Colloque Gouvernance et sécurits curité des systèmes d information d de santé L informatisation des données de santé et la législationl Informatique et Libertés Marseille, le 7 juin 2011 Frédérique rique LESAULNIER Juriste en charge du secteur de la santé à la CNIL
La CNIL: statut et composition une autorité administrative indépendante composée e de 17 membres (hauts magistrats, parlementaires, conseillers économiques et sociaux, personnalités s qualifiées) un président élu par ses pairs : actuellement Alex Türk, T sénateur s du Nord L absence de contrôle financier préalable des dépensesd L établissement de son règlement r intérieur les membres de la CNIL ne reçoivent d instruction d aucune autorité. budget: de l ordre l de 13 millions d euros, d services : 140 personnes.
Les principes de la protection des données personnelles : Présentation de la loi de 1978 modifiée Genèse de la loi du 6 janvier 1978 dite «informatique et libertés» Dimension européenne de la protection des données : une refonte totale : la loi du 6 août 2004 Modification des méthodes de travail de la Commission Allègement des formalités déclaratives Renforcement des pouvoirs de contrôle sur place et sur pièces et de sanction administrative et pécuniaire Délivrance de labels et renforcement de la veille prospective Institution du correspondant à la protection des données
Le correspondant informatique et libertés (CIL) Une possibilité introduite en 2004 à l occasion de la refonte de la loi du 6 janvier 1978 La désignation est facultative et ouverte à tout responsable de traitement. Cette fonction peut être externalisée dès lors que la structure compte moins de 50 salariés La désignation d un correspondant emporte un allègement des formalités préalables pour les traitements non sensibles - Seuls les traitements relevant du régime de l autorisation ou de la demande d avis préalable ou qui comportent des flux hors U.E devront donner lieu à des formalités auprès de la CNIL. - Les traitements relevant du régime de la déclaration (normale ou simplifiée), n auront pas à être notifiés à la CNIL, mais devront être recensés dans un registre tenu par la CIL. Elle implique un engagement du responsable de traitement en faveur d une meilleure application de la loi et apparaît comme un vecteur de sécurité juridique. 7300 organismes ont désigné un CIL parmi lesquels une centaine d établissements de santé
Un renforcement des pouvoirs de contrôle sur place (articles 11 2 f et 44 de la loi du 6 janvier 1978 modifiée) - Une évolution significative de la politique des contrôles (renforcement du service, objectifs annuels) : 42 contrôles en 2004, 308 en 2010 sur tout le territoire national - La mise en œuvre du programme annuel des contrôles adopté en séance plénière (la sécurité des données de santé et les hébergeurs de données personnelle de santé figure sont inscrits dans le programme 2010-2011) - La réponse à des besoins ponctuels (plaintes, thème d actualité)
De nouveaux pouvoirs de sanction (art 45) Avertissements et mises en demeure de faire cesser un manquement à la loi, que la CNIL peut rendre publics; Sanctions pécuniaires (sauf pour les traitements de l État) : jusqu à 150000, et en cas de réitération, 300 000 (ou 5 % du CA HT pour les entreprises dans cette limite). Le montant est perçu par le Trésor public Injonction de cesser le traitement ou retrait de l autorisation et en cas d urgence, décider l interruption temporaire du traitement ou le verrouillage des données, pour une durée de trois mois En cas d atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander, par référé, à la juridiction compétente d ordonner toute mesure de sécurité nécessaire. Dénonciation au parquet : sanctions pénales lourdes (de l ordre de 5 ans d emprisonnement, 300 000 euros d amende) En 2010, 111 mises en demeure, 3 avertissements, 5 sanctions pécuniaires (100 000 euros à l encontre de Google «Street view»)
Le champ d application d de la loi Informatique et Libertés s : Les notions clés La donnée à caractère re personnel : toute information relative à une personne physique identifiée e ou susceptible de l êl être, directement ou indirectement La prise en compte par la loi des méthodes m d anonymisationd des données (Suivi épidémiologique du Sida, PMSI, SNIIRAM) Le traitement de données à caractère re personnel : toute opération ou tout ensemble d opd opérations portant sur de telles données, quelque soit le procédé utilisé
Le responsable de traitement Enjeux les obligations prévues par la loi reposent sur lui Il encourt les sanctions pénales en cas de non-respect Son lieu d établissement constitue le premier critère de la loi applicable (installation stable sur le territoire français ou recours à des moyens de traitement situés sur ce territoire) Critères de détermination La personne, l autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens, sauf désignation expresse par les dispositions législatives ou réglementaires relatives au traitement. Mise en œuvre de la notion parfois délicate les réseaux de soins qui recourent à un hébergeur Promoteurs et investigateurs d une recherche
Conditions de licéit ité des traitements : Les principes de la protection des données Une finalité déterminée, e, explicite et légitimel Des données adéquates, pertinentes, non excessives et mises à jour Une durée e de conservation limitée e des données : la consécration cration d un d «droit à l oubli» Le respect des droits des patients Des mesures de sécurits curité adaptées : confidentialité,, intégrit grité et pérennité des données
