Certificats de vaccination : les recommandations du réseau eHealth

Certificats de vaccination

Conformément aux souhaits du Conseil européen, exprimés notamment dans ses conclusions du 21 janvier dernier (1), les 27 États membres de l’Union européenne (« UE ») travaillent depuis plusieurs semaines sur un projet de certificats de vaccination, dans le cadre du réseau e-santé (ou « eHealth ») (2).

Le 27 janvier dernier, le réseau eHealth a adopté ses « lignes directrices sur la preuve de la vaccination à des fins médicales – éléments d’interopérabilité de base (V.1.1) » (3). Ces dernières visent à harmoniser au sein de l’UE les certificats de vaccination (3).

Ces lignes directrices ciblent principalement aujourd’hui la vaccination contre la Covid-19. Mais à termes, elles pourraient concerner d’autres vaccinations ou prophylaxies.

Objectifs des certificats de vaccination

Les lignes directrices visent à constituer une approche commune des États membres en ce qui concerne leurs certificats de vaccination, notamment contre la Covid-19.

L’objectif est de mettre en place au sein de l’UE un système de reconnaissance mutuelle ou d’interopérabilité des certificats de vaccination « à des fins médicales ». Ainsi, les détenteurs de ces certificats pourront établir notamment qu’ils :

  • ont été vaccinés contre la Covid-19 et
  • ne seront pas obligés de subir un test lors de leur arrivée sur le territoire d’un autre État membre.

Les États membres pourront décider d’autres finalités pour lesquelles les certificats de vaccination seraient utilisés ; ceci sous réserve de discussions scientifiques, éthiques, juridiques et sociétales.

Certes, ces lignes directrices n’ont pas de caractère contraignant. Mais il est recommandé aux États membres de les prendre en compte s’ils choisissent de mettre en place des certificats de vaccination afin de favoriser leur interopérabilité.

Principe d’interopérabilité des certificats de vaccination

Les lignes directrices prévoient une uniformisation du contenu des certificats de vaccination et posent les bases d’un cadre de confiance qui permettra notamment de garantir l’authenticité et la validité de ces certificats, ainsi que la fiabilité de leur autorité de délivrance.

Uniformisation du contenu

Le contenu uniformisé des certificats de vaccination regroupe :

  • un ensemble minimal de données pour chaque certificat, à savoir :
    • identification de la personne (nom, sexe, date de naissance) ;
    • information sur la vaccination (vaccin administré, titulaire de l’AMM, nombre de doses administrées, numéro de lot, date de la vaccination, centre de vaccination) ;
    • métadonnées du certificat de vaccination ; l’annexe 1 des lignes directrices décrit les données concernées ; et
  • un identifiant unique de certificat de vaccination/assertion UVCI »), se référant à une vaccination complète ou seulement partielle qui est au niveau mondial unique et vérifiable. L’UVCI est un moyen de vérifier l’authenticité du certificat et, si nécessaire, de diriger les personnes vers un système d’enregistrement (par exemple un IIS) ; l’annexe 2 des lignes directrices décrit la composition de l’UVCI.

Détermination d’un cadre de confiance

Les lignes directrices reposent sur les principes suivants :

  • simplicité grâce à un système pouvant accueillir à la fois des supports papier et numériques (des processus de vérification différents s’appliqueront selon le type de support) ;
  • flexibilité et compatibilité avec les solutions nationales pouvant exister ;
  • protection rigoureuse des données personnelles, pour laquelle les mesures nécessaires doivent être développées ;
  • approche par étapes, avec l’intervention d’un accord entre États membres à chaque étape du processus.

Au niveau de la conception, une analyse de sécurité et une évaluation des risques devront être effectuées. Le but est d’assurer un niveau de protection suffisant contre la falsification ou la réutilisation de certificats valides émis pour des tiers.

Elles nécessiteront de mener des travaux supplémentaires avec d’autres groupes et organisations dans une approche coordonnée au niveau européen, afin de :

  • fournir des mécanismes permettant de vérifier l’autorisation des émetteurs de certificats ;
  • permettre la vérification des certificats de vaccination ;
  • fournir une aide pour des fonctionnalités supplémentaires, telles que la révocation des certificats émis ;
  • analyser les incidences juridiques d’un cadre de confiance ; et
  • concevoir une solution conforme au RGPD

Les prochaines étapes

Des travaux ultérieurs devront intervenir au sein du réseau eHealth, notamment pour préciser les mesures à prendre nécessaires concernant :

  • la protection des données,
  • le cadre de confiance,
  • l’enregistrement des vaccinations ou
  • l’interopérabilité en général.

