Gouvernance
Ordonnance en matière d’hébergement de données personnelles de santé
Par La rédaction, publié le 26 mars 2017
LES FAITS
L’ordonnance nº 2017-27 prise en application de la loi de santé du 26 janvier 2016, remplaçant la procédure actuelle d’agrément des hébergeurs de données de santé sur support électronique par un processus de certification des hébergeurs, délivré par un organisme certificateur accrédité par le Comité français d’accréditation (Cofrac), a été publiée au Journal officiel du 13 janvier 2017.
Le nouveau texte, qui modifie l’article L1111-8 du Code de la santé publique (CSP), vise à assouplir et simplifier, dans le respect de la vie privée, la législation relative à l’hébergement des données de santé. En effet, selon le rapport rendu au président de la République, les trois objectifs de cette procédure de certification sont (i) de permettre d’accroître la sécurité des données de santé hébergées en complétant les audits documentaires par des audits sur site, (ii) de réduire les délais d’instruction des demandes des hébergeurs, et (iii) de faire bénéficier les acteurs concernés de la visibilité du dispositif à l’international par une référence à des certifications ISO largement répandues à l’échelle européenne et mondiale. La loi du 26 janvier 2016 dispose que la certification de conformité doit notamment porter sur le contrôle des procédures, de l’organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des applications hébergées. Toutefois, l’ordonnance ne supprime pas complètement l’agrément. En effet, il est maintenu pour les hébergeurs de données de santé à caractère personnel sur support papier ou sur support numérique dans le cadre d’un service d’archivage électronique. L’agrément est alors délivré par le ministre chargé de la culture. Les conditions d’agrément et de certification seront fixées par décret en Conseil d’État pris après avis de la Cnil et des conseils nationaux de l’ordre des professions de santé. En définitive, deux systèmes d’autorisation préalable continueront de coexister : la certification et l’agrément.
L’ordonnance rappelle également les obligations des hébergeurs et notamment « l’interdiction d’utiliser les données à d’autres fins que l’exécution de la prestation d’hébergement », la restitution des données aux personnes qui les lui ont confiées « sans en garder copie » lorsqu’il est mis fin à l’hébergement, et l’« interdiction générale de céder à un tiers les données de santé, y compris avec l’accord de la personne concernée ». Le contenu du contrat des hébergeurs et fournisseurs devra être conforme aux dispositions d’un décret à paraître, lequel reviendra a minima sur la nature des prestations d’hébergement, les rôles et responsabilités de l’hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées. L’ordonnance modifie par ailleurs le Code du Patrimoine afin que les « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social » puissent être confiées aux hébergeurs titulaires de l’agrément ou du certificat sur simple déclaration à l’administration des archives.
CE QU’IL FAUT RETENIR Le texte s’appliquera à la date fixée par son décret d’application et au plus tard le 1er janvier 2019 permettant ainsi de finaliser le référentiel de certification, de former les certificateurs et, pour les hébergeurs, de se mettre en conformité.