Modernisation du système de santé : quel impact sur les données de santé?

la veille du cabinet

La loi n°2016-41 de modernisation du système de santé a été publiée au Journal Officiel du 27 janvier 2016.

En quoi cela impacte t-il la règlementation posée par la Loi dite Kouchner du 4 mars 2002 concernant la procédure d’agrément des hébergeurs de données de santé à caractère personnel afin d’assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel lorsque leur hébergement est externalisé?

Les professionnels de santé, les établissements de santé et la personne concernée peuvent déposer des données à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée. (cf article L1111-8 du code de la santé publique)

Tout responsable de traitement, au sens de la loi Informatique et Libertés du 6 janvier 1978, qui externalise l’hébergement des données de santé à caractère personnel doit respecter les obligations prévues par les articles L1111-8 et R1111-9 à 14 du code de la santé publique, et obtenir l’agrément délivré après instruction du dossier par l’ASIP Santé.

Ce dossier comporte 6 formulaires principaux détaillant les caractéristiques techniques, juridiques et économiques de la prestation d’hébergement.

La loi de modernisation du système de santé revoit les contraintes de l’agrément en l’étendant au secteur social, dès lors qu’il est fait recours à un hébergeur dans le cadre d’une externalisation.

D’autre part, le consentement de la personne concernée est désormais présumé.

Enfin, la loi autorise le gouvernement à procéder par voie d’ordonnance, à compter du 27 janvier 2016 pour remplacer l’agrément par une évaluation de conformité technique.

3 types de certification sont envisagées : l’une pour l’hébergeur d’infrastructure (fourniture et hébergement physique ainsi que mise en oeuvre des matériels informatiques, maintenance et sauvegardes externalisées), la deuxième pour l’intolérance d’hébergement et la dernière pour l’hébergeur des données de santé (qui regroupe, de fait, les deux premières certifications)

Cela constituerait une simplification dans le sens ou tous les intervenants en la matière seront certifiés et qu’ainsi les contrats d’hébergement et de sous-traitance n’auront plus à intégrer les reports d’obligations à leur égard.

La certification est d’une durée de 3 ans, accordée par le COFRAC.