Le respect des droits des patients Le droit à l information du patient : article 32 Loi informatique et libertés; article L.1111-2 CSP Les personnes doivent être informées, lors du recueil, de l enregistrement ou de la première communication des données : de l identitl identité du responsable de traitement de la finalité du traitement du caractère re obligatoire ou facultatif des réponses r et des conséquences d un défaut d de réponser des destinataires des données de leurs droits : droit d accd accès s et de rectification, droit de s opposer s sous certaines conditions à l informatisation de ses données le cas échéant, des transferts de données vers des pays hors UE Le droit d accès aux données médicales personnelles : article 39 Loi informatique et Libertés; art. L.1111-7 CSP. Elles peuvent aussi, à leur demande, être informées sur les données enregistrées et l origine de celles-ci. 10
Le respect des droits des patients Droit d opposition pour des raisons légitimes : art. 38 Loi Informatique et Libertés Sont soumis au régime du droit d opposition : Le dossier informatisé mono-professionnel Le dossier informatisé de l équipe de soins au sein d une structure de soins Article L.1110-4, alinéa 3 CSP : «Lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l ensemble de l équipe. Le dossier informatisé au sein d un cabinet de groupe d une même discipline Echanges de données : correspondance entre médecins (échange de courrier papier ou messagerie électronique) Consentement requis dans certains cas - Exigence légale : hébergement soumis au consentement exprès de la personne concernée (CSP, art. L.1111-8, alinéa 1) Exception : lorsque l accès aux données hébergées est limité au seul professionnel de santé ou établissement qui les a déposées - Doctrine de la CNIL: le partage par internet des données médicales relatives à un patient à des fins de coordination des soins est subordonné au recueil de son accord exprès préalable. 11
Le respect des droits des patients Conditions d un consentement valablement recueilli : Un consentement éclairé et explicite (Clair et univoque mais pas nécessairement formalisé par écrit) Modalités de recueil du consentement La CNIL a admis plusieurs modalités de recueil du consentement - Pour les réseaux de soins, signature du document papier qui lui est remis à son entrée dans le réseau - Pour le dossier pharmaceutique et le DMP, souscription, sous forme électronique, par le pharmacien d un certificat attestant qu après avoir procédé à l information de l assuré, il a effectivement recueilli le consentement de ce dernier à l ouverture d un DP et remise à l assuré d une copie papier de l attestation formalisant son accord. - Pour la consultation de l «historique des remboursements», accord de l assuré matérialisé par la remise au praticien de sa carte Vitale après information préalable incombant à ce dernier. Une nécessaire harmonisation des modalités de recueil du consentement : Constitution d un groupe de travail au sein de l ASIP Santé. Elaboration d un guide des bonnes pratiques
Les moyens permettant d assurer d la confidentialité des données : une priorité renforcée Une obligation qui pèse p sur le responsable du traitement qui doit préserver la sécurits curité des données Les mesures de sécurits curité physique et logique doivent être adaptées à la nature des données et aux risques présent sentés par le traitement Des décrets, d pris après s avis de la CNIL, pourront fixer les prescriptions techniques des traitements mis en œuvre par les professionnels de santé (la définition d des référentiels r rentiels de sécurité )
Le décret d confidentialité L article L. 1110-4 du CSP et le décret d du 15 mai 2007 impose l utilisation l de la CPS pour tout accès s aux données de santé y compris au sein d uned même me structure de soins pour la conservation des données médicales m sur support informatique pour leur transmission électronique entre professionnel, sans distinction du mode d exercice d du professionnel Le décret d prévoit la création de référentiels r rentiels sécurits curité pris après s avis de la CNIL. Un référentiel r rentiel pour les établissements publics de santé est actuellement en cours d éd élaboration Adoption par l ASIP l Santé d un référentiel r rentiel de sécurits curité et d interopérabilité applicable aux systèmes d information d partagés destiné à rendre les systèmes de santé communicants entre eux
L encadrement de l hébergement de données de santé Garantir la sécurité des données de santé lorsqu elles sont hébergées par un organisme distinct du professionnel ou de l établissement de santé qui soigne le malade. Le principe de l agrément des hébergeurs est prévu par la loi : article L.1111-8 du Code de la santé publique Les conditions de l agrément sont fixées par le décret du 4 janvier 2006 : l agrément est délivré pour trois ans par le ministre de la Santé après avis de la CNIL et du comité d agrément des hébergeurs L agrément porte sur une prestation particulière : aucun organisme n est agréé en général Le référentiel de constitution des demandes d agrément, établi en concertation avec la CNIL à l issue d une large concertation menée par l ASIP santé est publié, ainsi que la liste des organismes agréés (esanté.gouv.fr) Les contrôles organisés par la CNIL Questions d actualité 15
Le cadre juridique de la protection des données de santé La France dispose d un d cadre juridique très s riche qui définit les conditions d utilisation d des données de santé et en assure la protection Il traduit le caractère re «sensible» des données de santé La Convention européenne enne du 28 janvier 1981 du Conseil de l Europe La Directive européenne enne du 24 octobre 1995 relative à la protection des personnes physiques à l égard du traitement des données personnelles
La reconnaissance dans la loi du caractère re sensible des données de santé (article 8) Il est interdit ( )( ) de collecter ou de traiter des données à caractère re personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance l syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celui-ci.
