Vos conditions générales de vente sont elles conformes ?
Vos mentions légales le sont elles vraiment ?
Avez vous déclaré votre fichier client à la CNIL ?
Quel est le risque en cas de litige ?

CGV Expert s'occupe de vos CGV/CGU et contrats






Europe
CGV-expert.fr est cofinancé par l'Union européene. L'europe s'engage en basse normandie avec le fonds européen de développement régional.





L'hébergement et le stockage de données médicales sensibles

Publié le 23/04/2012 par , vu 15762 fois, catégorie : Sites Ecommerce

L'hébergement de données sensibles (données médicales notamment)

Le développement des nouvelles technologies de l’information et de la communication n’intéresse pas que les sociétés privées, l’Etat s’y implique également à travers son service public. Les pouvoirs publics sont conscients de la formidable opportunité que représente Internet pour mettre en œuvre les différentes politiques économiques et sociales en direction des administrés.  Ainsi, l’Etat pourra réaliser une politique de la justice (e-justice) de la fiscalité ou de la santé qui soit rationnelle tant au point de vue de la réalisation des objectifs fixés que de celui de la maîtrise des budgets affectés pour chacune de ces politiques.

Or si un domaine en particulier requiert un effort de l’Etat en matière de cohérence et de maîtrise des coûts c’est certainement celui de la santé. Il n’est pas utile de rappeler ici la lutte menée par les pouvoirs publics pour résorber le déficit de la sécurité sociale, la presse en fait quotidiennement état. A ce titre, on constate que les différents ministres de la santé qui se sont succédés ces dernières années ont largement privilégié les systèmes d’informations automatisés pour rationaliser les dépenses de santé des patients. C’est ainsi qu’a été mis en pratique en 2012 le dossier médical personnalisé (DMP) qui permet de centraliser les informations médicales d’un patient. Le DMP sera ainsi directement accessible par les professionnels de santé qui suivent le patient.

Collecter les données médicales des patients pour un meilleur exercice des soins médicaux et une plus grande maîtrise des dépenses de santé est assurément une initiative appropriée, si dans le même temps le patient reçoit une garantie dans l’utilisation qui est faite de ses données médicales à caractère personnel. A ce sujet, les différentes lois qui ont autorisé la collecte d’informations sur les données médicales des patients ont toujours été accompagnées de dispositions venant poser un cadre juridique précis d’autorisation, d’accès, de conservation et de responsabilités encourues. Il en est ainsi des hébergeurs de données sensibles portant sur des informations médicales.

Le rôle des hébergeurs de données sensibles à caractère médical

Les professionnels de santé (médecins, hôpitaux) ont besoin d’informations précises sur l’historique médical de la personne qu’ils vont traiter, afin notamment de connaître ses antécédents ou sur les risques à lui prescrire tel ou tel médicament. Toutes ces données médicales peuvent  être conservées par les professionnels de santé eux-mêmes. Ces derniers peuvent aussi décider de s’adresser à un professionnel dont c’est le métier, pour stocker en toute sécurité l’ensemble de ces données médicales des patients. Ce professionnel est qualifié d’hébergeur car il héberge en quelque sorte sur des supports informatiques les données qui lui sont transmises par les professionnels de santé. L’hébergeur est un professionnel qui a été agrée pour cette fonction.

L’article L.1111-8 du Code de la santé publique autorise expressément les professionnels de santé « à déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agrées à cet effet ». L’article ajoute que cet hébergement ne peut avoir lieu « qu’avec le consentement exprès de la personne concernée ».

La procédure d’agrément des hébergeurs de données à caractère médical

C’est la loi du 4 mai 2002 relative aux droits des malades qui a instauré la procédure d’agrément des hébergeurs de données de santé. La manipulation de données aussi sensibles que les informations médicales à caractère personnel nécessitait manifestement une décision d’agrément de l‘hébergeur. Le décret du 4 janvier 2006 organise les conditions d’obtention de l’agrément. L’agrément est délivré par le ministre de la santé au terme d’une procédure d’examen du dossier d’agrément. Le candidat adresse au ministre de la santé une demande d’agrément, lequel va le transmettre à la CNIL pour apprécier la conformité du dossier à la loi informatique et libertés de 1978, après quoi un avis est rendu dans les 2 mois suivant. La CNIL transmet alors le dossier à un Comité d’agrément qui relève de la CNIL. Enfin après l’avis du Comité dans le délai d’un moi, le dossier revient entre les mains du ministre de la santé qui dispose d’un délai de deux mois pour décider ou non d’accorder l’agrément.

