L’hébergement des données médicales dématérialisées

Publié le 01/03/2006 - Le Quotidien du Médecin

La loi n° 2002-303 du 4 mars 2002 relative aux droits des malades s’inscrit dans la politique de santé tendant notamment à favoriser l’accès du patient aux données médicales, tout en préservant leur confidentialité. A cet égard, elle a introduit l’article L. 1111-8 du Code de la santé publique qui définit les grandes lignes de l’encadrement de l’activité d’hébergement des données de santé à caractère personnel et pose les prémisses du dossier médical personnel, instauré par la loi n° 2004-810 du 13 août 2004 relative à l’assurance maladie. Ce dossier regroupe, sous forme électronique, toutes les informations relatives à la santé et aux soins du patient, de manière à ce qu’elles soient accessibles aux praticiens. La loi a prévu qu’il soit ouvert auprès d’un hébergeur. Le décret d’application du 4 janvier 2006 , modifiant la partie réglementaire du Code de la santé publique, vient aujourd’hui préciser les modalités de cet hébergement, non pas pour le seul dossier médical personnel mais pour l’ensemble des données de santé à caractère personnel.

Les données concernées s’entendent  des données relatives aux seuls actes médicaux, qu’il s’agisse d’un acte préventif, de diagnostic ou de soins, qui auront été communiquées par des personnes dûment habilitées : il s’agit soit de participants à l’acte médical  (professionnels de santé, établissements de santé), soit du patient concerné.

Leur hébergement est soumis à des conditions spécifiques de confidentialité et de sécurité (1). Il est également soumis à des procédures de contrôle (2).

1. Des conditions spécifiques pour garantir la confidentialité et la sécurité

La prestation d’hébergement doit faire l’objet d’un contrat  entre le patient et l’hébergeur ou entre le professionnel de santé et l’hébergeur, le consentement du patient étant alors préalablement recueilli.

Le contrat souscrit doit contenir la description précise des « modalités selon lesquelles les professionnels de santé et les établissements de santé prenant en charge (le patient) et désignés par (lui) peuvent être autorisés à accéder à ces données ou en demander la transmission et l’indication des conditions de mise à disposition de ces données  ». Lorsque l’hébergement est à l’initiative d’un professionnel ou d’un établissement de santé, l’accord  du patient  doit porter sur le principe même de l’hébergement  et sur les modalités d’accès et de transmission des données hébergées.

Afin de permettre à son cocontractant d’exprimer son consentement en toute connaissance de cause, l’hébergeur devra l’informer des risques liés à la dématérialisation, décrire les moyens mis en œuvre pour la fourniture des services, et l’informer sur les conditions de recours à des prestataires techniques externes assurant un niveau équivalent de garantie.

Par ailleurs, s’agissant d’informations personnelles particulièrement sensibles, les traitements de données rendus nécessaires par l’hébergement doivent s’effectuer dans le respect des dispositions de la loi informatique et libertés . La politique de confidentialité et de sécurité de l’hébergeur doit indiquer les mesures mises en œuvre pour assurer le respect des droits des personnes concernées par les données hébergées.

La communication des données médicales hébergées est strictement réservée aux « personnes que celles-ci concernent et (aux) professionnels de santé ou établissements de santé qui les prennent en charge et qui sont désignées par les personnes concernées […]» . Les données n’ont pour seules fins que d’être mises à la disposition des personnes qui les ont confiées à l’hébergeur. Tout acte de cession de données identifiantes à titre onéreux est pénalement prohibé  et les hébergeurs et leurs salariés sont soumis au secret professionnel.

En outre, à l’issue du contrat d’hébergement ou lors du retrait de l’agrément, les hébergeurs sont contractuellement tenus de restituer les données à son cocontractant : le professionnel, l’établissement ou la personne concernée, sans en garder de copie.

2. Une procédure de contrôle

Le contrôle s’opère principalement ab initio. En effet, seules « les personnes morales et physiques agréées à cet effet »  peuvent assurer l’hébergement de données médicales. Les conditions de délivrance de l’agrément sont fixées par le décret du 4 janvier 2006, qui introduit dans la partie réglementaire du Code de la santé publique une section relative à l’hébergement des données de santé à caractère personnel.

Cet agrément est délivré pour une durée de trois ans renouvelable  par le ministre chargé de la santé qui se prononce après avis de la CNIL et d’un comité d’agrément  institué par le décret. La CNIL apprécie d’abord les garanties mises en place « à l’égard des traitements de données de santé à caractère personnel et de (la) sécurité de ces données  ». Les autres aspects du dossier, en particulier « les garanties d’ordre éthique, déontologique, technique, financier et économique  », sont ensuite examinés par le comité d’agrément.

Le dossier de demande met l’accent sur les garanties de sécurité et de confidentialité ; il doit comprendre, outre les informations relatives à l’identité du candidat, les modèles de contrats d’hébergement. Neuf clauses, notamment relatives à la description des prestations réalisées, aux modalités d’accès, de transmission et de mise à disposition des données hébergées et aux indicateurs de qualité qui devront être mis en place, y sont rendues obligatoires.

Le candidat devra en outre fournir une présentation détaillée de la politique de sécurité et de confidentialité mise en oeuvre. Elle s’étend sur quatre domaines : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne à mettre en place pour assurer la sécurité des traitements et des données.

Par ailleurs, lors de l’exécution des prestations d’hébergement, les hébergeurs de données de santé à caractère personnel sont soumis, dans des conditions déterminées, au contrôle de l’inspection générale des affaires sociales et des agents de l’Etat . Un retrait de l’agrément par le ministre de la santé peut en résulter, en cas de divulgation non autorisée de données de santé à caractère personnel ou de manquements graves de l’hébergeur à ses obligations.

Il convient de préciser que l’exercice de l’activité d’hébergement de données médicales sans agrément et la violation des conditions d’agrément constituent des infractions pénales qui exposent l’hébergeur contrevenant à trois ans d’emprisonnement et à 45.000 euros d’amende.

Autres publications