Note juridique relative à l’hébergement de données de santé à caractère personnel aux dossiers détenus par les PSAD et les distributeurs de DM (actualisé)

Repères Juridiques | 21 mars 2012

I- LE CADRE JURIDIQUE DE L’ACTIVITE DES PSAD ET DE DISTRIBUTEURS DE DISPOSITIFS MEDICAUX


L’activité des PSAD et des distributeurs de dispositifs médicaux est organisée par des dispositions législatives et réglementaires.
Il résulte de l’article D5232-10 du code de la santé publique que « le prestataire de services et le distributeur de matériels assurent une prestation globale comportant de façon indissociable l'ensemble des éléments définis par arrêté du ministre chargé de la santé. »
En application de l’article 1er 8° de l’arrêté du 19 décembre 2006 [1], la délivrance des matériels et services mentionnée aux articles D. 5232-10 et D. 5232-12 du code de la santé publique recouvre :
-          « L’établissement des documents nécessaires à la personne et, pour chaque personne prise en charge, un dossier contenant tous les éléments permettant le suivi de la personne, du matériel et service délivrés ; »
Ce dossier de suivi de la personne est constitué notamment de données de santé à caractère personnel.
 
Ainsi, tout prestataire de service est tenu de collecter et conserver des données qui peuvent être des données de santé à caractère personnel, dans la limite toutefois de ce qui est nécessaire au suivi de la personne, du matériel et du service délivrés.
 
L’arrêté du 19 décembre 2006 impose aux PSAD et distributeurs de dispositifs médicaux d’assurer « le contrôle de la bonne utilisation du matériel, le rappel éventuel des informations, en coordination avec l’équipe médicale et les auxiliaires médicaux en charge de la personne ». Au surplus,  le PSAD ou le distributeur de DM est tenu d’assurer « le contrôle régulier de l’observance et d’alerter le cas échéant le médecin traitant en cas d’anomalies ».
 
Les PSAD et distributeurs de DM sont donc tenus réglementairement d’échanger des informations relatives au suivi de la personne et du matériel délivré, avec les professionnels de santé prenant en charge le patient, dans l’intérêt thérapeutique du patient.
Dans ce cadre, lorsque le partage d’informations se fait via une application il est nécessaire de s’assurer du respect des conditions de confidentialité et de sécurité prévues à l’alinéa 6 de l’article L1110-4 du code de la santé publique[2] ainsi qu’à l’alinéa 4 de l’article L1111-8 du même code[3].
 


II- LES PRESTATAIRES DE SERVICE DE SANTE A DOMICILE SONT-ILS SOUMIS AUX DISPOSITIONS LEGALES ET REGLEMENTAIRES RELATIVES A L’HEBERGEMENT DE DONNEES DE SANTE A CARACTERE PERSONNEL SUR SUPPORT INFORMATIQUE ?

 
 
Rappel :
Conformément aux dispositions de l’article L 1111-8 du code de la santé publique précisé par le décret 2006-6 du 4 janvier 2006, toute personne physique ou morale hébergeant des données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins pour le compte d’un tiers, doit être agréée par décision du ministre en charge de la santé qui se prononce après avis de la CNIL et d’un comité d’agrément.

Les données de santé à caractère personnel que doit collecter le PSAD sont notamment des données issues de dispositifs médicaux et /ou produites ou recueillies par les salariés intervenant pour le compte d’un PSAD. Ces personnes salariées sont, soit des professionnels de santé, soit des techniciens, en fonction des actes à effectuer au domicile de la personne.
Les données recueillies sont ensuite ordonnées dans un dossier de suivi tenu par le PSAD ou le distributeur de DM.
Le PSAD ou le distributeur de DM est donc « responsable du traitement » au sens de l’article 3 de la loi « informatique et libertés ».
Les professionnels de santé prenant en charge le patient sont  destinataires du traitement au sens de cette même loi puisqu’ils sont habilités à y avoir accès.
  ANALYSE DE DIFFERENTS CAS EXPOSES PAR DES PSAD A L’ASIP SANTE :
 
1er cas :
Les données de santé à caractère personnel recueillies par le PSAD sont soit produites par le dispositif médical et récupérées par le PSAD à l’aide de son PC portable au domicile de la personne, soit produites par le professionnel de santé ou le technicien, puis consignées dans le dossier informatisé de suivi du patient.
Ou encore, les données sont directement transmises du DM vers le dossier détenu par le PSAD ou le distributeur du DM.
Ces données sont ensuite transmises au prescripteur par l’envoi d’un compte-rendu papier.
Si le PSAD conserve les seules données de santé à caractère personnel qu’il a recueillies ou produites au sein de dossiers informatisés conservés localement dans son propre système, il ne peut être considéré comme un hébergeur de données de santé à caractère personnel au sens de l’article L 1111-8 du code de la santé publique.