L’agrément est délivré pour 3 ans et son renouvellement est possible selon la même procédure, à condition en outre d’en effectuer la demande 6 mois avant l’expiration du 1er agrément  et de fournir un audit externe réalisé aux frais de l'hébergeur certifiant que celui-ci a rempli ses obligations au regard de la politique de confidentialité et de sécurité des données.

Les  conditions pour être agrée

Pour la délivrance de l’agrément, la loi a pris en considération essentiellement les garanties de sécurité et de confidentialité des données personnelles des patients par les hébergeurs. l’Agence des systèmes d’informations partagés de santé à la demande du ministre de la santé a mis en place des « référentiels d'interopérabilité et de sécurité » pour accroître l’efficacité de la procédure d’agrément des organismes. C‘est ainsi que, lors du dépôt de la demande d’agrément, le candidat doit joindre à son dossier une présentation de sa politique de confidentialité et de sécurité d’hébergement des données qu’il entend mettre en œuvre : en matière du respect des droits des personnes (consentement de la personne), en matière de sécurité d’accès aux informations, en matière de pérennité des  données médicales  transmises (leur évolution et enrichissement) et enfin en matière d'organisation et de procédures de contrôle interne pour assurer  la sécurité des données(qui aura accès aux données en interne).

Les obligations essentielles de l’hébergeur agrée

Le législateur a entendu préserver strictement la vie privée des patients. La législation sur les obligations juridiques des hébergeurs de données médicales a été adoptée en fonction de la règle posée à l’article L. 1110-4 du Code de santé publique  : « Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant ». Le consentement du patient à la collecte et à la transmission de ses données est toujours requis, sauf lorsque la collecte des données de santé est nécessaire à la sauvegarde de la vie du patient et que celui-ci n’est pas exceptionnellement apte a donner son consentement.

L’article L.1111-8 alinéa 2 du Code de santé publique dispose que l’hébergeur doit se conformer en tout point avec la loi « Informatique et liberté « du 6 janvier 1978. Suivant l’article 23 de cette loi, l’hébergeur doit par conséquent adresser à la CNIL une déclaration des traitements des données dont il est responsable. Cet article rappelle que la transmission des données à l’hébergeur ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.

La transmission des données médicales du professionnel de santé vers l’hébergeur doit reposer sur un contrat (un contrat de prestation d’hébergement) qui doit spécifier que la transmission, l’hébergement, l’accès sont subordonnés à l’accord de la personne concernée (article L.1111-8 du CSP). L’inspection générale des affaires sociales opère des contrôles qui peuvent conduire au retrait de l’agrément en cas de violation des prescriptions légales (non respect du secret professionnel, obligation de confidentialité enfreinte). Par ailleurs, toute violation de ces dispositions expose l’hébergeur et son personnel à des peines pénales. Ainsi la violation du secret professionnel est punie d’un 1 an d’emprisonnement et de 15 000 euros d’amendes (article 226-13 du Code pénal).

A l’issue du contrat de la prestation d’hébergement, les données transmises à l’hébergeur doivent être restituées soit au patient soit au professionnel de santé. L’hébergeur doit restituer l’ensemble des données confiées sans pouvoir en garder trace dans ses fichiers. Lorsque c’est avec le patient directement que le contrat d’hébergement a été conclu, ce dernier peut décider de le rompre à tout moment.

Qui sont les hébergeurs?

Le site Internet du gouvernement (esante.gouv.fr) indique qu’en mars 2012, 32 sociétés et organismes ont été agrées pour héberger des données à caractère médical. Parmi ceux-ci nous pouvons à titre d’exemple citer : ORANGE BUSINESS, via son service « solution santé » ou encore SFR (Société Française du Radio téléphone) via notamment son  offre de services « Isiad-Infrastructure SI à la demande ».

 


CGV-expert propose la rédaction de vos conditions générales