hébergement de données de santé
Commentaire du décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé
Mots-clés :
Hébergement de données de santé, décret d’application
Date :
10-01-2006
L’article L. 1111-8 du Code de la santé publique, dans sa rédaction issue de la loi n° 2002-303 du 4 mars 2002, prévoit la possibilité pour les professionnels de santé ou les établissements de santé de déposer des données médicales à caractère personnel auprès de tiers.
Deux conditions sont posées à cette possibilité d’hébergement des données de santé :
- le consentement exprès du patient ;
- l’obtention par l’hébergeur d’un agrément administratif.
L’article L. 1111-8 prévoyait que les conditions d'agrément des hébergeurs seraient fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils de l'ordre des professions de santé.
Ce décret, longtemps attendu par les acteurs concernés, vient d’être publié.
En premier lieu, on observera que s’il ne précise pas la définition de l’hébergement de données de santé, qui s’entend selon l’article L. 1111-8 du fait de "déposer" de telles données "auprès de personnes physiques ou morales agréées à cet effet", le décret comporte une indication intéressante quant à son champ d’application puisqu’il introduit dans le Code de la santé publique, un article R. 1112-7, relatif aux établissements de santé, ainsi rédigé :
Les informations concernant la santé des patients sont soit conservées au sein des établissements de santé qui les ont constituées, soit déposées par ces établissements auprès d'un hébergeur agréé en application des dispositions à l'article L. 1111-8 (...)
Il faut en conclure que, dès lors que les données ne sont pas conservées "au sein" de l’établissement de santé, elles doivent être considérées comme "hébergées", au sens du Code de la santé publique.
Ainsi le respect des conditions strictes imposées pour l'hébergement s'impose lorsque, par exemple, les données sont stockées sur des machines qui, bien qu'appartenant à l’établissement de santé, sont physiquement installées chez un prestataire technique, quand bien même celui-ci ne serait pas chargé de leur administration, mais seulement d’en assurer la sécurité physique (accès sécurisé au local, climatisation, protection anti-incendie, etc.).
Les conditions et le régime définis par le décret figurent aux articles R. 1111-9 à R. 1111-16 nouveaux du Code de la santé publique.
Conditions à remplir pour demander l’agrément
Le prestataire informatique souhaitant obtenir l'agrément administratif requis pour héberger des données de santé doit remplir les conditions suivantes :
- Offrir toutes les garanties pour l’exercice de cette activité, notamment par le recours à des personnels qualifiés en matière de sécurité et d’archivage des données et par la mise en oeuvre de solutions techniques, d’une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données confiées, ainsi qu’un usage conforme à la loi ;
- Définir et mettre en oeuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret, la protection contre les accès non autorisés ainsi que la pérennité des données, et dont la description doit être jointe au dossier d’agrément ;
- Le cas échéant, identifier son représentant sur le territoire national au sens de l’article 5 de la loi "Informatique et libertés" du 6 janvier 1978 ;
- Individualiser dans son organisation l’activité d’hébergement et les moyens qui lui sont dédiés, ainsi que la gestion des stocks et des flux de données ;
- Définir et mettre en place des dispositifs d’information sur l’activité d’hébergement à destination des personnes à l’origine du dépôt, notamment en cas de modification substantielle des conditions de réalisation de cette activité ;
- Identifier les personnes en charge de l’activité d’hébergement, dont un médecin, en précisant le lien contractuel qui les lie à l’hébergeur.
Procédure d’agrément
L’agrément est délivré par le ministre chargé de la santé, après avis de la CNIL et d’un comité d’agrément, dont la composition est définie par l’article R. 1111-11.
