La loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé a profondément modifié le Code de la santé publique et notamment son article L.1111-8 relatif à l’hébergement des données de santé.

La nouvelle version de ce texte – en vigueur au 28 janvier 2016 – prévoit désormais que : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. »

Deux nouveautés principales sont à signaler par rapport au régime antérieur:

• l’obligation de faire héberger ses données de santé par un prestataire agréé ne concerne plus uniquement les professionnels de santé ou les établissements de santé mais tous les acteurs du secteur médical, social ou médico-social. Cet élargissement s’inscrit dans la ligne des interprétations extensives faite par l’Agence des systèmes d’information partagés de santé (ASIP) du texte antérieur ;
• un tel hébergement, qui n’était jusque-là possible qu’avec le consentement exprès de la personne concernée, n’implique plus qu’une information de cette dernière.

Sur ce même sujet, l’article 204 de la loi du 26 janvier 2016 a autorisé le Gouvernement à adopter par voie d’ordonnance, dans un délai de douze mois à compter de la promulgation de la loi, des mesures visant à :

« Remplacer l’agrément prévu au même article L. 1111-8 par une évaluation de conformité technique réalisée par un organisme certificateur accrédité par l’instance nationale d’accréditation mentionnée à l’article 137 de la loi n°2008-776 du 4 août 2008 de modernisation de l’économie ou par l’organisme compétent d’un autre Etat membre de l’Union européenne. Cette certification de conformité porte notamment sur le contrôle des procédures, de l’organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des applications hébergées ».

Dans un délai d’un an, devraient donc être publiées de nouvelles dispositions confiant au Comité français d’accréditation (COFRAC) la tâche d’accréditer les entreprises d’évaluation de la conformité qui seront elles-mêmes chargées de certifier les hébergeurs de données de santé.

A terme, les hébergeurs ne seront plus « agréés » par le ministre en charge de la Santé mais « certifiés » par un tel organisme d’évaluation de la conformité. Les hébergeurs certifiés pourront alors être identifiés par l’utilisation autorisée de la marque collective du certificateur, garantissant la conformité aux normes et notamment aux référentiels d’interopérabilité et de sécurité élaborés par l’ASIP.

Dans l’intervalle, les acteurs concernés devraient, en tout état de cause, procéder aux démarches nécessaires auprès de l’ASIP. Cette autorité a précisé sur son site Internet que : « Tant que la nouvelle procédure de certification n’est pas en vigueur, la législation actuelle sur l’hébergement de données de santé (articles L.1111-8 et R.1111-9 et suivants du Code de la santé publique) continue de s’appliquer sans changement. […] L’ordonnance et le décret précités comporteront des dispositions transitoires pour organiser le passage de la procédure d’agrément actuelle à la future procédure de certification ».

Pour plus d’information, vous pouvez consulter la FAQ du site Internet de l’ASIP.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Julie Tamba, avocat en droit de la propriété intellectuelle et droit commercial