Le nouveau régime juridique des données de santé Partie 2

CHAPITRE 2 : LA NÉCESSITÉ DE CONTRÔLER EFFICACEMENT L’HÉBERGEMENT ET L’ACCÈS AUX DONNÉES DE SANTÉ

 

La Loi du 26 janvier 2016 établit un nouveau cadre pour la mise à disposition des données de santé, afin d’ouvrir l’accès à ces données, tout en assurant leur protection. En la matière, le nouvel article L.1110-4 du Code de la santé publique est essentiel car il permet de clarifier le cadre législatif du partage des données de santé.

Section 1 : L’hébergement des données de santé, un point névralgique de ces nouvelles réformes

 

§1 : Le nouveau cadre juridique de l’hébergement des données de santé à caractère personnel

La Loi du 26 janvier 2016 substitue la certification avec l’évaluation de conformité technique à la procédure antérieure de l’agrément des hébergeurs de données de santé.

Auparavant, les hébergeurs de données de santé devaient se conformer à la loi n°2002-303 du 4 mars 2002 dite « loi Kouchner », qui prévoyait la procédure de l’agrément afin d’assurer notamment la sécurité et la confidentialité des données lorsque l’hébergement était externalisé.

Ainsi, « les professionnels de santé, les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée. » (article L.1111-8 du Code de la santé publique).

L’agrément était délivré après l’instruction d’un dossier pendant une période de huit (8) mois au maximum remis par le candidat auprès de l’ASIP Santé. Ce dernier pouvait alors recevoir l’agrément s’il répondait de manière favorable aux exigences règlementaires.

A présent, la certification va remplacer l’agrément. L’article L.1111-8 du Code de la santé publique prévoit à cet effet que « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour la compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en ait été dûment informée, sauf opposition pour un motif légitime ».

Quant à la durée, les hébergeurs seront certifiés pour une durée de trois (3) ans par un organisme certificateur, lui-même accrédité par un organisme accréditeur pour une durée de cinq (5) ans (en France, il s’agit du Comité français d’accréditeur, le COFRAC).

Article L.1111-8 du Code de la santé publique :

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.

Les traitements de données de santé à caractère personnel que nécessite l'hébergement prévu au premier alinéa, quel qu'en soit le support, papier ou informatique, doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La prestation d'hébergement, quel qu'en soit le support, fait l'objet d'un contrat.

Les conditions d'agrément des hébergeurs des données, quel qu'en soit le support, sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils de l'ordre des professions de santé. Ce décret mentionne les informations qui doivent être fournies à l'appui de la demande d'agrément, notamment les modèles de contrats prévus au deuxième alinéa et les dispositions prises pour garantir la sécurité des données traitées en application de l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée, en particulier les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne. Les dispositions de l'article L. 4113-6 s'appliquent aux contrats prévus à l'alinéa précédent.

L'agrément peut être retiré, dans les conditions prévues aux articles L. 121-1, L. 121-2 et L. 122-1 du code des relations entre le public et l'administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.

Seuls peuvent accéder aux données ayant fait l'objet d'un hébergement, les personnes physiques ou morales à l'origine de la production de soins ou de leur recueil et qui sont désignées par les personnes concernées. L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat, dans le respect des articles L. 1110-4 et L. 1111-7.

Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que celles qui les leur ont confiées.

Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie.

Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.

Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'Inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.

Tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal.».

L’ordonnance n°2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel (ci-après l’ « Ordonnance ») a donc modifié l’article L.1111-8 du Code de la santé publique (dont la rédaction sera modifiée le 1er janvier 2019), afin d’intégrer les deux régimes suivants7 :

-    Un certificat de conformité délivré par un organisme de certification accrédité pour l’hébergeant des données de santé à caractère personnel sur support numérique. Cette certification de conformité porte notamment sur le contrôle des procédures, de l’organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des applications hébergées ;

-    Un agrément du ministre chargé de la Culture (et non plus du ministre de la Santé) pour l’hébergement des données de santé à caractère personnel sur support papier ou numérique, dans le cadre du service d’archivage électronique.

Cette nouvelle législation doit permettre d’accroître la sécurité des données et d’apporter une procédure plus rapide pour l’hébergement, ainsi qu’une harmonisation avec les pratiques européennes et internationales.

§2 : Une entrée en vigueur progressive et l’instauration d’un régime transitoire

Afin de permettre aux organismes concernés de s’adapter à cette nouvelle législation, ces nouvelles règles s’appliqueront au plus tard le 1er janvier 2019, selon des modalités qui devraient permettre une continuité d’exploitation pour les organismes titulaires d’un agrément ou en cours d’obtention dudit agrément.

