Quel est le cadre juridique de l’agrément ?
Le cadre législatif de l'activité d'hébergement de données de santé à caractère personnel est fixé par l’article L. 1111-8 du code de la santé publique ( issu de loi n° 2002-303 du 4 mars 2002 relative aux droits des patients et modifié en dernier lieu par la loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé).
Ces dispositions ont pour objectif d’organiser et d’encadrer le dépôt, la conservation et la restitution des données de santé à caractère personnel, dans des conditions propres à garantir leur confidentialité et leur sécurité.
Le service et les conditions d’hébergement offerts doivent être définis dans un (ou des) contrat(s) établi(s) entre le prestataire hébergeur et les déposants : professionnel ou établissement de santé ou personne concernée par les données.
Pour mémoire, les termes de la loi définissent que « [….] Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que celles qui les leur ont confiées».
Le décret n°2006-6 du 4 janvier 2006 définit les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support informatique.
L’agrément est délivré après une évaluation des capacités des candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.
Le décret n° 2011-246 du 4 mars 2011 définit les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support papier.
Voir ci-dessous en bas de page la note sur les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support papier.
Les questions de la présente FAQ sont relatives à la procédure d’agrément à l’hébergement de données de santé à caractère personnel sur support informatique.
Quel droit pour les personnes concernées par les données de santé hébergées ?
La loi précise que l'hébergement de données de santé à caractère personnel «[…]est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.»
La loi de modernisation de notre système de santé du 26 janvier 2016 a remplacé le consentement exprès de la personne concernée à l’hébergement externalisé de ses données de santé par l’information et la possibilité pour cette dernière de s’y opposer pour des motifs légitimes.
Cette modification s’inscrit dans le prolongement des différentes dérogations au recueil du consentement à l’hébergement des données de santé posées par l’ancien article L.1111-8 et la loi «Fourcade» du 10 août 2011[1].
En outre, chaque responsable de traitement est tenu de s’assurer de l’effectivité des droits des personnes concernées par les données de santé dans le respect de la loi 78-17 du 6 janvier 1978, modifiée relative à l’informatique, aux fichiers et aux libertés et des dispositions du code de la santé publique.
[1] Loi 2011-940 du 10 août 2011 modifiant certaines dispositions de la loi 2009-879 du 21 juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires
Quel est le champ d’application de la procédure d’agrément ?
L’article L.1111-8 du code de la santé publique dispose que « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet.[…]» .
L’obligation de recourir à un hébergeur agréé pèse donc sur tout responsable de traitement de données de santé à caractère personnel « recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social » qui souhaiterait en confier la conservation à un tiers.
Lorsque le responsable d’un traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social conserve par ses propres moyens.lesdites données, il n’est pas soumis à l’agrément prévu à l’article L.1111-8 du code de la santé publique (il reste toutefois tenu, au titre de l’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés », de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »
). En revanche, lorsque ce même responsable de traitement décide de confier la conservation des données de santé à un prestataire tiers, ce tiers doit être titulaire de l’agrément prévu à cet effet.
La procédure d’agrément s’applique-t-elle aux établissements de santé ?
Les établissements de santé tiennent à jour un dossier hospitalier pour chaque patient pris en charge. Ces dossiers sont conservés pendant 20 ans à compter du dernier séjour du patient dans l’établissement. Ils peuvent être conservés au sein de l’établissement de santé ou confiés à un hébergeur agréé.
Si l’établissement héberge lui-même les dossiers hospitaliers, il n’a pas besoin d’obtenir un agrément. En revanche, si l’établissement met son système d’hébergement au service d’autres établissements de santé, il est soumis à la procédure d’agrément.
Il en est de même pour les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières …) qui mettent à disposition de leurs membres leur système d’hébergement : ils sont soumis à la procédure d’agrément.
Est-ce que les GCS sont soumis à la procédure d’agrément ?
Le GCS (groupement de coopération sanitaire) de moyens est un outil de mutualisation. Il constitue le prolongement de ses membres et agit en conséquence pour leur compte, dans la limite des missions qui lui sont confiées. En tout état de cause, le GCS est une personne morale distincte de ses membres et a bien la qualité de tiers par rapport à ces derniers.
Si le GCS de moyens a notamment pour finalité la mutualisation d’un système d’information de santé qui permettra à ses membres de traiter des données de santé à caractère personnel, nous sommes bien dans le cas où les établissements de santé membres du GCS lui confient la conservation de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins.
Dès lors, une alternative s’offre au GCS
- Déposer lui-même un dossier de demande d’agrément à l’hébergement de données de santé à caractère personnel.
- Faire appel à un hébergeur de données de santé à caractère personnel agréé par le ministre en charge de la santé.
