I.D.B.C.

* Procédure d’agrément des hébergeurs de données de santé à caractère personnel 08/03/2006

La procédure particulière d’agrément des hébergeurs de données de santé à caractère personnel prévue par la loi est désormais fixée par le décret du 4 janvier 2006. A la veille des premières préfigurations du dossier médical personnel, l’intervention de ce texte était indispensable pour encadrer l’activité des organismes appelés à conserver des dossiers médicaux. L’article L.1111-8 du Code de la santé publique, issu de la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, autorise les professionnels de santé ou les établissements de santé ou la personne concernée à déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. L’hébergement de données ne peut avoir lieu qu’avec le consentement exprès de la personne concernée. Les conditions de l’agrément sont désormais fixées par le décret n°2006-6 du 4 janvier 2006 qui organise la procédure d’agrément et fixe le contenu du dossier qui doit être fourni à l’appui de la demande. Cet agrément est délivré par le ministre chargé de la Santé, qui se prononce après avis de la CNIL et du Comité d’agrément créé auprès de lui. Cette procédure particulière et préalable s’applique sans préjudice des formalités propres à la loi Informatique et Libertés, auxquelles restent soumis les organismes, qui, en leur qualité de responsables de traitements automatisés de données à caractère personnel, font héberger leurs bases de données chez des hébergeurs agréés. Le champ d’application de l’hébergement de données de santé à caractère personnel : l’externalisation des données La loi définit l’hébergement comme le « dépôt des données de santé à caractère personnel, recueillies à l’occasion des activités de prévention, de diagnostic ou de soins, auprès des personnes physiques ou morales agréées à cet effet». Elle précise que « les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d’eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d’autres fins. Ils ne peuvent les transmettre à d’autres personnes que les professionnels de santé ou établissements de santé désignés dans le contrat prévu au deuxième alinéa » et « lorsqu’il est mis fin à l’hébergement, l’hébergeur restitue les données qui lui ont été confiées, sans en garder copie, au professionnel, à l’établissement ou à la personne concernée ayant contracté avec lui. » Il s’agit donc d’organiser le dépôt et la conservation des données déposées dans des conditions de nature à garantir leur pérennité et confidentialité, à charge de les mettre à la disposition des personnes autorisées selon des modalités définies par contrat et de les restituer en fin de contrat. La prestation de l’hébergeur ne se limite donc pas à une simple sauvegarde de données. Un grand nombre d’applications sont ainsi susceptibles d’être concernées par ces dispositions : - les futures expérimentations sur le dossier médical personnel dont sera titulaire chaque bénéficiaire de l’assurance maladie. La loi prévoit en effet que chaque DMP sera créé auprès d’hébergeurs préalablement agréés ; - les réseaux de soins dès lors que ceux-ci font héberger leurs données de santé ; - les sites ouverts au public qui hébergent les données de santé des patients qui s’y connectent ; - l’archivage externe des dossiers médicaux des établissements de soins. Les personnes à l’origine du dépôt d’informations sont exclusivement la personne concernée, les professionnels de santé et les établissements de santé participant à l’acte médical, qu’il soit préventif, diagnostic ou de soin. A cet effet, il est imposé qu’un contrat soit conclu entre le déposant et l’hébergeur, qui déterminera en particulier les droits et obligations de chacun et les modalités d’accès et de transmission des informations hébergées.