En effet, pour les organismes qui auraient obtenu l’agrément à une date antérieure de l’entrée en vigueur de l’Ordonnance, ledit agrément continuera de produit son effet jusqu’à sa date d’échéance. Il est sera de même pour les dossiers de demande d’agrément déposés avant le 12 janvier 2017, qui seront alors soumis au droit actuel et qui pourront alors potentiellement obtenir l’octroi d’un agrément.

§3 : Les sanctions

Si les hébergeurs ne respectent pas le droit applicable, ceux-ci s’exposent à une sanction de trois (3) ans d’emprisonnement et une amende de 45.000 Euros (article L.1115-1 du Code de la santé publique).

Section 2 : La création du Système National des Données de Santé (SNDS)

 §1 : Le contexte

Un apport fondamental de la Loi du 26 janvier 2016 est d’intégrer l’ensemble des bases disponibles dans le secteur de la santé dans un seul système dit  «  Système  national  des  données de santé » (ci-après le « SNDS »). Cette base est instituée par l’article L.1461 du Code de la santé publique et le fonctionnement est régi par le chapitre 1er du nouveau titre du Code de la santé publique dédié à la mise à disposition des données de santé.

La Loi du 26 janvier 2016 tend à formaliser la nouvelle orientation que doit prendre le SNDS. La loi affirme que les systèmes de collecte et de traitement de données doivent s’ouvrir sur l’amélioration des soins par la recherche, l’innovation, l’information et la surveillance.

Cette centralisation des données existantes a pour objectif d’offrir une meilleure visibilité extérieure aux bases de données de santé, de leur permettre de bénéficier d’une meilleure organisation et enfin d’ouvrir l’accès à ces données dans un but de recherche pour la collectivité.

Ainsi, cette base créée le 10 avril 2017 regroupe des bases de données pré-existantes afin de concourir notamment à deux buts :

-    Permettre l’amélioration des connaissances en matière de prise en charge médicale ;

-    Elargir le champ des recherches dans le domaine de la santé.

Un décret du 26 décembre 2016, pris après avis de la CNIL par une délibération du 13 octobre 2016,

encadre les conditions d’accès et prévoit une procédure d’autorisation délivrée par la CNIL.

§2 : Les objectifs

Le SNDS a pour vocation d’être utilisé au mieux dans l’intérêt de la collectivité, comme par exemple pour réaliser des recherches médicales.

Le SNDS souhaite alors rassembler des bases de données de santé qui existent déjà comme par exemple celles de l’assurance maladie ou des hôpitaux, afin de contribuer à :

-    L’information sur la santé, l’offre de soins, la prise en charge médico-sociale et leur qualité ;

-    La mise en oeuvre des politiques de santé et de protection sociale ;

-    La connaissance des dépenses de santé, d’assurance maladie et médico-sociales ;

-    L’information des professionnels, des hôpitaux ou médico-sociaux sur leur activité ;

-    La veille sanitaire ;

La recherche, les études, l’évaluation et l’innovation dans le domaine de la santé.

§3 : Le contenu

« Le SNDS rassemble et met à disposition les bases de données qui existaient, jusqu’alors, indépendamment:

-    La base SNIIRAM contenant les données de l’assurance maladie ;

-    La base PMSI contenant les données issues de l’activité des établissements de santé ;

-    La base CepiDC, gérée par l’INSERM, contenant les données sur les causes de décès ;

-    Les données liées au handicap issues des maisons départementales des personnes handicapées ;

-    Des données provenant des « complémentaires santé » (mutuelles par exemple) figureront également dans le SNDS.

Le SNDS ne contient aucune donnée directement identifiante concernant les bénéficiaires (pas de noms/prénoms ou numéro de sécurité sociale, ni d’adresse postale). ».

Les données contenues dans le SNDS sont énoncées de façon détaillée à l’article R. 1461-4 du Code de la santé publique.

§4 : La procédure d’accès aux données

Depuis le mois d’avril 2017, toute personne ou structure, publique ou privée, à but lucratif ou non lucratif, pourra accéder aux données du SNDS sur autorisation de la CNIL, en vue de réaliser une étude, une recherche ou une évaluation présentant un intérêt public.

Il existe deux types d’accès au SNDS :

-    L’accès permanent ;

-    L’accès restreint et ponctuel.

Concernant l’accès permanent, il se réalise au bénéfice de certains services publics ou organismes publics dans l’accomplissement de leurs missions et dans les limites fixées par le décret, comme par exemple, la Direction générale de la santé, les Agences régionales de santé, l’Agence nationale de sécurité du médicament et des produits de santé, l’Institut national du cancer etc.

