La réforme sur le traitement
des données de santé à
caractère personnel

Hervé Nabarette

6 novembre 2002
2/2

 La loi du 4 mars et son décret sur l’agrément des hébergeurs

La loi du 4 mars 2002 renforce les droits de la personne et des usagers dans son titre 2 sur la "démocratie sanitaire".

Concernant l’hébergement des données, la loi énonce notamment que :

• Le dépôt de données est une faculté laissée aux professionnels de santé, mais il ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.
• La prestation d'hébergement fait l'objet d'un contrat. Lorsque cet hébergement est à l'initiative d'un professionnel de santé ou d'un établissement de santé, le contrat prévoit que l'hébergement des données, les modalités d'accès à celles-ci et leurs modalités de transmission sont subordonnées à l'accord de la personne concernée.
• Les prestataires d’hébergement sont soumis au contrôle de l’IGAS. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.
• Le décret d’application mentionnera les informations qui doivent être fournies à l'appui de la demande d'agrément, notamment les modèles de contrats prévus et les dispositions prises pour garantir la sécurité des données traitées, en particulier les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne.
• Lorsque le décret paraîtra, les opérateurs qui hébergent actuellement des données devront déposer un dossier d’agrément dans les trois mois qui suivent

La "jurisprudence" de la CNIL du 8 mars 2001 donne déjà des éléments sur les nouvelles attentes des pouvoirs publics : modalités de cryptage, utilisation de la CPS, information du patient, contrat entre le médecin et le promoteur du système d’information … Les hébergeurs se sont adaptés sur ces points. Rappelons que les avis rendus le 8 mars 2001 l’ont été à propos des projets des réseaux ville-hôpital de l’association pour la bonne coordination médico-chirurgicale et de l’association Intégrale santé de Lens, et à propos du projet de la société Usis-urgence de gestion d’un dossier d’urgence médicale sur Internet.

La loi du 4 mars et son décret définiront de façon rigoureuse les normes d’hébergement pour les dossiers médicaux électroniques. Ce nouveau corpus, couplé au droit de visite sur place de la CNIL constitue un dispositif efficace, qui donnera plus de visibilité aux différents utilisateurs et contribuera à développer et à professionnaliser le secteur de la gestion électronique de données de santé.

De façon générale, trois tendances se font jour pour solutionner les problèmes de sécurité :  les acteurs déploient des outils de sécurité ; des incidents médiatisés se produisent qui servent de base au débat public ; un équilibre émerge avec des solutions imparfaites mais suffisantes pour assurer la confiance (sur le modèle des systèmes mis en place contre la fraude à la carte de crédit). Les dispositifs publics devront s’adapter à cette dynamique et la guider.

Réagissez à cet article.

Retrouvez tous les autres articles de la rubrique e-Droit.