2ème cas : 

Le PSAD ou le distributeur de DM tient à jour un dossier de suivi du patient, informatisé, dont les données sont recueillies ou produites dans les mêmes conditions que celles exposées dans le cas n°1 et qu’il conserve localement sur son propre système.
Toutefois, à la différence du premier cas, elles sont rendues accessibles au médecin prescripteur via un extranet, et non via un compte rendu sous format papier adressé au prescripteur.
a)      A supposer que le prescripteur puisse uniquement accéder en consultation au dossier de suivi sans possibilité d’alimenter le dossier, la situation est finalement assez proche du cas numéro 1, avec la nuance que l’information du prescripteur s’effectue par voie électronique.
Aussi, le PSAD n’est pas en situation « d’hébergeur de données de santé à caractère personnel » au sens de l’article L 1111-8 du code de la santé publique.
b)      Si le prescripteur accède au dossier de suivi de la personne concernée (tenu par le PSAD ou le distributeur du DM) et alimente ce dossier de données de santé relatives à la personne concernée qu’il a recueillies ou produites à l’occasion d’ activités de prévention, de diagnostic ou de soins, on est alors  dans le cadre d’un dossier partagé entre le PSAD ou distributeur de DM et le prescripteur, contenant des données produites par chacun d’eux.
Le prescripteur est soit un établissement de santé, soit un professionnel de santé, qui dépose des données de santé à caractère personnel dans le dossier de suivi détenu par un tiers : le PSAD ou distributeur de DM.
Aussi, lorsqu’un professionnel de santé ou un établissement de santé dépose des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins sur un dossier tenu par le PSAD (ou distributeur de DM), ce PSAD doit être agréé pour l’hébergement de données de santé à caractère personnel.
Ø 3ème  cas :
Le PSAD ou distributeur de DM, peut choisir de faire héberger ses dossiers de suivi auprès d’un prestataire tiers pour garantir la conservation des dossiers dans des conditions de sécurité, de confidentialité, d’intégrité  et de traçabilité optimales.
Dans ce cas, le PSAD ou distributeur de DM- responsable de traitement- va faire appel à un tiers, qui conservera des données de santé à caractère personnel pour le compte du PSAD.
Ce tiers sera donc un sous-traitant du PSAD, au sens de la loi informatique et libertés.
Etant amené à conserver  des données de santé à caractère pour le compte du responsable de traitement, ce prestataire devra être agréé par le ministre en charge de la santé pour l’hébergement de données de santé à caractère personnel.
 
IMPORTANT
 
L’analyse développée ci-dessus doit être lue à l’aune de la loi n°78-17 du 6 janvier 1978, modifiée relative à l’informatique, aux fichiers et aux libertés.
Le PSAD est un responsable de traitement au sens de la loi précitée.
En cette qualité il est tenu notamment :
-          de respecter les formalités préalables à la mise en œuvre d’un traitement de données à caractère personnel
-          d’informer  les personnes concernées 
-          « de prendre toutes précaution utiles, au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » (l’article 34)
 
En outre, les PSAD ou distributeurs de DM et les professionnels de santé intervenant dans la prise en charge du patient doivent également respecter :
 Les dispositions de l’article L 1110-4 du code de la santé publique :
-          Le respect du secret professionnel doit être garanti.
-          L’échange d’informations sur l’état de santé du patient et la « mise à disposition » du « dossier patient » constitué par les PSAD doivent impérativement respecter les conditions suivantes :
·         information claire et précise du patient et absence d’opposition
·         avoir lieu entre professionnels de santé  intervenant ans la prise en charge du patient (ce qui exclut par exemple les techniciens qui interviennent au domicile des patients) 
·         poursuivre l’unique but d’assurer la continuité des soins ou de déterminer la meilleure prise en charge sanitaire possible, donc un bénéfice direct pour le soigné.
-          L’accès aux données de santé conservées sur support informatique doit s’effectuer au moyen d’une carte de professionnel de santé ou de tout autre dispositif équivalent agréé par l’ASIP Santé.
 
Les dispositions de l’article L 1111-8 alinéa 4 du code de la santé publique relatives àl'utilisation de systèmes d'information conformes aux prescriptions adoptées en application de l'article L. 1110-4 et aux référentiels d'interopérabilité et de sécurité arrêtés par le ministre chargé de la santé après avis du groupement mentionné à l'article L. 1111-24.
 
 
 


[1] Arrêté du 19 décembre 2006, définissant les modalités de la délivrance mentionnées aux articles D. 5232-10 et D. 5232-12 et fixant la liste des matériels et services prévue à l’article L. 5232-3 du code de la santé publique
 [2] Art. L1110-4, al. 6 :
« Afin de garantir la confidentialité des informations médicales mentionnées aux alinéas précédents, leur conservation sur support informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d'Etat pris après avis public et motivé de la Commission nationale de l'informatique et des libertés. Ce décret détermine les cas où l'utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l'article L. 161-33 du code de la sécurité sociale ou un dispositif équivalent agréé par l'organisme chargé d'émettre la carte de professionnel de santé est obligatoire. La carte de professionnel de santé et les dispositifs équivalents agréés sont utilisés par les professionnels de santé, les établissements de santé, les réseaux de santé ou tout autre organisme participant à la prévention et aux soins. »
[3] Art. L1111-8, al.4 :
« La détention et le traitement sur des supports informatiques de données de santé à caractère personnel par des professionnels de santé, des établissements de santé ou des hébergeurs de données de santé à caractère personnel sont subordonnés à l'utilisation de systèmes d'information conformes aux prescriptions adoptées en application de l'article L. 1110-4 et aux référentiels d'interopérabilité et de sécurité arrêtés par le ministre chargé de la santé après avis du groupement mentionné à l'article L. 1111-24 . »
[4]  Article L 1111-8 du code de la santé publique et décret 2006-6 du 4 janvier 2006
Services: