Santé et Biotechnologies
Réseaux Santé
Les hébergeurs de données de santé provisoirement dispensés d’agrément
Le gouvernement veut se donner le temps d'adopter les référentiels de sécurité et d'interopérabilité nécessaires à la procédure d'agrément des hébergeurs de données de santé à caractère personnel. La loi du 30 janvier 2007 (1) ratifiant l'ordonnance relative à l’organisation de certaines professions de santé (Ordonnance n°2005-1040 du 26 août 2005) a suspendu, sauf lorsqu'il s'agit d'héberger des dossiers médicaux personnels (2), pour une durée de deux ans, la procédure d'agrément des hébergeurs de données personnelles de santé prévue par l'article L.1111-8 du CSP. Cette procédure s'avère, en effet, très difficile à mettre en œuvre, tant que n'auront pas été adoptés des référentiels de sécurité et d'interopérabilité, permettant aux candidats d'obtenir une certification auprès d'organismes accrédités.
Pendant la période de suspension, la procédure découlant de la loi du 6 janvier 1978 sur l'informatique et les libertés continuera à s'appliquer normalement. Les garanties de fond et de procédure que prévoit cette loi, avec en particulier l'intervention systématique de la Cnil, seront donc maintenues. La procédure d'agrément continuera à s'appliquer à l'activité spécifique d'hébergement des DMP (dossier médical personnel), activité nouvelle qui mérite particulièrement d'être encadrée et sur laquelle le comité d'agrément pourra se concentrer. Il semblerait donc que l'activité d’hébergement de données de santé à caractère personnel, autres que celles constituant le dossier médical personnel, ne soit pas, pour la durée de suspension, régie par les dispositions de l’article L. 1111-8 du CSP.
(1) Loi n°2007-127 du 30 janvier 2007 (parue au JO du 1er février 2007)
(2) Cnil, Fiche de synthèse du 5 février 2007
La LFSS pour 2007 est promulguée
La loi de financement de la sécurité sociale pour 2007 vient d’être promulguée au Journal officiel du 22 décembre 2006 après que le Conseil constitutionnel ait censuré l'article 134 qui prévoit notamment la suspension de l'obligation d'agrément des hébergeurs de données de santé. Toutefois, le gouvernement a aussitôt déposé un amendement, reprenant exactement les termes de cet article, dans le cadre du Projet de loi ratifiant l'ordonnance n°2005-1040 du 26 août 2005. Rappelons que la loi comporte toute une série de mesures destinées à lutter contre la fraude et les abus en matière de prestations sociales comme l'autorisation du croisement des fichiers informatiques des administrations et organismes sociaux chargés du remboursement de l'assurance maladie ou du versement des allocations sous conditions de ressources (CMU, RMI, prestations familiales, etc.).
Loi n° 2006-1640 du 21 décembre 2006 de financement de la sécurité sociale pour 2007
PLFSS pour 2007 : La suspension de l'obligation d'agrément des hébergeurs de données de santé devra attendre...
Le Conseil constitutionnel vient, le 14 décembre 2006, de censurer l'article 134 de la loi de financement de la sécurité sociale pour 2007 qui dispensait pour une durée de deux ans, les hébergeurs de données de santé de l'obligation de se soumettre à un agrément, en application de l'article L. 1111-8 du Code de la santé publique et de son décret d'application du 4 janvier 2006. Il s'agit d'une mauvaise nouvelle pour les professionnels, et ils sont nombreux qui, sauf à ce que le législateur intervienne à nouveau, sont amenés à des fins diverses, comme, par exemple, d'assistance médicale ou encore d'études cliniques, à mettre en oeuvre des traitements de données de santé (lire la suite) qui s'éloignent sensiblement du "dossier médical personnel", institué par l'article L. 161-36-1 du Code de la sécurité sociale.
Gageons que face à l'engorgement du ministère de la santé, le Gouvernement va rapidement intervenir, en prenant le soin, cette fois-ci, de respecter le droit de priorité de l'Assemblée nationale au lieu d'introduire un amendement devant le Sénat.
A suivre...
Décision n° 2006-544 DC du Conseil constitutionnel en date du 14 décembre 2006
Article 134 du projet de loi de financement de la sécurité sociale pour 2007
La réforme sur la santé au regard de l'informatique et du numérique
La loi du 13 août 2004 relative à l’assurance maladie organise une réforme substantielle visant à sauvegarder le système d’assurance maladie, tout en préservant ses principes fondamentaux.Si depuis le 1er janvier 2005 chaque assuré doit choisir son médecin traitant, la loi comporte cependant d’autres importantes nouveautés dans le domaine de la santé numérique.
La mise en place d’une Haute Autorité de santé dont le décret du 26 octobre 2004 définit les fonctions, notamment la définition des règles de bonne pratique à respecter par les sites informatiques dédiés à la santé et les logiciels d’aide à la prescription médicale ainsi que les certifications correspondantes. Elle est entrée en fonction le 22 décembre 2004.
L’instauration à compter du 1er juillet 2007 du dossier médical personnel créé auprès d’un hébergeur de données de santé à caractère personnel, activité désormais strictement encadrée et contrôlée.
L’encouragement au développement de la télémédecine, activité qui se trouve aujourd’hui définie par le législateur.
Une des missions de la Haute Autorité est d’établir une procédure de certification des sites informatiques de santé et des logiciels d’aide à la prescription médicale ayant respecté un ensemble de règles de bonnes pratiques. La profession d’hébergeur de données de santé est particulièrement encadrée.
Les actuels et futurs hébergeurs seront soumis à une procédure d’agrément prévue à l’article L.111-8 du Code de la santé publique et dont les modalités seront fixées par un décret.La prestation d’hébergement devra faire l’objet d’un contrat entre l’hébergeur et la personne concernée. L’article L.111-8 du Code de la Santé Publique prévoit néanmoins que tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement y compris avec l’accord de la personne concernée, est interdit sous peines de sanctions pénales. Une consécration législative de la télémédecine.
Elle permettra d’effectuer des actes médicaux dans le strict respect des règles de déontologie mais à distance, sous le contrôle et la responsabilité d’un médecin en contact avec le patient par des moyens de communication appropriés à la réalisation de l’acte médical. Les schémas régionaux d’organisation sanitaire intègreront la télémédecine.
Paru dans la JTIT n°36/2005 p.1
Les réseaux de santé sont générateurs de bases de données complexes
La mise en place de réseaux dans le domaine de la santé donne lieu à la création de bases de données alimentées par les différents acteurs du réseau. On y trouve de multiples données telles que les informations relatives aux patients, aux praticiens, aux professionnels de la santé. Indépendamment des problèmes posés par le caractère personnel et sensible de ces données, et des obligations qui en découlent au regard de la loi « Informatique et libertés », notamment pour en préserver la confidentialité, ces données doivent être appréhendées au regard de la propriété intellectuelle.
En effet, dès lors que des données sont réunies, organisées et structurées de manière à être individuellement accessibles(2) (c’est le cas des fichiers de noms et d’adresses) on est en présence d’une base de données, qui bénéficie de par la loi d’une double protection : dans sa structure originale, par le droit d’auteur, dans son contenu, si la base est représentative d’un investissement substantiel, par le droit « sui generis » des producteurs de bases de données.
A défaut d’organisation contractuelle, on risque de se trouver dans une situation complexe : le droit d’auteur appartient à l’auteur de la structure de la base, qui est souvent une personne unique, mais le droit du producteur, qui appartient à celui qui réalise l’investissement, peut se trouver éclaté entre les différents acteurs du réseau de santé, notamment, les praticiens, les professionnels de santé, les compagnies d’assurance. Or, le droit du producteur permet de s’opposer aux « extractions substantielles » de données. La multiplicité des acteurs risque ainsi de rendre les conflits ingérables.
Par ailleurs, il sera difficile sans convention d’obtenir que chacun respecte rigoureusement les obligations à sa charge (notamment, format des données, transmission, mises à jour…) quant aux données qu’il fournit.
Seule une convention en bonne et due forme, prévoyant des règles de propriété et de gestion claires, permet de sécuriser l’exploitation de la base par tous les membres du réseaux. Les droits de propriété intellectuelle sur la base peuvent encore être renforcées par des mesure et revendications appropriées, pour prévenir les risques d’abus ou de piratage.
La convention ne doit pas omettre de régler un point délicat, qui est le droit dont dispose chaque membre qui quitte le réseau. Plusieurs solutions sont envisageables, de l’interdiction absolue de poursuivre l’utilisation de la base, au droit d’en emporter une copie en l’état, étant souligné que diverses solutions peuvent être mise en place en fonction de la catégorie de membres concernée.
Paru dans la JTIT n°36/2005 p.5
L'interdiction de cession des données de santé identifiantes
Tout acte de cession à titres onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l’accord de la personne concernée, est strictement interdit.
Des sanctions pénales sont prévues en cas de non-respect de ces dispositions. Il s’agit des sanctions applicables en cas d’atteinte à la finalité des traitements de données à caractère personnel (5 ans d’emprisonnement et 300 000 euros d’amende).
Ces nouvelles dispositions, interdisant la cession de données de santé identifiantes, ont été introduites suite à l’avis de la CNIL sur le projet de texte qui a abouti à la loi du 13 août 2004 réformant l’assurance maladie. Ce principe d’interdiction avait déjà été retenu par la CNIL dans plusieurs délibérations dès 1997 et 2001.
Les nouvelles dispositions reprennent ce principe d’interdiction en visant, de manière large, tout acte de cession à titre onéreux de données de santé identifiantes.
Cette règle vise l’ensemble des données de santé sans distinguer celles contenues dans le dossier médical personnel ou celles concernant les seuls bénéficiaires de l’assurance maladie.
La notion de « données de santé » n’est pas expressément définie par l’article L. 1111-8 du Code de la santé publique. Elle s’entend habituellement comme « les données, qui permettent d’identifier une personne, directement ou indirectement, notamment par référence à son nom, à son numéro d’identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle et sociale. » ou « toutes données ayant un lien manifeste et étroit avec la santé ainsi que les données génétiques ».
La notion « d’identifiant » n’est pas davantage précisée par l’article L. 1111-8 du Code de la santé publique. Cette notion doit également être appréhendée eu égard aux notions définies dans la loi Informatique et libertés en se référant à la notion d’identifiable. Cette notion est définie à l’article 2 de la loi Informatique et libertés qui précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification, dont dispose ou auxquels peut avoir accès un responsable ».
Paru dans la JTIT n°36/2005 p.8
La certification de logiciel en santé : un processus qui continu…
Secteur sensible s'il en est, la santé fait l'objet de précautions toutes particulières de la part de l'Etat pour veiller à la protection et à la sécurité des données et pour tenter aussi d'endiguer l'inflation des coûts.
L'informatique médicale, outre l'amélioration des soins et les progrès thérapeutiques, est également censée d'endiguer l'inflation des coûts.
C'est dans ce double objectif de maîtrise des coûts sans préjudice pour la sécurité des données qu'un nombre croissant de procédures de vérification de la fiabilité et de la sécurité des systèmes informatiques de santé est imposé aux professionnels. Ainsi, le GIP-CPS (Groupement d'Intérêt Public-Carte Professionnelle de Santé) assure déjà :
la certification de l'Infrastructure de Gestion de Clés (IGC) du GIP-CPS (autorités de certification Racines) ;
l'homologation des outils de sécurisation de messageries électroniques (conventions d'homologation).
Parallèlement, le GIE Sesam Vitale assure l'homologation de lecteurs de cartes et l'agrément de logiciels de santé au regard de ses spécifications et référentiels de sécurité et compatibilité.
La loi n°2004-810 du 13 août 2004 renforce cette tendance déjà très lourde en prévoyant pour les sites informatiques dédiés à la santé et les logiciels d'aide à la prescription médicale une procédure de certification devant être établie par la Haute Autorité de Santé (HAS)(1).
Une telle certification devra être mise en œuvre et délivrée par un organisme accrédité attestant du respect des règles de bonnes pratiques devant être édictées par cette même Haute Autorité de Santé.
Il est possible que pour l'élaboration de ces bonnes pratiques, la Haute Autorité s'inspire de la charte étique et qualité proposée en juillet 1998 par l'OPHIS (Organisation Professionnelle pour l'Harmonisation en Informatique de Santé), laquelle n'a pas rencontré le succès escompté.
Le souci de la vérification de la fiabilité, de l'interopérabilité et de la sécurité des différents systèmes informatiques de santé est bien évidemment indispensable ; on relèvera néanmoins que la multiplication des procédures d'agrément, d'homologation et/ou de certification diligentées par des instances distinctes pourraient, à termes, constituer un facteur de complexité tel, qu'il pourrait conduire à l'appauvrissement de l'offre de produits et services.
Paru dans la JTIT n°36/2005 p.2
La dématérialisation des marchés publics du secteur santé
Le 1er janvier 2005, l’ensemble des acteurs publics soumis au Code des marchés publics sera dans l’obligation de mettre en œuvre la « dématérialisation des procédures » conformément à l’article 56 du Code des marchés publics.
Cet article précise en effet que les candidatures et les offres peuvent être communiquées à la personne publique « par voie électronique » et que le règlement de la consultation, la lettre de consultation, le cahier des charges, les documents et les renseignements complémentaires peuvent également être mis à disposition des entreprises par voie électronique dans des conditions fixées par décret.
D’une manière générale l’administration est entrée de plein pied dans le « tout dématérialisé » puisque l’alinéa 4 de l’article 56 injustement oublié pose comme règle que « les dispositions du présent code qui font référence à des écrits ne font pas obstacle au remplacement de ceux-ci par un support ou un échange électronique.
La mise en œuvre de l’article 56 du Code des marchés publics repose sur l’application des décrets n° 2001-846 du 18 septembre 2001 et 2002-692 du 30 avril 2002.
Le premier de ces décrets fixe les conditions de mise en œuvre des enchères électroniques ; le second fixe l’ensemble des règles relatives à la dématérialisation des procédures.
Il faut préciser que sur ce dernier point, les obligations de la personne publique sont extrêmement importantes et pesantes. Le décret précise en effet qu’il appartient à la personne publique d’assurer la sécurité des transactions sur un réseau informatique accessible à tous les candidats de façon non discriminatoire et que cette même personne publique prend les mesures propres à garantir la sécurité des informations portant sur les candidatures et les offres.
Ainsi donc, en cas d’externalisation de cette procédure, la personne publique devra être particulièrement attentive au respect des conditions de sécurité qui lui sont proposées.
Paru dans la JTIT n°36/2005 p.3
|