Concernant l’accès ponctuel, les autres organismes qui voudraient avoir accès au SDND doivent obtenir l’autorisation de la CNIL, comme par exemple les organismes privés ou les organismes publics hors du cadre fixé, dans un but de recherche répondant à un motif d’intérêt public.

En l’état actuel (juillet 2017), seuls les accès permanents sont ouverts. Toutefois, l’accès ponctuel aux données de santé par des organismes privés à but lucratif par exemple peut éventuellement poser des interrogations.

En effet, « l’accès à des données de santé appartenant au public par des personnes dont le but peut être lucratif interroge. Jusqu’à présent, les organismes pouvant tirer profit des données traitées devaient avoir recours à des organismes de recherches non lucratif. Une des grandes nouveautés du projet de loi réside dans la reconnaissance aux entreprises ou organismes à but lucratif du droit d’accéder aux données contenues dans le SNDS.

Alors que le projet de loi n'autorisait les organismes privés qu'à commanditer des études fondées sur l'exploitation des données personnelles du SNIIRAM, la loi définitivement adoptée réduit considérablement la nécessité d'avoir recours à cette intermédiation.

Comme le résume le rapport au Sénat en seconde lecture « l'obligation, envisagée initialement, pour les acteurs privés de passer par des bureaux d'études pour traiter les données à caractère personnel est supprimée : cette obligation de recours à un intermédiaire n'est maintenue que pour les seuls acteurs susceptibles de poursuivre les finalités interdites par la loi », à savoir « la prospection commerciale en direction des professionnels de santé ou d'établissements en santé et la sélection du risque en matière d'assurance. ».

Les personnes produisant médicaments, cosmétiques et autres dispositifs médicaux visés par l'article L. 5311-1 du CSP ainsi que des établissements de crédits et compagnies d'assurance visés par l'article L. 1461-3, I, du CSP doivent ainsi démontrer, selon le II du même article, qu'elles ne traiteront pas les données du SNDS aux « finalités interdites » précitées. Sans quoi elles se voient dans l'obligation de « recourir à un laboratoire de recherche ou à un bureau d'études, publics ou privés, pour réaliser le traitement ».

En somme, il s'agit d'une « obligation d'intermédiation pour les entreprises produisant ou commercialisant des produits de santé ainsi que pour les banques, les sociétés d'assurance et de mutuelle ».

L'accès aux données est ensuite subordonné à l'apport de certaines informations et au respect d'engagements visant à prévenir le risque de mésusage des données personnelles de santé ainsi qu'à permettre de contester les possibles résultats d'études incorrectement réalisées à partir des données de santé mises à disposition. Pour cela, l'article L. 1461-3 nouveau du CSP dispose que le demandeur doit, avant le début de la recherche, fournir une déclaration d'intérêt ainsi qu'un protocole d'analyse, « précisant notamment les moyens d'en évaluer la validité et les résultats ». En sus de quoi, il doit s'engager à fournir à l'INDS « dans un délai raisonnable après la fin de la recherche, de l'étude ou de l'évaluation, la méthode, les résultats de l'analyse et les moyens d'en évaluer la validité » que l'INDS publiera alors « sans délai » assortis de l'autorisation de la CNIL. »11.

Dans tous les cas, les données seront conservées pendant une durée de vingt (20) ans maximum

dans le SNDS, avant d’être archivées pendant une durée de dix (10) ans.

Ci-joint, deux schémas pour illustrer ces propos :

-    Le premier schéma est intitulé : « Représentation schématique du circuit des demandes d’accès au SNDS » ;

-    Le deuxième schéma est intitulé : « Trois procédures simplifiées correspondant à des usages et des données ».

Ces schéma proviennent de l’article "Mise en œuvre du système national des données de santé et nouveau cadre d’accès aux données de santé" du site du Ministère des Solidarités et de la Santé.

§5 : L’exercice des droits des individus concernés

Conformément au droit applicable, les individus disposent de droits personnels à l’égard du traitement et ils doivent notamment bénéficier de l’obligation d’information. Ainsi, une information est délivrée aux personnes sur la constitution du SNDS et la réutilisation possible de leurs données à des fins de recherche :

-    Sur le site Internet des hôpitaux, des organismes d’assurance maladie, des mutuelles etc. ;

-    Par le biais d’affiches dans les locaux et/ou par l’intermédiaire des documents remis.

« Toute personne dispose d’un droit d’opposition si elle ne souhaite pas que les données qui la concernent, contenues dans le SNDS, fassent l’objet d’une utilisation à des fins de recherche, sauf pour les traitements nécessaires à l’exercice des missions des services de l’Etat et de certains établissements publics telles que par exemple le suivi d’une épidémie ou la surveillance sanitaire.

Le droit d’accès, le droit de rectification et le droit d’opposition s’exercent auprès du directeur de la caisse d’assurance maladie à laquelle la personne concernée est rattachée.

