La loi n°2016-41 du 26 janvier 2016 a pour objectif de moderniser notre système de santé et a notamment permis de refondre le régime propre à l’hébergement des données de santé.

Auparavant, le Code de la santé publique (CSP) prévoyait que les professionnels de santé, les établissements de santé ou la personne dont les données de santé étaient traitées ne pouvaient faire héberger lesdites données de santé qu’auprès d’une personne physique ou morale bénéficiant d’un agrément à cet effet.

Les conditions d’agrément avaient été fixées par décret et visaient à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel traitées, notamment par le recours à des personnels qualifiés, ou la mise en œuvre d’une politique de confidentialité et de sécurité offrant des garanties suffisantes.

Le CSP a été modifié notamment les points suivants :

–          le périmètre est étendu : les données de suivi social et médico-social ont été ajoutées au sein de l’obligation de recourir à un hébergeur agréé en cas d’externalisation de données de santé ;

–          la mention concernant le consentement exprès de la personne concernée a été supprimée : dorénavant, le consentement de la personne concernée est présumé à la condition préalable que celle-ci a été « dument informée » du traitement réalisé et ne s’y est pas opposé.

–          l’agrément a été remplacé par une procédure de certification « réalisée par un organisme certificateur accrédité par l’instance nationale d’accréditation » par voie d’ordonnance.

L’ordonnance, qui n’est pas encore parue à ce jour mais le sera d’ici janvier 2017 définira cette certification de conformité, qui portera notamment sur le contrôle des procédures, de l’organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des applications hébergées.

Selon l’ASIP Santé 3 types de certification seraient envisageable :

–          Hébergeur d’infrastructure : incluant la fourniture de l’hébergement physique ainsi que la mise en œuvre des matériels informatiques, leur maintenance, et éventuellement l’activité de sauvegardes externalisées ;

–          Infogérance d’hébergement : incluant l’activité d’infogérance hors infogérance de l’application métier, et éventuellement l’activité de sauvegardes externalisées ;

–          Hébergeur de données de santé : regroupant les deux premières certifications.

Les hébergeurs seraient dorénavant certifiés pour 3 ans par un organisme certificateur, lui-même accrédité par un organisme accréditeur pour 5 ans (en France, le COFRAC).

———————-

Par Claudia Weber – ITLAW Avocats 

Nous contacter