Des exceptions qui permettent leur traitement Le consentement exprès s de la personne, sauf dans le cas où o la loi prévoit qu il ne suffit pas Les traitements mis en œuvre par des médecins m ou des biologistes aux fins de la médecine m préventive, des diagnostics médicaux, de l administration l de soins ou de traitements La recherche médicalem L intérêt t public Les traitements de données qui font l objet l à bref délai d d und procédé d anonymisation Les traitements d éd évaluation des pratiques de soins
La prise en compte de l intérêt public Les réseaux r de soins Le dossier médical m personnel Un instrument de coordination des soins dans l intérêt du patient, en cours de relance La CNIL a autorisé la première phase de déploiement généralisé du dispositif le 2 décembre 2010 Le dossier pharmaceutique Le dossier pharmaceutique Un outil professionnel, conduit et financé par le CNOP, visant à lutter contre les interactions médicamenteuses à l usage des pharmaciens d officine. La généralisation a été autorisée le 2 décembre 2008. Décret du 15 décembre 2008. Extension à un nombre limité de pharmacies hospitalières autorisée le 6 mai 2010
La prise en compte de l intérêt public Le web médecinm permet aux médecins qui délivrent des soins aux patients quel que soit leur lieu d exercice de connaître l historique des actes et prestations remboursées sur 12 mois La télémédecinet Avis sur décret d du 19 octobre 2010 Les traitements d aide d à la gestion globale du risque à l hôpital La biométrie à l hôpital à des fins d identitovigilanced
Le dossier médical m personnel Création par la loi du 13 août 2004 portant réforme de l assurance maladie (CSS, art. L. 161-36-1) Confirmation du législateur de créer ce dossier par la loi HPST Attribution à chaque bénéficiaire de l'assurance maladie d'un DMP comportant les données recueillies ou produites à l occasion des activités de prévention, de diagnostic ou de soins. Permet aux professionnels de santé choisis par le patient de connaître les soins qui lui ont été dispensés pour assurer une meilleure prise en charge médicale Expérimentations conduites en 2006 par le GIP-DMP Le DMP a fait l objet d un «audit» (mission d inspection IGS, IGF et CGTI), d une revue de projet et est en cours de relance placée sous la responsabilité de l ASIP Santé
Le DMP : le «dossier du patient» Modes d accès au DMP sous son contrôle Accès direct du patient à son DMP via internet depuis son ordinateur Désignation nominative par le patient des professionnels de santé habilités à accéder à son DMP («cercle de confiance») Contenu sous son contrôle Droit de masquage des informations aux professionnels de santé et «masquage de ce masquage».
La CNIL a accompagné toutes les phases de définition d et de réalisation r du projet Avis sur les textes qui commandent son déploiement (décret confidentialité, décret hébergeur) Autorisation du lancement des expérimentations conduites de en 2006 (Délibération du 30 mai 2006 ) après avis sur les six hébergeurs (Délibération du 21 mars 2006), puis contrôle de l ensemble des acteurs de l expérimentation Avis sur l agrément du groupement Atos-La poste, unique hébergeur retenu pour héberger le futur DMP (Délibération 30 septembre 2010) Autorisation des traitements nécessaires à la première phase de déploiement généralisé du DMP (Délibération 2 décembre 2010)
Réforme de la gouvernance : la création de l ASIP Santé Favoriser le développement des systèmes d information partagés dans le domaine de la santé et du secteur médico-social afin de favoriser la coordination et la qualité des soins (dont la télémédecine), la prévention, la veille et l alerte sanitaire. Cette nouvelle agence d Etat est un groupement d intérêt public (art. L.1111-24 du Code de la santé publique) issu de la transformation du GIP-DMP qui intègre le GIP-CPS et la partie «interopérabilité» du Groupement de modernisation des systèmes d informations hospitalières (GMSIH). Convention constitutive approuvée par arrêté ministériel du 20 octobre 2009 puis modifiée en novembre et décembre 2009. GIP constitué entre l Etat, l Assurance Maladie et la Caisse Nationale de Solidarité pour l autonomie.
