Hébergement de données de santé à caractère personnel cadre juridique Kahina HADDAD, juriste santé/tic ASIP Santé Paris Innovation BOUCICAUT 19 mai 2016 19 mai 2016
L ASIP Santé, agence nationale au service de la santé numérique 4 grandes missions Son statut juridique L Agence des Systèmes d Information Partagés de Santé a été créée en 2009, sous la forme d un groupement d intérêt public. Les membres de l Assemblée générale L Etat, l Assurance Maladie, la Caisse Nationale de Solidarité pour l autonomie (CNSA). 1
- Cadre juridique et procédure - Suivi de l agrément - L évolution de la procédure 19 mai 2016 3
Cadre juridique de la procédure d agrément 1- Le principe de l agrément des hébergeurs de données de santé à caractère personnel est prévu par la loi : article L.1111-8 du code de la santé publique. Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l occasion d activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte d'un tiers, doit être agréée à cet effet La loi de santé a élargi le champ d application de l article L.1111-8 L hébergement exige une information claire de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s y opposer. La loi de santé a supprimé l obligation de recueil du consentement exprès. Les hébergeurs et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l article 226-13 du code pénal. 19 mai 2016 4
Cadre juridique de la procédure d agrément Les questions à se poser pour savoir si l obligation d être agréé ou l obligation de recourir à un hébergeur agréé s applique : Qui? Identifier les différents acteurs Quoi? Lister de façon exhaustive les catégories de données collectées Pourquoi? Finalité d utilisation des données 19 mai 2016 5
Cadre juridique de la procédure d agrément 2- La procédure d agrément pour l hébergement de données de santé sur support informatique est fixée par le décret du 4 janvier 2006 pris après avis de la CNIL et des ordres professionnels Le déroulement de la procédure d agrément Analyse du dossier par la CNIL qui est chargée d émettre un avis dans un délai de deux mois renouvelable une fois. La CNIL se prononce sur les garanties présentées par le candidat à l agrément en matière de protection des personnes et de sécurité des données de santé. Instruction du dossier par le comité d agrément des hébergeurs (CAH- organe consultatif créé par le décret qui en fixe la composition) après réception de l avis de la CNIL, qui rend à son tours un avis (dans un délai d un mois renouvelable une fois). Le CAH examine le dossier sous trois volets: économique et financier; éthique et juridique; sécurité et technique. Les deux avis sont transmis au ministre en charge de la santé qui rend sa décision (dans un délai d un mois renouvelable une fois): l agrément est délivré pour trois ans. 19 mai 2016 6
Cadre juridique de la procédure d agrément Les conditions à remplir pour être agréé hébergeur de données de santé à caractère personnel Le contenu du dossier de demande d agrément est fixé par l article R 1111-12 du code de la santé publique : sont ainsi évalués la capacité financière du candidat, le type de prestations proposée, le niveau de sécurité et les conditions du respect des principes de la protection des données personnelles et des droits des personnes. La prestation d hébergement est un contrat conclu entre l hébergeur et son client et dont le contenu est fixé précisément par l article R1111-13 du code de la santé publique. Le contrat doit clairement définir la prestation objet de la demande d agrément. L équilibre des relations et le partage de responsabilités entre l hébergeur et son client doivent être clairement dessinées dans le contrat. Le texte exige la présence chez l hébergeur d un médecin, garant du secret professionnel. 19 mai 2016 7
Cadre juridique de la procédure d agrément Le référentiel de constitution des dossiers de demande d agrément Les exigences du décret ont été traduites dans le référentiel de constitution des dossiers de demande d agrément réalisé en concertation avec les opérateurs, les industriels, les maîtrises d ouvrage régionales du secteur de la santé et la CNIL. Le référentiel est composé de six formulaires standards qui couvrent l ensemble du recueil d informations exigé par le décret (P1,P2,P3,P4,P5 et P6), de deux formulaires d engagement relatifs à l auto-évaluation et aux contrôles (C1, C2) et d un guide détaillé d aide aux candidats. L agrément porte sur une prestation particulière, objet du contrat soumis au contrôle de la CNIL et du CAH : aucun organisme n est agréé en général. Un organisme peut donc être agréé plusieurs fois pour différents types de prestations. 19 mai 2016 8
