Que peut-on apprendre de l’ordonnance attendue relative à l’hébergement des données de santé à caractère personnel ?
Certification et agrément
L’ordonnance gouvernementale n°2017-27 du 12 janvier 2017 (1), prise en application de l’article 204 I 5° de la loi de modernisation de notre système de santé du 26 janvier 2016 (2), vise à :
« a) Harmoniser les dispositions de l’article L. 1111-8 du code de la santé publique relatives aux procédures d’agrément des hébergeurs de données de santé et celles de l’article L. 212-4 du code du patrimoine ;
c) Remplacer l’agrément prévu au même article L. 1111-8 par une évaluation de conformité technique réalisée par un organisme certificateur accrédité par l’instance nationale d’accréditation mentionnée à l’article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie ou par l’organisme compétent d’un autre Etat membre de l’Union européenne. Cette certification de conformité porte notamment sur le contrôle des procédures, de l’organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des applications hébergées ».
L’article L1111-8 du Code de la santé publique est modifié afin d’intégrer les deux régimes suivants :
- un certificat de conformité délivré par un organisme de certification accrédité, pour l’hébergement des données de santé à caractère personnel sur support numérique ;
- un agrément du ministre chargé de la Culture, et non plus de la Santé, pour l’hébergement des données de santé à caractère personnel sur support papier ou sur support numérique dans le cadre du service d’archivage électronique.
Des décrets en Conseil d’Etat pris après avis de la Cnil et des conseils nationaux de l’ordre des professions de santé préciseront ces dispositions.
L’article L. 212-4 du Code du patrimoine a été modifié pour aligner le régime des données de santé à caractère personnel publiques sur celui des données privées.
Le rapport au Président de la République (3) accompagnant l’ordonnance synthétise le texte et en rappelle l’objectif :
– permettre d’accroître la sécurité des données de santé hébergées en complétant les audits documentaires par des audits sur site ;
– réduire les délais d’instruction des demandes des hébergeurs, trop importants ;
– faire bénéficier les hébergeurs de la visibilité du dispositif à l’international par une référence à des certifications ISO largement répandues à l’échelle européenne et mondiale.
Entrée en vigueur et régime transitoire
L’entrée en vigueur de l’ordonnance est prévue à « une date fixée par décret et au plus tard le 1er janvier 2019 ».
Les agréments obtenus avant l’entrée en vigueur de l’ordonnance continueront à produire leurs effets jusqu’à leur terme.
Les dossiers d’agrément ou de renouvellement d’agrément déposés avant l’entrée en vigueur de l’ordonnance seront instruits selon le droit actuel, et pourront donc donner lieu à l’octroi d’un agrément ou d’un renouvellement après l’entrée en vigueur de l’ordonnance.
L’ordonnance prévoit une exigence particulière pour les hébergeurs dont l’agrément se termine dans les 12 mois suivant la date d’entrée en vigueur de l’ordonnance : en effet, le décret d’application fixera leur délai de mise en conformité et d’obtention de la certification.
Rappelons enfin que l’ordonnance doit être ratifiée par le Parlement et qu’avant ce délai elle conserve la valeur d’un acte administratif.
Ainsi, ceux qui souhaitent à ce jour se positionner sur cette activité d’hébergement de données de santé n’ont pas à attendre la mise en place de la nouvelle certification, et peuvent toujours déposer leurs dossiers de demande d’agrément.
Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique
(1) Ordonnance 2017-27 du 12-1-2017.
(2) Loi 2016-41 du 26-1-2016, art. 204.
(3) Rapport au Président de la République relatif à l’ordonnance 2017-27 du 12-1-2017.