Lorsqu'il est titulaire d'une ou plusieurs autorisations d'activités de soins, un GCS est érigé en établissement de santé (article L.6133-7 du code de la santé publique) et est donc lié juridiquement aux patients pris en charge. Lorsque le GCS « établissement de santé » héberge les données des patients pris en charge, il n’est pas tenu d’être agréé pour l’hébergement de données de santé. Toutefois, en sa qualité de responsable de traitements, il doit notamment respecter les dispositions de l’article 34 de la loi « Informatique et Libertés » relatives aux mesures de sécurité à mettre en œuvre.
Le GCS « établissement de santé » peut également décider d’externaliser la conservation des données de santé des patients auprès d’un hébergeur agréé à cet effet.
Une société est-elle agréée pour l’ensemble de ses activités ?
L’agrément est délivré par type de prestation d’hébergement de données de santé définie dans le modèle de contrat d’hébergement joint au dossier de demande d’agrément. Le périmètre de la prestation doit être clairement présenté. L’hébergeur peut offrir plusieurs niveaux de services mais ne peut présenter une prestation de type « catalogue de services » qui ne permettrait pas d’apprécier les engagements minimums de l’hébergeur dans le respect des exigences définies par le décret 2006-6 du 4 janvier 2006.
En outre, les dispositions de sécurité présentées dans le dossier de demande d’agrément doivent être cohérentes avec le périmètre de la prestation d’hébergement de données de santé définie dans le modèle de contrat d’hébergement.
A titre d’exemple, certains hébergeurs sont agréés pour l’hébergement de données de santé collectées au moyen d’une application nominativement désignée dans le dossier de demande d’agrément et d’autres sont agréés pour l’hébergement de données de santé collectées au moyen des applications de santé fournies par les clients et installées sur la plateforme technique d’hébergement proposée, exploitée et maintenue par l’hébergeur.
L’agrément est ainsi délivré pour un modèle de contrat et non pour l’ensemble des activités de l’hébergeur.
Si je lance un appel d’offres pour un système d’information nécessitant un volet hébergement de données de santé à caractère personnel, à quel moment faut-il exiger de mon prestataire de service qu’il soit agréé comme hébergeur ?
Dans le cadre d’un appel d’offres pour un système d’information nécessitant un volet hébergement de données de santé à caractère personnel, le titulaire du marché est soumis à la procédure d’agrément prévue par l’article L1111-8 du CSP et son décret d’application n°2006-6 du 4 janvier 2006.
Aussi, le titulaire du marché doit obtenir l’agrément avant l’hébergement des premières données de santé personnelles « réelles » (ie. la mise en exploitation de l’applicatif de gestion et d’hébergement de données de santé à caractère personnel).
L’agrément est délivré pour une durée de trois ans renouvelable après dépôt d’une demande déposée au plus tard six mois avant le terme de la période d’agrément.
Si le titulaire du marché perd son agrément (retrait ou non renouvellement) en cours d’exécution du marché, le marché devra être résilié.
Comment se positionnent les traitements de contrôle d’accès aux données vis-à-vis de la procédure d’agrément ?
Le prestataire de service d’hébergement doit évidemment mettre en œuvre un contrôle d’accès. Toutefois le périmètre du contrôle d’accès entrant dans le champ de la procédure d’agrément se limite à l’authentification de l’identité des personnes déclarées dans le contrat d’hébergement.
Si un promoteur de SIS souhaite mettre en œuvre un contrôle d’accès avec un niveau de granularité plus fin ou des critères différents (spécialités des PS par exemple), ce contrôle d’accès est exclu du champ de l’agrément et doit-être considéré comme un traitement applicatif entrant dans le champ de la loi Informatique et Libertés (même si traitement de contrôle d’accès complémentaire sont assurés par l’hébergeur ).
La confidentialité des informations présentes dans les dossiers de demandes d’agrément transmis par les candidats est-elle respectée ?
Le ministère chargé de la santé garantit la confidentialité absolue des formulaires et documents complémentaires constituant les dossiers des demandes d’agrément qu’il réceptionne. Des dispositions adaptées sont mises en œuvre tout au long du processus d’analyse des dossiers par l’ensemble des acteurs impliqués dans cette instruction.
Quels sont les sous-traitants devant être déclarés ?
L’hébergeur doit déclarer tous les sous-traitants qui, par les missions qui leur sont dévolues, ont accès aux données de santé à caractère personnel. Le sous-traitant doit apporter un niveau de garantie équivalent à celui de l’hébergeur principal. Ces exigences de confidentialité et de sécurité doivent notamment apparaître dans les clauses des différents contrats que l’hébergeur agréé passe avec ses sous-traitants.
En revanche, les sous-traitants qui ne participent pas directement à l’activité d’hébergement et ne contribuent pas à la sécurité informatique ou physique des données ne doivent pas être déclarés.