Cadre juridique de la procédure d agrément 3- La procédure d agrément pour l hébergement de données de santé sur support papier est fixée par le 2011-246 du 4 mars 2011 Le déroulement de la procédure d agrément sur support papier (compétence ministère de la culture) Analyse du dossier par le service interministériel des archives de France (SIAF) qui apprécie sur pièces et sur place les sites physiques au sein desquels seront conservées les données de santé (sécurité physique et mesures de confidentialité des données). Décision d agrément délivrée par le ministre en charge de la culture pour une durée de 5 ans. A l issue des 5 ans, l hébergeur doit déposer un nouveau dossier de demande d agrément. 19 mai 2016 9
- Cadre juridique et procédure - Suivi de l agrément - L évolution de la procédure 19 mai 2016 10
Le suivi de l agrément 1- Le rapport annuel d auto-évaluation Il permet de porter à la connaissance du ministre les améliorations et modifications apportées au service d hébergement de données de santé à caractère personnel. Il ne peut modifier le périmètre du service pour lequel l hébergeur est agréé et par voie de conséquence constituer un avenant au contrat d hébergement. Les conclusions des rapports d auto-évaluation sont envoyées aux hébergeurs. Il existe trois types de conclusions : Les évolutions apportées par l hébergeur modifient substantiellement le périmètre de la prestation agréée l hébergeur doit déposer un nouveau dossier de demande d agrément. Le rapport d auto évaluation est imprécis demande de précisions. Le rapport d auto évaluation est précis et ne fait pas état de modification du périmètre de la prestation agréée il est pris acte de sa réception. 19 mai 2016 11
Le suivi de l agrément 2- Audits et contrôles Les contrôles de la CNIL La CNIL a le pouvoir de diligenter des contrôles auprès de tout responsable de traitement : article 44 de la loi Informatique et Libertés. Les hébergeurs de données de santé - agréés ou pas - font partie du périmètre de contrôle de la CNIL. Les sanctions éventuelles sont celles prévues par loi du 6 janvier 1978. Les audits de l IGAS - Corps de contrôle naturel de l administration, le législateur a confié à l IGAS une mission d audit des hébergeurs agréés. 19 mai 2016 12
Le suivi de l agrément 3- Dossiers de renouvellement d agrément Six mois avant le terme de la période d agrément (3 ans) l hébergeur doit déposer une demande de renouvellement (article R 1111-15 CSP) Cette demande comprend : Les documents mentionnés à l article R 1111-12 du code de la santé publique : comptes prévisionnels de l activité d hébergement, trois derniers bilans, composition de l actionnariat et les comptes de résultat et bilans liés à l activité d hébergement depuis le dernier agrément. Un récapitulatif des modifications intervenues depuis la dernière demande d agrément. Un audit externe réalisé aux frais de l hébergeur, attestant de la mise en œuvre de la politique de confidentialité et de sécurité mentionnée à l article R. 1111-14. Si l hébergeur souhaite modifier le périmètre de la prestation agréée, il doit déposer un nouveau dossier de demande d agrément et non une simple demande de renouvellement d agrément. 19 mai 2016 13
- Cadre juridique et procédure - Suivi de l agrément - L évolution de la procédure 19 mai 2016 14
L évolution de la procédure La procédure d agrément pour l hébergement de données de santé sur support électronique fixée par le décret du 4 janvier 2006 a vocation à être remplacée par une procédure de certification Une réforme par voie d ordonnance : l article 204-I-5 de la loi de santé habilite le Gouvernement à agir par voie d ordonnance afin de remplacement l agrément par une évaluation de conformité technique à un référentiel de certification, délivrée par un organisme certificateur accrédité, choisi par l hébergeur. Le référentiel proposé est basé sur des normes internationales existantes Les exigences de la norme ISO/CEI 27001 «système de gestion de la sécurité des systèmes d information», Des exigences de la norme ISO/CEI 20000 «système de gestion de la qualité des services», Des exigences de la norme ISO/CEI 27018 «protection des données à caractère personnel», Et des exigences spécifiques à l hébergement de données de santé. 19 mai 2016 15
Merci de votre attention