L’agrément des hébergeurs de données de santé à caractère personnel

Repères Juridiques | 07 févr. 2011
La loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins a profondément bouleversé la relation entre les patients et les professionnels de santé. En posant le principe du droit à l’information du patient et en réaffirmant le droit à la confidentialité des données de santé, la loi a imprimé une évolution marquante dans l’organisation du système de santé. 
Le droit à la confidentialité des données de santé conditionne leurs modalités d’hébergement. Il convient tout d’abord de définir ce qu’est l’hébergement des données de santé à caractère personnel, pour analyser les conditions dans lesquelles celui-ci doit avoir lieu. 
 

Définition de l’hébergement de données de santé à caractère personnel 

Les professionnels de santé sont tenus, selon les règles déontologiques qui leur sont applicables1, de tenir à jour une fiche d’information sur chaque patient. En établissement de santé, un dossier hospitalier est ouvert pour chaque patient pris en charge. Ces documents sont conservés sous la responsabilité du professionnel de santé ou de l’établissement de santé qui les détient. 
 
En tant que responsables du traitement, les établissements de santé et les professionnels de santé sont tenus de déclarer leurs fichiers à la CNIL. À cet effet, certaines professions bénéficient pour la déclaration de leurs fichiers de formalités allégées2
La déclaration de traitement est effectuée, quelles que soient les modalités d’hébergement des données de santé à caractère personnel définies à l’article L.1111-8 du Code de la santé publique. 
En effet, les professionnels de santé peuvent choisir de conserver eux-mêmes les données de santé de leurs patients ou de les confier à un hébergeur agréé pour cette activité. 
 
L’hébergeur est chargé d’assurer la confidentialité, la sécurité, l’intégrité et la disponibilité des données de santé qui lui sont confiées par un professionnel de santé, un établissement de santé ou directement par la personne concernée par les données. 
 
L’activité d’hébergement recouvre plusieurs réalités : elle peut consister en une application associant traitement et archivage des données. Il peut s’agir d’un simple archivage ou de la fourniture d’un site de sauvegarde. Participe à l’hébergement tout opérateur intervenant dans cette chaîne de valeurs. Seul celui qui contractualise avec le producteur de soins est soumis à l’agrément, charge à lui de préciser les modalités d’intervention des autres acteurs. 
Pour exercer son activité, l’hébergeur doit démontrer sa capacité à mettre en œuvre une politique de sécurité et de confidentialité renforcée, en vue de l’obtention d’un agrément pour l’hébergement des données de santé à caractère personnel. 
 

Conditions d’hébergement : l’agrément préalable des hébergeurs de données de santé à caractère personnel

L’article L.1111-8 du CSP précise les conditions dans lesquelles les données de santé peuvent être confiées à un hébergeur. 
  • La personne concernée par les données de santé doit avoir consenti expressément à l’hébergement de ses données.
  • L’hébergeur doit être agréé pour son activité.
  • L’hébergeur est soumis aux règles de confidentialité prévues à l’article L.1110-4 du Code de la santé publique et à des référentiels d’interopérabilité et de sécurité.
  • Lorsque les professionnels de santé ou les établissements de santé hébergent leurs propres données de santé, ils ne sont pas soumis à l’agrément et ne sont pas tenus de recueillir le consentement exprès de l’intéressé pour conserver ces données3.
En revanche, dès lors qu’une entité héberge des données de santé de patients dont elle n’assure pas la prise en charge, elle est considérée comme hébergeur et doit obtenir un agrément. 
 
Les conditions de délivrance de l’agrément sont fixées par le décret en Conseil d’État du 4 janvier 2006, pris après avis de la CNIL et après concertation avec les représentants des patients et des professionnels de santé, et codifié aux articles R.1111-9 à R.1111-14 du Code de la santé publique. L’agrément est délivré par le ministre en charge de la Santé, après avis de la CNIL et d’un comité d’agrément créé ad hoc, dont l’ASIP Santé assure le secrétariat.
La procédure d’agrément permet de vérifier les capacités du candidat à assurer la sécurité, la protection, la conservation et la restitution des données de santé à caractère personnel. La CNIL se prononce sur les garanties offertes par le candidat en matière de protection des personnes à l’égard des traitements de données de santé. Le comité d’agrément évalue le dossier de candidature sous ses aspects éthique, déontologique, technique, financier et économique. Il rend son avis dans le mois qui suit la décision de la CNIL. 
 
L’agrément est délivré pour trois ans et peut être renouvelé, après présentation d’une nouvelle demande. Le ministre de la Santé peut décider le retrait de l’agrément d’un hébergeur si des manquements graves à ses obligations sont constatés. 
 
Les obligations pesant sur les hébergeurs de données de santé à caractère personnel découlent du droit du patient à la confidentialité de ses données de santé. En ce sens, c’est bien la sensibilité des données qui leur sont confiées qui justifie la nécessité d’obtention d’un agrément préalable. Les démarches à effectuer par les candidats sont recensées sur le site de l’ASIP Santé, au sein d’un référentiel de constitution des demandes d’agrément. L’ASIP Santé, qui assure le secrétariat du comité d’agrément, est chargée de la gestion des candidatures à l’agrément. Une foire aux questions sur l’agrément est disponible.

Retrouvez la liste des opérateurs ayant été agréés en tant qu’hébergeurs de données de santé à caractère personnel.
 
Toute question relative à l’hébergement peut être posée via la boîte contact-agrement-hebergeurs@sante.gouv.fr .
 

1 Pour les médecins, il s’agit du Code de déontologie médicale codifié aux articles R.4127-1 à R.4127-112. Il existe également un Code de déontologie des chirurgiens-dentistes et des règles spécifiques applicables à chaque profession de santé.

2 Les formalités des professions médicales et paramédicales sont simplifiées : elles consistent en une déclaration de conformité de leur traitement à la norme simplifiée n° 50 de la CNIL. Pour les pharmaciens, il s’agit de la déclaration simplifiée n° 52. Ces normes simplifiées peuvent être consultées sur le site de la CNIL.

3 Le patient peut néanmoins faire valoir son droit d’opposition au traitement et son droit d’accès aux données de santé à caractère personnel. 

Services: 
Documents associés:
Fichiers attachésTaille
Modèle de contrat médecin hébergeur125.65 KB