La
réforme sur le traitement
des données de santé à
caractère personnel
Hervé
Nabarette
6
novembre 2002
2/2
La
loi du 4 mars et son décret sur l’agrément des hébergeurs
La
loi du 4 mars 2002 renforce les droits de la personne et des usagers
dans son titre 2 sur la "démocratie sanitaire".
Concernant l’hébergement
des données, la loi énonce notamment que :
- Le dépôt
de données est une faculté laissée aux professionnels de santé,
mais il ne peut avoir lieu qu'avec le consentement exprès de la
personne concernée.
- La prestation
d'hébergement fait l'objet d'un contrat. Lorsque cet hébergement
est à l'initiative d'un professionnel de santé ou d'un établissement
de santé, le contrat prévoit que l'hébergement des données, les
modalités d'accès à celles-ci et leurs modalités de transmission
sont subordonnées à l'accord de la personne concernée.
- Les prestataires
d’hébergement sont soumis au contrôle de l’IGAS. Les agents chargés
du contrôle peuvent être assistés par des experts désignés par
le ministre chargé de la santé.
- Le décret
d’application mentionnera les informations qui doivent être fournies
à l'appui de la demande d'agrément, notamment les modèles de contrats
prévus et les dispositions prises pour garantir la sécurité des
données traitées, en particulier les mécanismes de contrôle et
de sécurité dans le domaine informatique ainsi que les procédures
de contrôle interne.
- Lorsque
le décret paraîtra, les opérateurs qui hébergent actuellement
des données devront déposer un dossier d’agrément dans les trois
mois qui suivent
La
"jurisprudence" de la CNIL du 8 mars 2001 donne déjà des
éléments sur les nouvelles attentes des pouvoirs publics :
modalités de cryptage, utilisation de la CPS, information du patient,
contrat entre le médecin et le promoteur du système d’information
… Les hébergeurs se sont adaptés sur ces points. Rappelons que les
avis rendus le 8 mars 2001 l’ont été à propos des projets des
réseaux ville-hôpital de l’association pour la bonne coordination
médico-chirurgicale et de l’association Intégrale santé de Lens,
et à propos du projet de la société Usis-urgence de gestion
d’un dossier d’urgence médicale sur Internet.
La
loi du 4 mars et son décret définiront de façon rigoureuse les normes
d’hébergement pour les dossiers médicaux électroniques. Ce nouveau
corpus, couplé au droit de visite sur place de la CNIL constitue
un dispositif efficace, qui donnera plus de visibilité aux différents
utilisateurs et contribuera à développer et à professionnaliser
le secteur de la gestion électronique de données de santé.
De
façon générale, trois tendances se font jour pour solutionner les
problèmes de sécurité : les acteurs déploient des outils
de sécurité ; des incidents médiatisés se produisent qui servent
de base au débat public ; un équilibre émerge avec des solutions
imparfaites mais suffisantes pour assurer la confiance (sur le modèle
des systèmes mis en place contre la fraude à la carte de crédit).
Les dispositifs publics devront s’adapter à cette dynamique et la
guider.
Réagissez
à cet article.
Retrouvez tous
les autres articles de la rubrique e-Droit.
6
novembre 2002
|