L’hébergeur doit adresser à l’administration un dossier de demande d’agrément comprenant les éléments suivants :
- L’identité et l’adresse du responsable du service d’hébergement et, le cas échéant, de son représentant ; pour les personnes morales, les statuts sont produits ;
- Les noms, fonctions et qualifications des opérateurs chargés de mettre en oeuvre le service, ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont accès aux données hébergées ;
- L’indication des lieux dans lesquels sera réalisé l’hébergement ;
- Une description du service proposé ;
- Les modèles de contrats devant être conclus entre l’hébergeur de données de santé et les personnes physiques ou morales qui sont à l’origine du dépôt des données de santé à caractère personnel ;
- Les dispositions prises pour assurer la sécurité des données et la garantie des secrets protégés par la loi, notamment la présentation de la politique de confidentialité et de sécurité ;
- Le cas échéant, l’indication du recours à des prestataires techniques externes et les contrats conclus avec eux ;
- Un document présentant les comptes prévisionnels de l’activité d’hébergement et, éventuellement, les trois derniers bilans et la composition de l’actionnariat du demandeur, ainsi que, dans le cas d’une demande de renouvellement, les comptes de résultat et bilans liés à cette activité d’hébergement depuis le dernier agrément.
L’hébergeur déjà agréé doit en outre informer l’administration de tout changement affectant ces informations ou son activité.
Clauses obligatoires dans les contrats d’hébergement
Les contrats conclus entre l’hébergeur et ses clients (établissements de santé, médecins, etc.) doivent obligatoirement comporter des clauses comportant :
- La description des prestations réalisées : contenu des services et résultats attendus ;
- Lorsque le contrat est souscrit par la personne concernée par les données hébergées, la description des modalités selon lesquelles les professionnels de santé et les établissements de santé les prenant en charge et désignés par eux peuvent être autorisés à accéder à ces données ou en demander la transmission et l’indication des conditions de mise à disposition de ces données ;
- Lorsque le contrat est souscrit par un professionnel de santé ou un établissement de santé, la description des modalités selon lesquelles les données hébergées sont mises à leur disposition, ainsi que les conditions de recueil de l’accord des personnes concernées par ces données s’agissant tant de leur hébergement que de leurs modalités d’accès et de transmission
- La description des moyens mis en oeuvre par l’hébergeur pour la fourniture des services ;
- La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, ainsi que de la périodicité de leur mesure ;
- Les obligations de l’hébergeur à l’égard de la personne à l’origine du dépôt des données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui ;
- Une information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l’activité d’hébergement ;
- Une information sur les garanties permettant de couvrir toute défaillance éventuelle de l’hébergeur ;
- Une présentation des prestations à la fin de l’hébergement.
Politique de confidentialité et de sécurité
La "politique de confidentialité et de sécurité" qui doit être fournie à l’appui de la demande d’agrément, doit comporter des précisions détaillées :
- En matière de respect des droits des personnes concernées par les données hébergées :
- Les modalités permettant de s’assurer de l’existence du consentement de l’intéressé à l’hébergement des données le concernant ;
- Les modalités retenues pour que l’accès aux données de santé à caractère personnel et leur transmission éventuelle n’aient lieu qu’avec l’accord des personnes concernées et par les personnes désignées par elles ;
- Les conditions dans lesquelles sont présentées et prises en compte les éventuelles demandes de rectification des données de santé à caractère personnel hébergées ;
- Les moyens mis en oeuvre pour assurer le respect des dispositions de l’article L. 1111-7 relatif à l’accès des personnes à leurs informations de santé, notamment en termes de délais et de modalités de consultation ;
- Les procédures de signalement des incidents graves, dont l’altération des données ou la divulgation non autorisée des données personnelles de santé ;
- La fourniture à la personne concernée par les données hébergées, à sa demande, de l’historique des accès aux données et des consultations ainsi que du contenu des informations consultées et des traitements éventuellement opérés.
