Les dispositions d’hébergement des données de santé à caractère personnel modifiées par l’ordonnance du 12 janvier 2017

Au plus tard le 1er janvier 2019, l’activité d'hébergement des données de santé à caractère personnel sera soumise à une procédure de certification qui remplacera la procédure d'agrément, l'intérêt étant de simplifier la législation pour les professionnels en matière de traitement des données.
 

Le périmètre de l’hébergement des données de santé à caractère personnel
Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, relève de l’article L. 1111-8 du code de la santé publique.
 
Le périmètre semble strictement limité aux professionnels de santé et aux établissements de santé. En revanche, la CAH précise que l’esprit de l’agrément ou de la certification est de couvrir les personnes tenues de collecter des données de santé du fait de leurs missions, même s’il ne s’agit pas de professionnels de santé. A titre d’exemple, les établissements médico-sociaux, les centres de santé, les laboratoires de biologie médicale, ainsi que les prestataires de services de santé à domicile (PSAD) entrent dans le champ d’application.
 
Le secteur de l’assurance est bien aux frontières du champ d’application expressément prévu par le code de la santé publique. Selon certaines sources, l’ASIP santé, qui est chargée de la mise en œuvre d’une politique d’interopérabilité en ce qui concerne les systèmes d’information de santé, semble vouloir étendre le champ d’application de l’article L. 1111-8 au secteur de l’assurance. Cependant, aucune recommandation formelle n’est venue confirmer cette interprétation.
 
La consultation de la liste des 96 hébergeurs agréés de l’ASIP santé ne fait apparaître aucune compagnie d’assurance, ni courtier. On peut cependant noter 3 agréments pour le groupe ProBTP, à travers son association de moyens, pour des opérations de remboursements de frais de santé ou les questionnaires médicaux.
 
Le règlement européen sur la protection des données à caractère personnel en date du 27 avril 2016 soulève le sujet de la séparation du traitement des données et de leur hébergement même si la lettre du texte ne traite pas précisément de ce sujet.
 
Ainsi et à l’heure actuelle, il semble que la législation sur l’hébergement des données de santé à caractère personnel ne s’applique pas directement les compagnies d’assurance et les courtiers. Certaines structures juridiques liées à ces opérations sont ou pourraient être concernées : groupements de moyens, dispensaires, structures de prévention, plateforme santé… En revanche, les intermédiaires d’assurance relèvent directement et pleinement du règlement européen sur la protection des données et devront être en conformité au 25 mai 2018.
 
Les dispositions d'hébergement des données de santé à caractère personnel modifiées par l'ordonnance du 12 janvier 2017
Bien que le secteur de l’assurance n’entre pas directement dans le champ d’application de l’article L. 1111-8 du code de la santé publique, la législation relative à l’hébergement des données de santé à caractère personnel est en constante évolution et nécessite une mise au point avec l’entrée en vigueur de la nouvelle ordonnance prévue au plus tard le 1er janvier 2019.
 
La substitution de la certification à l'agrément est le point principal apporté par l’ordonnance no 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel, qui modifie l'article L. 1111-8 du Code de la santé publique et a été publiée le 13 janvier 2017. La procédure d'agrément des hébergeurs est désormais remplacée par une procédure de certification, réalisée par le Comité français d'accréditation (COFRAC) ou un organisme européen équivalent.

Les modalités de la procédure de certification seront fixées par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés (CNIL) et des conseils nationaux de l'ordre des professions de santé.
Les agréments pour l'hébergement de données de santé sur support électronique pris avant l'entrée en vigueur de l'ordonnance continueront à produire leurs effets jusqu'à leur terme et leur renouvellement se fera via la procédure de certification après l'entrée en vigueur de l'ordonnance.
 
Le respect de la vie privée, du secret professionnel et des modalités du contrat est désormais au centre de la législation sur l’hébergement des données à caractère personnel.

En effet, l'article L. 1111-8 du code de la santé publique actuellement en vigueur dispose que seuls peuvent accéder aux données ayant fait l'objet d'un hébergement les personnes physiques ou morales à l'origine de la production de soins ou de leur recueil et qui sont désignées par les personnes concernées.

Une fois que l'ordonnance no 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel entrera en vigueur, l'accès aux données ayant fait l'objet d'un hébergement s'effectuera selon les modalités fixées dans le contrat dans le respect du droit à la vie privée et du droit au secret des informations concernant la personne.
 
Le caractère exprès du consentement de la personne est également modifié. L'article L. 1111-8 du code de la santé publique tel qu'issu de la loi du 4 mars 2002 relative aux droits des malades et à la protection du système de santé prévoyait que l'hébergement de données quel qu'en soit le support, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.

Cette disposition a été modifiée par la loi no 2016-41 du 26 janvier 2016. En effet, il n'est désormais plus nécessaire de recueillir au préalable le consentement de la personne pour héberger des données de santé, puisque l'hébergement est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime, selon l'article L. 1111-8. Cette condition ne sera pas modifiée après l'entrée en vigueur de l'ordonnance du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel.
 
Enfin, les droits de la personne concernée restent inchangés. En effet, l'article L. 1111-8 du code de la santé publique dispose que les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que celles qui les leur ont confiées.
En outre, l'hébergeur a une obligation de restitution des données à la personne concernée et sans en garder de copie selon le même article. Cette disposition ne sera pas modifiée par l'ordonnance du 12 janvier 2017.