Nouvelle certification des hébergeurs de données de santé
L’ordonnance 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel, prise sur le fondement de la loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, a remplacé l’agrément pour l’hébergement de données de santé sur support électronique délivré par le ministre de la santé, par un processus de certification des hébergeurs. Ce certificat sera délivré par un organisme certificateur accrédité par le Comité français d’accréditation (Cofrac) ou un organisme européen équivalent.
Rappelons que l’article 4 du Règlement Européen sur la protection des données personnelles du 27 avril 2016, dont l’entrée en vigueur est à venir, définit les « données concernant la santé » comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». La protection de ces données est accrue, et leur traitement est, par principe, interdit.
L’ordonnance modifie l’article L 1111-8 du code de la santé publique, « l’hébergement, quel qu’en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. (…) L’hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d’un certificat de conformité ».
Les objectifs sont à la fois de renforcer la sécurité des données de santé hébergées, de réduire les délais d’instruction des demandes des hébergeurs, et de donner de la visibilité à ce dispositif à l’international grâce à des références aux certifications ISO.
De plus, la nouvelle procédure « permettra d’assurer une protection équivalente des données de santé quelque que soit leur statut (données privées ou données publiques), aussi bien dans le cadre de prestations permettant leur traitement quotidien par les professionnels, les établissements et les organismes de santé ou sociaux et médico-sociaux, que s’agissant de prestations d’archivage ».
L’ordonnance rappelle également les obligations des hébergeurs, ils « ne peuvent utiliser les données qui leur sont confiées à d’autres fins que l’exécution de la prestation d’hébergement. Lorsqu’il est mis fin à l’hébergement, l’hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. (…) Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l’accord de la personne concernée, est interdit ».
Ces dispositions s’appliqueront au plus tard le 1er janvier 2019.