Agrément des hébergeurs de données de santé : quelle réalité quatre ans après le décret ?

Éthique | 15 févr. 2012
Le 20 janvier dernier, Jeanne BOSSI, secrétaire générale de l’ASIP Santé, était invitée par l’Association Nationale des Directeurs en Imagerie Médicale (ANDIM) à présenter dans les grandes lignes, le décret hébergeur et la procédure d’agrément des hébergeurs de données de santé. L’occasion de faire un point sur l’actualité et les récentes évolutions sur le sujet, quatre ans après la parution du décret.

Organisé par l’ANDIM en partenariat avec un acteur industriel majeur du secteur de l’électronique médicale, le séminaire de l’association de directeurs en radiologie a été l’occasion pour la secrétaire générale de l’ASIP Santé de présenter les modalités d’application et les questions d’actualité qui se posent autour du décret hébergeur.

Cette approche par des cas pratiques a permis de donner une dimension concrète à un texte dont les implications peuvent parfois paraître éloignées de la réalité du terrain. Pourtant, depuis le 1er juin 2009, 81 dossiers ont été réceptionnés par le comité d’agrément des hébergeurs de données de santé (CAH), instance créée par le décret du 4 janvier 2006 et chargée de donner un avis pour l’obtention de l’agrément. Sur ces 81 dossiers, 30 ont été agréés et 22 refusés à ce jour. Rappelons que l’agrément est délivré pour trois ans par le ministre en charge de la santé après avis de la CNIL et du CAH et qu’il porte sur une prestation particulière, même si une mutualisation des moyens est possible. Par exemple, le Syndicat interhospitalier d’informatique hospitalière de Bretagne (SIB), le GCS Emosist et le GIP Mipih ont été agréés. A l’inverse, un organisme peut-être agréé plusieurs fois pour différentes types de prestations. La procédure d’agrément a donc pour objet d’apprécier la capacité économique et financière, éthique et juridique, et la politique de sécurité de l’organisme candidat.

L’ASIP Santé, mandatée pour assurer le secrétariat du CAH, a construit une foire aux questions  (22 questions et réponses à ce jour) qui s’enrichit régulièrement à partir des interrogations soumises à l’agence ou à la suite de positions particulières exprimées par le CAH .

Cet effort de l’ASIP Santé a permis de faire remonter des questions fréquentes sur la problématique d’hébergement de données de santé, ayant une prise directe dans le travail quotidien des médecins. Par exemple, lorsqu’un établissement de santé transmet des images radiologiques à un autre établissement pour expertise, et que ce dernier stocke les images sur son PACS, est-il soumis au décret hébergeur ?

Le champ d’application de la procédure d’agrément s’applique à toute base de données recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins: recherche, secteur assurantiel… Une adaptation des référentiels est donc nécessaire. L’élaboration d’une nouvelle politique générale de sécurité des systèmes d’information, confiée à l’ASIP Santé par le ministère de la santé en décembre dernier, permettra de préciser cette éventuelle adaptation.

Par ailleurs, dans son rapport annuel pour la période 2006 – 2011, publié en octobre dernier le CAH propose des pistes de réflexions pour améliorer la procédure d’agrément. Se focalisant sur la simplification de l’évaluation du volet architecture et l’articulation avec la CNIL, ces réflexions sont menées en collaboration avec l’association française des hébergeurs agréés de données de santé (AFHADS). Quelles que soient les recommandations qui émaneront de ce travail, elles devront désormais s’accorder avec les travaux relatifs à la nouvelle PGSSI.

Cette procédure d’agrément, précisée dans le décret hébergeur, traduit ainsi les exigences posées par le législateur qui indiquent que les professionnels de santé, les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel chez un hébergeur agréé. En cela, les hébergeurs et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal (article L1111-8 du code de la santé publique). A noter que le texte exige la présence chez l’hébergeur d’un médecin, garant du secret professionnel.