Recevez chaque jour toute l'actualité du numérique

x

L’hébergement des données dans la révolution numérique du secteur de la santé : la question de l’agrément

Parmi les grands blocs de réglementation nouvelle s’imposant aux professions de santé ainsi qu’aux industriels du secteur, il en est un dans lequel la France a manifestement une longueur d’avance sur la plupart des autres pays occidentaux : le traitement des données de santé et notamment leur hébergement. Or, en France, l’hébergeur de données de santé doit obtenir un agrément du Ministère de la Santé.
Twitter Facebook Linkedin Flipboard Email
×

L’hébergement des données dans la révolution numérique du secteur de la santé : la question de l’agrément
L’hébergement des données dans la révolution numérique du secteur de la santé : la question de l’agrément © Aspide Médical

La France s’est faite le héraut de la protection des données personnelles, ce qui vaut aux données de santé d’une part, et à leur hébergement d’autre part un traitement tout à fait particulier, puisque le principe de l’agrément de tout hébergeur de données de santé a été posé par la réglementation.

Les notions de "données à caractère personnel"  et de "données de santé"  sont larges : l’une recouvre toute donnée permettant l’identification de façon directe ou indirecte, l’autre comprend toute information relative aux aspects psychiques et physiques de la santé d’une personne.

L’hébergement de ces données est quant à lui défini par les textes comme le fait de "déposer des données de santé à caractère personnel, recueillies à l’occasion des activités de prévention, de diagnostics ou de soins auprès de personnes agréées". Ses conditions sont strictes : parmi celles-ci figure le consentement exprès de la personne concernée, sauf lorsque l’échange de données a pour but de favoriser sa prise en charge, ou que leur accès est limité à ceux les ayant déposées.

En pratique, ceci implique que dès lors que des données de santé sont hébergées dans le cadre d’une activité de prévention, de diagnostic ou de soins - ce qui est un domaine d’application qui touche l’essentiel des activités de l’industrie de la santé et qui connaît et va connaître un développement considérable avec la télémédecine au sens large - la question de l’agrément d’un tel hébergement se pose.

Quels sont les cas dans lesquels il faut passer par l’hébergement agréé ?

Le professionnel de santé, les prestataires de service de santé et les distributeurs de dispositifs médicaux qui conservent les données localement ou les laissent en consultation au professionnel de santé sans possibilité de l’alimenter, n’ont pas l’obligation de demander un agrément.

Mais l’agrément devient nécessaire dès lors que les données sont confiées à un tiers hébergeur, professionnel de santé ou tiers technologique, soit éditeur de logiciel agréé, soit tiers organisme agréé. C’est notamment le cas pour tous les prestataires de systèmes de télémédecine (télé-cardiologie, télé-diagnostic, etc.), mais aussi pour les secteurs dans lesquels le développement du e-commerce a été libéralisé (optique notamment).

La procédure de demande d’agrément est longue et ardue. Le dossier se constitue de formulaires, de déclarations et d’engagements. Le Code de la Santé Publique impose même la présence d’un médecin chez le candidat, veillant à la confidentialité des données et au respect des conditions d’accès.

L’hébergeur ne peut accéder aux données de santé que sous contrôle du médecin

L’agrément est délivré par le Ministre de la Santé pour une durée de trois ans renouvelable, après avis du comité d’instruction de l’ASIP-Santé, de la CNIL et du Comité d’Agrément des Hébergeurs.

Passer un contrat d’hébergement et de stockage avec un hébergeur agréé est la seule alternative à la procédure d’agrément. C’est la solution qui semble être la plus pragmatique pour le e-commerce de la santé. L’écrit vaut promesse unilatérale, l’établissement de santé ou le professionnel de santé en général devant recueillir le consentement exprès du patient pour la perfection du contrat, comme en matière de télémédecine.

Pèsent alors sur l’hébergeur une obligation de mise à disposition de résultat, une obligation de confidentialité et une obligation de sécurité. L’hébergeur ne peut accéder aux données de santé que sous contrôle du médecin.

obligations déclaratives auprès de la CNIL

La violation des prescriptions législatives, réglementaires et de l’agrément emporte perte de l’agrément. S’y ajoute la possibilité offerte au ministre de suspendre de l’hébergement si l’hébergeur divulgue des données sans autorisation ou manque gravement à ses obligations. La sanction de l’absence d’agrément est en elle-même passible de 3 ans d’emprisonnement de 45 000 euros d’amende, outre l’annulation de la convention d’hébergement.

S’ajoute par ailleurs à cette réglementation celle relative aux données personnelles, qui nécessite une mise en conformité et des obligations déclaratives auprès de la CNIL.

Les enjeux de l’hébergement des données de santé sont donc complexes et ce défi est à la hauteur de la révolution technologique en cours en matière de santé publique.

Daniel Kadar, avocat associé chez Reed Smith, spécialiste des données personnelles

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

santé!
03/07/2013 18h40 - santé!

bel effort de synthèse. Néanmoins, je m'interroge... il est dit que : "Le professionnel de santé, les prestataires de service de santé et les distributeurs de dispositifs médicaux qui conservent les données localement ou les laissent en consultation au professionnel de santé sans possibilité de l’alimenter, n’ont pas l’obligation de demander un agrément" alors que l'article L.1111-8 du CSP impose la nécessité d'un agrément dès lors que l'on héberge (même localement) dès lors que l'on n'est pas le seul à y accéder... Cela est sans doute issu de la note de l'ASIP santé sur les PSAD et qui peut laisser à penser que l'agrément n'est pas nécessaire dès lors qu'on n'alimente pas un dossier médical...pas sur que les juges soient du même avis...

Répondre au commentaire | Signaler un abus