Les big data, nouvelle drogue des industries de santé

Données de santé : ce que change la loi du 26 janvier 2016

La procédure d’agrément des hébergeurs de données de santé à caractère personnel vient d’être entièrement refondée par la loi de modernisation de notre système de santé du 26 janvier 2016 au bénéfice d’une procédure de certification.

Publié le 29 janvier 2016 à 16H47

Juridique, Santé, Données personnelles

Twitter Facebook Linkedin Flipboard Email

Données de santé : ce que change la loi du 26 janvier 2016 © Withings

La loi de modernisation de notre système de santé n°2016-41 vient d’être promulguée le 26 janvier 2016 et publiée au journal officiel le 27 janvier 2016.

Rappelons que la procédure d’agrément des hébergeurs de données de santé à caractère personnel a été instaurée par la loi n°2002-303 du 4 mars 2002, dite "loi Kouchner". Elle vise à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, lorsque leur hébergement est externalisé.

de l'Hébergement de données de santé à caractère personnel

Pilotée par l’ASIP Santé, elle s’impose dans les conditions suivantes : "Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée" (art. L.1111-8 Code de la Santé Publique).

Selon l’interprétation pragmatique de l’ASIP Santé, la réglementation (art. L1111-8 et R1111-9 à 14 CSP) s’applique à tout responsable de traitement, au sens de la loi Informatique et libertés n°78-17 du 6-1-1978 qui externalise l’hébergement des données de santé à caractère personnel qu’il traite, incluant notamment les mutuelles et assurances. L'agrément est délivré après instruction (8 mois maximum) d’un dossier remis par le candidat à l’ASIP Santé, s’articulant autour de 6 principaux formulaires détaillant les caractéristiques techniques, juridiques et économiques de la prestation d’hébergement.

D’après l’ASIP Santé, le candidat à l’agrément doit couvrir l’ensemble des obligations réglementaires, par lui-même ou en en reportant expressément certaines sur son client ou ses sous-traitants, dans le cadre du contrat d’hébergement ou du/des contrat(s) de sous-traitance.

Une évaluation de conformité technique remplace l’agrément

La loi de janvier 2016 modifie substantiellement l’art. 1111-8 CSP. Son article 96 I 5° a) prévoit ainsi : "Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime".

Cette nouvelle formulation étend le périmètre de l’obligation, pour les responsables de traitement, en cas d’externalisation de l’hébergement, de recourir à un hébergeur agréé, dès lors qu’elle s’impose dorénavant au secteur de la santé, mais aussi à celui du secteur social. Par ailleurs, le consentement de la personne concernée par les données - dûment informée - n’a plus à être recueilli : il est présumé. Enfin, l’article 204 I 5° c) de la loi habilite le gouvernement, par voie d’ordonnance, dans un délai d’1 an à compter de la promulgation de la loi, à remplacer l'agrément par une "évaluation de conformité technique".

3 types de certification

Recommandations :
- Anticiper sur le périmètre de certification concerné par sa prestation d’hébergement
- Mettre en conformité sa prestation d’hébergement avec la norme ISO27001, qui constituera le socle de la nouvelle certification
- S’il était confirmé que les agréments en vigueur à la date de mise en place de la nouvelle certification le restaient jusqu’à leurs termes, anticiper sur le renouvellement des agréments en cours.

L’ASIP Santé a anticipé sur la procédure de certification et segmenté les services des hébergeurs. Elle envisage 3 types de certification :

- Hébergeur d’infrastructure, incluant la fourniture de l’hébergement physique ainsi que la mise en œuvre des matériels informatiques, leur maintenance, et éventuellement l’activité de sauvegardes externalisées

- Infogérance d’hébergement, incluant l’activité d’infogérance hors infogérance de l’application métier, et éventuellement l’activité de sauvegardes externalisées

- Hébergeur de données de santé, regroupant les deux premières certifications.

Ainsi, tous les acteurs de la chaîne seraient désormais certifiés pour leur périmètre de responsabilités, à l’exclusion du périmètre de son client ou de ses sous-traitants. De la sorte, les contrats d’hébergement et de sous-traitance n’auront plus à intégrer les reports d’obligations à leur égard et s’en trouveront donc largement simplifiés.

Certification pour 3 ans

Les hébergeurs seraient désormais certifiés pour 3 ans par un organisme certificateur, lui-même accrédité par un organisme accréditeur pour 5 ans (en France, le COFRAC).

La nouvelle procédure de certification serait mise en place après la publication de l’ordonnance du gouvernement et aussi de référentiels par l’ASIP Santé, soit à une échéance de 2 ans à compter de la promulgation de la loi le 26 janvier 2016.

Les agréments en vigueur à cette date devraient rester valables jusqu’à leur terme.

Marguerite Brac de la Perrière, Aude Latrive, avocats, cabinet Alain Bensoussan Avocats

Réagir

3 commentaires

13/05/2017 01h07 - Louis

★ ★ ★ ★ ★

Qu en est il des societes francaises desirant faire traiter leurs donnees par des centres dont la localité est en dehors du territoire français ? Exemple: certaines banques passent par des filliale au magrabe pour traiter nos dossiers santés. Sont elles legalement autorisées ? Merci

Répondre au commentaire | Signaler un abus

10/10/2016 20h57 - Alpha

★ ★ ★ ★ ★

A qui s'adresser si l'on refuse le traitement de ses données santé par cet organisme? Comment faire valoir nos droits de non-consentement? C'est inadmissible.

Répondre au commentaire | Signaler un abus

31/01/2016 09h04 - Jouglet

★ ★ ★ ★ ★

Cette nouvelle donne pour l'hébergement des données médicales est une atteinte au droit fondamental de toute personne à posséder sa propre santé. Mais je me souviens qu'à l'époque du don d'organe le fait de ne pas receuillir son consentement mais son refus avait posé de vrais problèmes aux médecins et finalement on s'en était accommodé. Ben là pour moi c'est pareil, les mutuelles et assurances vont imposer cela aux patients et les médecins devront s'en accommoder. Le CON est en dessous de tout , il ne défendra plus le secret médical. Personnellement le seul code que j'accepte de suivre désormais est le serment d'Hippocrate. Je n'écrirai plus rien dans les dossiers de patients qui acceptent le partage de ces données.

Répondre au commentaire | Signaler un abus