informée - n’a plus à être recueilli : il est présumé. Enfin, l’article 204 I 5° c) de la loi habilite le gouvernement, par voie d’ordonnance, dans un délai d’1 an à compter de la promulgation de la loi, à remplacer l'agrément par une "évaluation de conformité technique".

3 types de certification

Recommandations :
- Anticiper sur le périmètre de certification concerné par sa prestation d’hébergement
- Mettre en conformité sa prestation d’hébergement avec la norme ISO27001, qui constituera le socle de la nouvelle certification 
- S’il était confirmé que les agréments en vigueur à la date de mise en place de la nouvelle certification le restaient jusqu’à leurs termes, anticiper sur le renouvellement des agréments en cours.
L’ASIP Santé a anticipé sur la procédure de certification et segmenté les services des hébergeurs. Elle envisage 3 types de certification :

- Hébergeur d’infrastructure, incluant la fourniture de l’hébergement physique ainsi que la mise en œuvre des matériels informatiques, leur maintenance, et éventuellement l’activité de sauvegardes externalisées

- Infogérance d’hébergement, incluant l’activité d’infogérance hors infogérance de l’application métier, et éventuellement l’activité de sauvegardes externalisées

- Hébergeur de données de santé, regroupant les deux premières certifications.

Ainsi, tous les acteurs de la chaîne seraient désormais certifiés pour leur périmètre de responsabilités, à l’exclusion du périmètre de son client ou de ses sous-traitants. De la sorte, les contrats d’hébergement et de sous-traitance n’auront plus à intégrer les reports d’obligations à leur égard et s’en trouveront donc largement simplifiés.

Certification pour 3 ans

Les hébergeurs seraient désormais certifiés pour 3 ans par un organisme certificateur, lui-même accrédité par un organisme accréditeur pour 5 ans (en France, le COFRAC).

La nouvelle procédure de certification serait mise en place après la publication de l’ordonnance du gouvernement et aussi de référentiels par l’ASIP Santé, soit à une échéance de 2 ans à compter de la promulgation de la loi le 26 janvier 2016.

Les agréments en vigueur à cette date devraient rester valables jusqu’à leur terme.

Marguerite Brac de la Perrière, Aude Latrive, avocats, cabinet Alain Bensoussan Avocats

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS