Alors que le Gouvernement vient de préciser les modalités de fonctionnement du nouveau système des données de santé, les modalités d’hébergement des données de santé à caractère personnel viennent d’être modifiées par ordonnance.
Le texte a pour objectif de mettre en place la délivrance d’un certificat permettant à un organisme d’héberger les données de santé à caractère personnel. Il harmonise également les dispositions relatives aux conditions d’externalisation de ces données sensibles.
L’hébergeur des données de santé soumis à certification
L’ordonnance n°2017-27 du 12 janvier 2017 crée une procédure de certification de l’hébergeur. Cette certification doit être délivrée par un organisme accrédité par l’instance française d’accréditation ou par l’instance nationale d’accréditation d’un autre Etat membre de l’Union européenne.
Pour en savoir plus sur les conditions d’accréditation, il faudra attendre la parution du décret correspondant en Conseil d’Etat.
En plus de cette certification, l’hébergeur devra être agréé par le ministre de la culture pour l’activité de conservation des données.
Une fois ces autorisations obtenues, l’hébergeur devra s’assurer que la personne à l’origine des données de santé à caractère personnel a été dûment informée et ne s’y est pas opposée.
Un contrat doit obligatoirement être conclu entre l’hébergeur des données et les personnes physiques ou morales qui sont à l’origine de la production ou du recueil de ces données. Le contrat peut même être conclu avec le patient lui-même. Le contenu de ce contrat sera détaillé dans un décret en Conseil d’Etat.
L’usage encadré des données de santé hébergées
Le texte de l’ordonnance précise que les hébergeurs sont tenus de se limiter à la mission d’hébergement des données de santé à caractère personnel qui leur est confiée.
La fin de cette mission d’hébergement les contraint à restituer toutes les données qui lui ont été confiées sans en garder de copie.
Bien évidemment, tous les hébergeurs et les personnes placées sous leur autorité sont tenus au secret professionnel.
L’ordonnance rappelle que la revente de toute donnée de santé identifiante directement ou indirectement est interdite et punie par le code pénal, même si la personne concernée par lesdites données a donné son accord.
L’application progressive de la nouvelle autorisation d’hébergement
L’ancienne procédure d’agrément par le ministère de la santé désormais remplacée par la certification continue de produire effet jusqu’à son terme pour tous les hébergeurs qui l’ont obtenu.
Même les dossiers d’agrément déposés avant l’entrée en vigueur de l’ordonnance seront instruits conformément à la procédure précédant l’ordonnance.
A terme, le rapport remis au Président de la République fixe une application totale des nouvelles mesures de certification au 1er janvier 2019.