Lorsque les données du SNDS sont utilisées dans le cadre d’une recherche spécifique, pour laquelle les personnes sont identifiables, une information individuelle est délivrée dans les conditions prévues par la Loi Informatiques et Libertés. La personne concernée pourra alors exercer directement ses droits auprès du responsable de l’étude, de l’établissement, du professionnel de santé ou auprès du directeur de sa caisse d’assurance maladie. ».

§6 : Les garanties de confidentialité apportées par la CNIL

Puisque le SNDS contient des données de santé qualifiées de sensibles, et qu’un accès permanent est prévu pour certains organismes, la CNIL a estimé que des garanties devaient être mis en place, conformément au droit des données à caractère personnel.

Ainsi, l’arrêté du 22 mars 2017 énonce les règles de la gestion sécurisée du SNDS relatives notamment à la pseudonymisation et à la traçabilité.

Dans l’exercice de cette mission, la CNIL travaille également avec l’Institut de données de santé et le Ministre de la santé, afin de garantir le respect de la vie privée des personnes concernées ainsi que la confidentialité de ces données.

A titre d’exemple, les données contenues dans le SNDS doivent être pseudonymisées d’une manière irréversible, afin de conserver la vie privée des personnes.

L’adoption du Règlement était très attendue, car depuis quelques années, les traitements de données se sont multipliés, de même que les cyber-attaques des systèmes d’information. Par conséquent, il devient essentiel de rétablir la confiance dans le numérique auprès du grand public.

Ce nouveau règlement constitue donc une pièce maîtresse dans la régulation des données à caractère personnel. A terme, il devrait avoir pour conséquence de diminuer les failles de sécurité et de responsabiliser les responsables de traitement, notamment avec le Data Protection Officer.

Ainsi, il semblerait qu’il soit opportun de faire de cette contrainte un avantage concurrentiel face à d’autres concurrents qui n’auraient pas encore entrepris de démarche visant à se conformer au nouveau droit des données à caractère personnel.

Un dossier rédigé par Sophie Girard.

WEBOGRAPHIE ET BIBLIOGRAPHIE

 

ARTICLES :

 

‣        https://www.alain-bensoussan.com/avocats/hebergement-donnees-sante-ordonnance/2017/01/23/

‣        https://www.alain-bensoussan.com/avocats/reglement-hebergement-donnees-sante/2016/10/10/

‣        https://www.alain-bensoussan.com/avocats/protection-donnees-de-sante-reglement-ue/2016/09/27/

‣        https://www.alain-bensoussan.com/avocats/donnees-de-sante-loi-du-26-janvier-2016/2016/02/16/

‣        https://www.alain-bensoussan.com/avocats/hebergement-agree-donnees-sante-2/2016/02/03/

‣        https://www.cnil.fr/fr/snds-systeme-national-des-donnees-de-sante 

‣        https://www.cnil.fr/fr/snds-systeme-national-des-donnees-de-sante

‣        http://www.snds.gouv.fr/SNDS/Qu-est-ce-que-le-SNDS

‣        https//www.cnil.fr/fr/snds-systeme-national-des-donnees-de-sante

‣        http://www.snds.gouv.fr/SNDS/Protection-de-la-donnee

‣        http://esante.gouv.fr/actus/services/agrement-des-hebergeurs-de-donnees-de-sante-publication-du- referentiel-de

‣        https://www.droit-technologie.org/actualites/voici-nouveau-cadre-juridique-dispositifs-medicaux/

‣        http://www.gouvernement.fr/conseil-des-ministres/2017-01-11/hebergement-de-donnees-de-sante-a- caractere-personnel

‣        https://www.usine-digitale.fr/editorial/les-entreprises-sous-estiment-l-impact-de-la-transformation-numerique-parce-qu-elles-ne-la-comprennent-pas.N390232 

‣        « Le règlement européen et la protection des données de santé » de Jeanne Boissi Malafosse

‣        « La donnée de santé dans les systèmes d’information : du soin à la santé publique » de Jeanne Boissi Malafosse

‣        « La mise à disposition des données de santé » de Jean Cattan

‣        https://blog.deloitte.fr/4p-pour-faire-decoller-le-sante/? »

‣        http://drees.solidarites-sante.gouv.fr/IMG/pdf/graphique_snds_decret_1.pdf

‣        https://www.legifrance.gouv.fr/affichLoiPubliee.do? idDocument=JORFDOLE000029589477&type=general&legislature=14

OUVRAGES :

- Le Livre Blanc du Conseil national de l’Ordre des médecins - Santé connectée - De la e-santé à la santé connectée - Janvier 2015

- Le rapport Mckinsey de Septembre 2014