Quatre ordonnances prévues par la loi du 26 janvier 2016 de modernisation de notre système de santé ont été publiées au Journal Officiel de ce 13 janvier 2017 :
- Ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel ;
- Ordonnance n° 2017-29 du 12 janvier 2017 relative aux conditions de reconnaissance de la force probante des documents comportant des données de santé à caractère personnel créés ou reproduits sous forme numérique et de destruction des documents conservés sous une autre forme que numérique ;
- Ordonnance n° 2017-28 du 12 janvier 2017 relative à la constitution et au fonctionnement des groupements de coopération sanitaire ;
- Ordonnance n° 2017-31 du 12 janvier 2017 de mise en cohérence des textes au regard des dispositions de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
Revenons sur l’ordonnance relative à l’hébergement de données de santé, qui réécrit l’article L1111-8.
Les conditions d’application du texte, qui figurent désormais au I de cet article, demeurent inchangées, la révision de cette section se limitant à la suppression de la référence à l’agrément.
Les aspects relatifs à la certification des prestataires – par le COFRAC ou par toute autre instance nationale d’accréditation d’un autre Etat membre de l’Union européenne – figurent désormais au II de l’article L1111-8. Ce faisant, le texte règle vraisemblablement la question de la compatibilité de l’agrément Hébergeur avec le droit de l’Union Européenne. Les conditions de certification seront fixées par décret pris après avis de la CNIL et des conseils nationaux de l’ordre des professions de santé.
Les prestataires proposant un service d’archivage électronique devront quant à eux obtenir un agrément, dont les conditions seront également fixées par décret pris après avis de la CNIL et des conseils nationaux de l’ordre des professions de santé. A priori, il pourrait être dispensé de l’obtention du certificat de conformité mentionné à l’article L1111-8, II :
« L’hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d’un certificat de conformité. S’il conserve des données dans le cadre d’un service d’archivage électronique, il est soumis aux dispositions du III. »
Le contenu du contrat des hébergeurs et fournisseurs devra être conforme aux dispositions d’un décret à paraître, lequel reviendra a minima sur la nature des prestations d’hébergement, les rôles et responsabilités de l’hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées. Force est de constater la large marge de manœuvre laissée par le Gouvernement… au Gouvernement à cet égard, puisque le décret fixera également « les stipulations devant figurer dans le contrat ».
Le reste du texte est peu ou prou modifié, à l’exception d’une structuration par section, très pratique pour un article qui ne cessait de s’étirer.
On peut en revanche déplorer le maintien de l’obligation de l’interdiction de garder des copies des données, à l’issue du contrat. En effet, si cette interdiction est cohérente en droit et protectrice des intérêts des personnes concernées par ces données, elle est toutefois quelque peu déconnectée de la pratique. Elle interdit de facto certains modes de sauvegardes aux prestataires.
L’ordonnance modifie par ailleurs le Code du Patrimoine afin que les « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social » puissent être confiées aux hébergeurs sur simple déclaration à l’administration des archives.
Le texte s’appliquera à la date fixée par son décret d’application, et au plus tard le 1er janvier 2019. Cela laisse ainsi le temps de finaliser le référentiel de certification, de former les certificateurs et, pour les hébergeurs, de se mettre en conformité.