Philippe Biclet : "Le rôle du Comité d'agrément des hébergeurs (CAH) dans la protection des données de santé à caractère personnel"

Point de vue du Docteur Philippe Biclet (Président du Comité d’agrément des hébergeurs)
 

Or, les établissements et professionnels de santé n’étant plus en mesure de conserver les données qu’ils produisent en raison de leur volume, une nouvelle activité s’est développée, celle d’hébergeur de données de santé à caractère personnel, assurée à la fois par des structures interhospitalières qui mutualisent leurs moyens informatiques, des sociétés privées de type SII et de grands groupes industriels.
 

Tous les hébergeurs auprès desquels les données sont déposées doivent garantir leur sécurité et leur confidentialité. La plupart donnent accès aux données aux professionnels et établissement de santé qui prennent en charge les patients au sein d’une seule structure ou dans le cadre de réseaux de soins régionaux. Un nombre plus restreint d’hébergeurs ouvrent un accès au patient à son dossier médical par Internet. 
 

Toutefois, la nature particulièrement sensible des données de santé justifie la mise en oeuvre de garanties de confidentialité, de sécurité et de neutralité à l’égard des autres acteurs économiques , par exemple des assureurs. 
 

La Commission Nationale de l’Informatique et des Libertés (CNIL) en qualité d’autorité de protection des données et conformément aux missions qui lui sont conférées par la loi du 6 janvier 1978 modifiée, autorise les traitements de données à caractère personnel et en assure le contrôle. Elle a donc vocation à connaître du « traitement d’hébergement », pas de l’ensemble des garanties présentées par la structure à laquelle sont confiées les données produites dans le cadre des soins. 
 

C’est pour offrir un environnement global organisé et sécurisé à cette activité que la loi du 4 mars 2002 (art . L.1111-8 du Code de la santé publique) a prévu un encadrement éthique, juridique et technique de l’activité d’hébergeur de données de santé à caractère personnel, une procédure d’agrément délivré par le ministre de la santé, après avis de la CNIL et d’un comité ad hoc (le Comité d’agrément des hébergeurs (CAH)) ayant été organisée par le décret du 4 janvier 2006. 
 

Compte tenu de la définition très générale de l’hébergement de données de santé qui vise toute externalisation des données actives auprès d’un tiers prestataire, le périmètre de l’hébergement est très large et évolutif.
 

Le Comité d’agrément dont le fonctionnement a été précisé par le décret du 4 janvier 2006 mène une instruction parallèlement à celle de la CNIL.

Toutefois, même si le champ d’investigation est partagé pour deux aspects : juridique, (information et le recueil du consentement) et technique (respect d’une obligation générale d’assurer la sécurité et la pérennité des données), il existe une compétence propre au Comité pour des aspects particuliers. 
 

C’est ainsi notamment que le comité examine le modèle économique de l’hébergeur afin de parer au risque de disparition d’un industriel fragile avec les conséquences qu’elle emporterait sur la pérennité des données confiées.  En outre, la connaissance de la structure capitalistique des entreprises permet de parer à d’éventuels conflits d’intérêts.
 

Autre contrôle effectué par le Comité d’agrément des hébergeurs, dans un univers informatique où la spécialisation des métiers implique le recours fréquent à la sous-traitance, l’analyse juridique fouillée des contrats conclus entre les différents prestataires est indispensable pour appréhender les obligations de chacun et donc les garanties pour les utilisateurs finaux. 
 

En revanche, le CAH n’a pas un statut lui permettant de diligenter des contrôles sur place soit chez l’hébergeur, soit chez le professionnel ou l’établissement client de l’hébergeur, ce que peuvent faire l’IGAS et la CNIL. Il convient toutefois de relever que le CAH compte parmi ses membres des représentants de l’IGAS. 
 

A cet égard, la CNIL et le CAH ont noué des relations constructives et régulières dans la cadre de la mise en œuvre de cette procédure, permettant d’assurer un examen complet du circuit de l’information.
 

C’est pourquoi cette instruction menée indépendamment puis conjointement à l’occasion de l’examen des candidatures préalables au vote de l’avis d’agrément qui sera transmis au ministre n’est pas redondante. 
 

Certaines particularités du Comité d’Agrément doivent être détaillées car elles rendent compte de l’originalité de sa démarche.

Le Comité, ouvert sur la société, comprend au côté des experts en systèmes d’information, des représentants des usagers, des professionnels de santé, des juristes, des économistes, des représentants de l’administration dont un agent des Archives Nationales. 
 

Le Comité a validé un référentiel préparé par l’ASIP Santé en concertation avec les acteurs du secteur de la santé intéressés et les industriels en particulier qui décline les exigences du décret hébergeur. Il s’agit d’une démarche pragmatique et pas seulement administrative qui vise à définir un haut niveau de sécurité et à assurer que le candidat à l’hébergement présente les moyens suffisants pour conserver les données, en assurer l’intégrité et être en mesure de les restituer.    
 

Le but recherché est d’amener progressivement les acteurs de l’hébergement au plus haut niveau de qualité possible afin d’offrir un espace de confiance aux patients et aux professionnels. Cette excellence ne pouvant être atteinte instantanément pour tous les points examinés, le Comité représente une force de conseil et de stimulation afin de conduire les industriels à se mettre à niveau. Ils bénéficieront de recommandations leur permettant d’améliorer leur pratique s’ils sont agréés ou seront contraints à prendre en compte les griefs qui ont motivé un refus d’agrément, pour pouvoir présenter une nouvelle demande.
 

Les difficultés de l’exercice résident dans l’impossibilité d’édicter des normes  « couperet » car l’appréciation de la sécurité et de la confidentialité de la circulation et du stockage de l’information nécessite une approche tout à la fois globale, réaliste et évolutive. C’est ainsi que si l’absence d’un second site d’hébergement a pu être considéré comme un obstacle dirimant à l’octroi d’un agrément, le non cryptage des bases n’a pas été considéré comme y faisant obstacle. Certains hébergeurs reportent sur leurs clients les obligations prévues par la loi, le nécessaire recueil du consentement exprès du paient notamment. Ce report n’est pas de nature à faire obstacle à l’octroi d’un agrément dès lors que l’hébergeur s’acquitte de son devoir d’information et de conseil à l’égard de ses clients. 
 

Alors que dans les prochains mois, l’Agence des systèmes d’information de Santé partagés (ASIP)  va procéder au déploiement du DMP, il est essentiel que les différents acteurs puissent justifier d’une certification, garante de leur qualité. Il restera à faire vivre ce partage d’informations tout à la fois dans la rigueur et la simplicité afin que les professionnels et les patients se l’approprient. 
 

Des  difficultés peuvent se présenter, des adaptations des textes et des procédures peuvent être nécessaires. Le  CAH pourra proposer en  temps utile les améliorations nécessaires  de nature à rendre la compréhension de l’activité d’hébergement de données de santé plus accessible et à assurer au citoyen une protection de ses données de santé qu’il est légitime d’attendre des pouvoirs publics.