- En matière de sécurité de l’accès aux informations :
- Les dispositions prises pour garantir la sécurité des accès et des transmissions des données de santé à caractère personnel vis-à-vis des établissements ou des professionnels de santé à l’origine du dépôt et des personnes concernées par ces données ;
- Les mesures prises en matière de contrôle des droits d’accès et de traçabilité des accès et des traitements ;
- Les conditions de vérification du contenu des traces des accès et des traitements afin de détecter les tentatives d’effraction ou d’accès non autorisés ;
- Les modalités de vérification du registre des personnes habilitées à accéder aux données hébergées tenant compte des éventuelles mises à jour ;
- Les procédés techniques retenus en matière d’identification et d’authentification ; en ce qui concerne les professionnels de santé, ces procédés techniques doivent avoir été agréés par le groupement d’intérêt public mentionné à l’article R. 161-54 du code de la sécurité sociale.
- En matière de pérennité des données hébergées :
- Les procédures visant à assurer, au moment du transfert des données vers l’hébergeur, la réception sécurisée des données et l’intégrité de celles-ci, leur prise en compte dans le système d’information de l’hébergeur et le suivi de cette prise en charge ;
- Les modalités de prise en compte et d’enrichissement tout au long de la durée de l’hébergement, de l’ensemble des informations concernant les données depuis leur création, telles que les données permettant de les identifier et de les décrire, de les gérer, de déterminer leurs propriétés techniques et d’en assurer la traçabilité ;
- Les modalités de surveillance des supports en vue d’anticiper les changements technologiques et, le cas échéant, d’opérer des migrations de supports dans des conditions en garantissant la traçabilité ;
- Les procédures liées à la réplication des données sur différents supports informatiques en des lieux distincts ;
- Les conditions de mise en oeuvre d’une alerte concernant les formats d’encodage des données, destinée à avertir la personne à l’origine du dépôt en cas d’obsolescence de ce format et, éventuellement, les procédures visant à réaliser, avec l’autorisation de la personne à l’origine du dépôt, des migrations de formats des données, si ces derniers ne permettent plus d’assurer la lisibilité des informations et à assurer la traçabilité de ces migrations.
- En matière d’organisation et de procédures de contrôle interne en vue d’assurer la sécurité des traitements et des données :
- La désignation d’un responsable sécurité et d’un responsable qualité ;
- La définition des missions, des pouvoirs et des obligations des personnels de l’hébergeur et de ses éventuels sous-traitants, habilités à traiter les données de santé à caractère personnel ;
- Les spécifications techniques des logiciels et des mécanismes de sécurité propres à garantir la confidentialité des transmissions, notamment en ce qui concerne le mode de chiffrement des flux d’information ;
- Les modalités retenues pour l’évaluation périodique des risques et l’audit des mesures de protection mises en place afin de garantir la sécurité des données et en vue d’apporter les modifications nécessaires en cas de détection de défaillances ;
- Les dispositifs de simulation régulière de défauts de fonctionnement pour vérifier l’efficacité des mécanismes destinés à garantir la continuité des services ;
- Les moyens mis en oeuvre pour sensibiliser et former le personnel aux mesures de protection mises en place et à leurs obligations en matière de confidentialité et de respect du secret professionnel ;
- Les conditions de mise en oeuvre de la sécurité physique des sites informatiques, des mesures de protection de l’infrastructure technique, notamment en termes de sécurité des réseaux, des serveurs et des postes de travail ;
- Les dispositions prises en ce qui concerne l’exploitation de l’infrastructure technique ;
- Les conditions de mise en oeuvre du plan de secours informatique comportant notamment les dispositions prises pour informer du déclenchement de ce plan les personnes physiques ou morales à l’origine du dépôt des données de santé à caractère personnel ainsi que les dispositions prises pour la reprise des activités.
Durée de l’agrément
L’agrément est délivré aux hébergeurs de données de santé à caractère personnel pour une durée de trois ans.
La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d’agrément.
Le ministre chargé de la santé peut, dans certaines conditions, procéder au retrait ou à la suspension de l’agrément.
Avocat à la Cour