Missions de l ASIP santé Maîtrise d ouvrage des projets, délégués par les pouvoirs publics. Réalisation et déploiement du Dossier Médical Personnel (DMP). Définition, promotion et homologation de référentiels, standards, produits ou services contribuant à l interopérabilité, à la sécurité et à l usage des systèmes d information de santé et de la télésanté ainsi que la surveillance de leur bonne application. Accompagnement des initiatives concourant à son objet : pouvoir de financement autonome prévu par la loi (arrêté du 9 décembre 2009). Les ARS sont des relais régionaux de l Agence pour les systèmes d information. Participation aux accords ou projets internationaux sur les systèmes d information de santé.
Le cadre juridique nécessaire n au déploiement d reste aujourd hui inachevé Une partie du cadre juridique nécessaire au déploiement du DMP reste à définir. La CNIL devra se prononcer sur : Le projet de décret fixant le contenu et modalités d accès aux informations figurant dans le DMP ; Le projet de décret relatif à l identifiant national de santé (article L1111-8-1 du Code de la santé publique issu de la loi du 30 janvier 2007) Constitution d un groupe de travail (conclusions 20 février 2007) Doctrine des identifiants sectoriels de la CNIL.
Le choix d une politique d identification commune du patient Objectif : associer sans risque d erreur les données de santé d un patient au bon dossier - L INS est prévu par la loi (article L.1111-8-1 du code de la santé publique). Il est utilisé, dans l'intérêt des personnes concernées et à des fins de coordination et de qualité des soins, pour la conservation, l'hébergement et la transmission des informations de santé. Il est également utilisé pour l'ouverture et la tenue du dossier médical personnel et du dossier pharmaceutique. - Un décret, pris après avis de la Commission nationale de l'informatique et des libertés, fixe le choix de cet identifiant ainsi que ses modalités d'utilisation. - La CNIL a émis un avis négatif le 20 février 2007 pour l utilisation du numéro de sécurité sociale. 27
La délicate question du choix de l identifiant : Conclusions du groupe de travail du 20 février 2007 Caractères particuliers du NIR Le NIR occupe une place symbolique particulière dans la loi du 6 janvier 1978, y compris depuis sa modification en 2004. Doctrine du «cantonnement» selon laquelle chaque sphère d activité doit être dotée d identifiants sectoriels : une utilisation du NIR cantonnée à une finalité de protection sociale. Les données de santé : des données «sensibles» qui appellent une protection renforcée Conditions de sécurité disparates et insuffisantes, en particulier à l hôpital Nécessité d un identifiant générateur de confiance Solution préconisée par le groupe de travail : génération d un identifiant de santé spécifique bénéficiant du processus de certification du NIR Solution provisoire : Une première version de l INS sera calculée localement (INS-C) à partir des traits d identité contenus 28 dans la carte Vitale.
epsos Premier projet européen de e-santé Projet européen Smart Open Services for européen patients Développer en Europe des normes et standards qui assureront l interopérabilité des systèmes dans le domaine de la e-santé Sous-groupe «données de santé» réactivé afin de préparer une position commune du G29. Expérimentation portant sur deux types de services : accès à un résumé médical et service de e-prescription
Le régime r de l autorisation l : la recherche médicalem Une levée e du secret professionnel possible sous certaines conditions Une procédure en deux temps : comité/cnil Des exigences strictes en matière de d information d et de sécurits curité L information individuelle doit se doubler d une d information dans les lieux de soins L examen des dérogations d à l obligation d informationd Une simplification des procédures :l adoption d une d méthodologie m de référence r rence pour les recherches biomédicales le 5 janvier 2006 Pour les catégories les plus usuelles de traitement et portant sur des données ne permettant pas une identification directe des personnes concernées es Proposition de loi Jardé : Vise à donner un cadre unique à l ensemble des recherches sur la personne qui imposerait le passage devant un CPP quel que soit le type de recherche (interventionnelle ou non)
Le régime r de l autorisation l pour l évaluation des pratiques de soins et l anonymisation L évaluation des pratiques de soins L exclusion du nom, du prénom et du NIR Un engagement de confidentialité particulier De l accl accès s aux bases PMSI à la conduite d éd études observationnelles L accès s aux données du SNIIRAM L anonymisation : l autorisationl Le recours à bref délai d à un procédé d anonymisation reconnu conforme permet la communication de données L exemple de la transmission à la FNMF de données anonymisées issues des feuilles de soins électroniques
Commission nationale de l informatique et des libertés www.cnil.fr