L'hébergement des données médicales tel que prévu par le décret du 4 janvier 2006
A l’heure où se multiplient les projets d’accès à distance par le patient de son dossier médical, d’accès par les praticiens, à partir de leur cabinet, ou encore de partage de données entre plusieurs centres hospitaliers, se pose la question de l’hébergement de ces données de santé à caractère personnel.
On entend par « hébergement » l’organisation du dépôt et la conservation de ces données, quel que soit leur support. Est visée la mise à disposition des données aux personnes autorisées, leur restitution et leur protection contre tout accès non autorisé.
S’il est légitime de permettre une plus grande souplesse, allant souvent dans le sens d’une meilleure prise en charge du patient, par l’utilisation de ces technologies, l’interrogation du patient à l’égard de la protection de sa vie privée, est tout aussi légitime.
Sont concernées notamment les données qui peuvent être en possession des établissements publics, ou d’organismes subventionnés, ou encore de praticiens tels que les médecins, les pharmaciens, les chirurgiens dentistes ou les sages-femmes.
Un décret, n°2006-6, en date du 4 janvier 2006, prévoit la mise en place d’un comité d’agrément, statuant sur les demandes présentées par des hébergeurs, en vue d’une conservation de données de santé à caractère personnel.
Le candidat à l’agrément doit :
– offrir des garanties :
– en terme de qualification du personnel, dans le domaine de la sécurité et de l’archivage des données,
– et en terme de solutions techniques, à même d’assurer la sécurité, la protection, la conservation et la restitution des données confiées ;
– définir et mettre en œuvre une politique de confidentialité et de sécurité ;
– le cas échéant, identifier son représentant sur le Territoire National ;
– individualiser, dans son organisation, l’activité d’hébergement et les moyens qui lui sont dédiés ;
– définir et mettre en place des dispositifs d’information sur l’activité d’hébergement, à destination des personnes à l’origine du dépôt ;
– identifier les personnes en charge de l’activité d’hébergement, dont, au moins, un médecin.
La décision d’agrément est prise par le Ministre chargé de la Santé, après avis de la CNIL, qui apprécie les garanties présentées par le candidat, en matière de protection des personnes et de sécurité des données. L’avis du Comité d’agrément institué par ce décret est également sollicité, celui-ci se prononçant sur les garanties d’ordre éthique, déontologique, technique, financier et économique qu’offre le candidat.
L’agrément est délivré pour une durée de trois ans. La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d’agrément.
L’agrément peut faire l’objet d’un retrait en cas de manquement grave de l’hébergeur à ses obligations, mettant notamment en cause l’intégrité, la sécurité et la pérennité des données hébergées.
En effet, une présentation de la politique de confidentialité et de sécurité doit être fournie à l’appui de la demande d’agrément. Celle-ci précise, notamment, les conditions relatives au respect des droits des personnes concernées par les données hébergées, à la sécurité de l’accès aux informations, et à la pérennité des données hébergées.
Le dossier de demande d’agrément comprend, en outre, les éléments suivants :
– identité et adresse du responsable du service d’hébergement (production des statuts des personnes morales),
– nom, fonction et qualifications des opérateurs chargés de mettre en œuvre le service, ainsi que des personnes ayant accès aux données hébergées,
– indication des lieux dans lesquels sera réalisé l’hébergement,
– description du service proposé,
– modèle de contrats conclus, conformément aux dispositions de l’article R1111-13 du Code de la Santé Publique, entre l’hébergeur et le dépositaire des données (le décret précise certaines clauses devant impérativement figurer dans ces contrats),
– indication du recours à des prestataires techniques externes, et les contrats conclus avec eux,
– les comptes prévisionnels de l’activité d’hébergement et, éventuellement, les trois derniers bilans et la composition de l’actionnariat du demandeur.