A ce jour, quelques États membres se montreraient déjà favorables à la mise en place de certificats de vaccination ; c’est cas par exemple, de la Pologne et du Danemark. En France, l’idée fait toutefois encore débat et paraît prématurée pour certains prématurée, la vaccination n’en étant qu’à ses débuts.

Isabelle Chivoret
Zarine Ramjauny
Lexing Santé numérique

(1) Oral conclusions drawn by president Charles Michel following the video conference of the members of the European Council on 21 January 2021.
(2) Le réseau eHealth a été institué par l’article 14 de la Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers, aux termes duquel : « L’Union soutient et facilite la coopération et l’échange d’informations entre les États membres dans le cadre d’un réseau constitué sur la base du volontariat reliant les autorités nationales chargées de la santé en ligne désignées par les États membres ».
(3) Guidelines on proof of vaccination for medical purposes – basic interoperability elements.




Les bouleversements de la santé numérique

la santé numériqueMarguerite Brac de la Perrière répond aux questions de DII sur les bouleversements de la santé numérique : nouveaux besoins, nouveaux usages, nouvelles synergies…

Que change la crise du Covid-19 à l’écosystème de la santé numérique ?

A cette occasion, elle rappelle les conditions de développement depuis 2009 des actes de télémédecine que sont la téléconsultation, la téléexpertise, la télésurveillance, la téléassistance et la régulation médicale.

Citant Jean Monnet :

Les hommes n’acceptent le changement que dans la nécessité et ne voient la nécessité que dans la crise »,

Marguerite Brac de La Perrière explique comment la crise liée au Covid-19 a bouleversé la santé numérique, secteur déjà en forte croissance depuis une dizaine d’années, avec notamment, le développement des trois premiers actes (téléconsultation, téléexpertise, télésurveillance).

En effet, avant la crise, le recours à la télémédecine restait assez limité et concernait surtout les territoires en pénurie de médecins ou les personnes atteintes de maladies chroniques. Avec la crise, les usages se sont massivement développés pour répondre à un enjeu de santé publique, au moyen d’assouplissements substantiels et successifs des conditions réglementaires de prise en charge et de réalisation.

Ainsi, l’augmentation du nombre de téléconsultations est considérable. On a compté jusqu’à un million de téléconsultations hebdomadaires remboursées, alors que l’on en a décompté 75 000 sur 2019.

Cette interview parait en avant première de la conférence E-Santé à l’ère de l’IA, organisée le 30 septembre 2020. Lire l’intégralité de l’interview

La santé numérique

La santé numérique à l’ère de l’IA

Plus généralement, le Covid-19 joue un rôle crucial dans l’accélération des usages digitaux en santé.

L’IA, la réalité virtuelle, les objets connectés connaissent un déploiement massif. Cela permet aux chercheurs et praticiens d’améliorer les conditions de prise en charge des patients. Ils bénéficient de nombreuses données et indicateurs, d’aide au diagnostic et à la thérapeutique, et d’outils de suivi des patients.

Par ailleurs, le secteur est en pleine transformation numérique. En effet, le gouvernement a fait de la numérisation de la santé l’une de ses priorités (plan « Ma Santé 2022 »). La crise sanitaire mondiale rebat les cartes du jeu. La clarification de la réglementation offre aux acteurs du secteur l’opportunité de prendre une place dans un marché en croissance.

Isabelle Pottier
Lexing Département Etudes et publications




Santé : Le droit peut-il être désactivé par l’état d’urgence ?

état d’urgence

La question de la désactivation du droit par l’état d’urgence peut sembler inattendue alors que plus de 300 textes ont à ce jour été adoptés pour y faire face.

Marguerite Brac de La Perrière, directrice du département Droit de la santé numérique du cabinet Lexing Alain Bensoussan Avocats, consacre une trilogie d’articles sur le thème de la désactivation du droit par l’état d’urgence, dans une « chronique partagée » publiée sur Village de la Justice (1).

L’état d’urgence permet de prendre des mesures exceptionnelles proportionnées aux risques. Maître Marguerite Brac de la Perrière fait le point sur les mesures de sécurité sanitaire prises dans ce contexte.

Certaines d’entre elles apparaissent très polémiques, parce qu’elles ne sont pas proportionnées aux risques mais à l’impréparation du gouvernement, ou parce qu’elles portent atteinte à des fondamentaux tels que la liberté de prescription des médecins.

D’autres sont libéralisatrices, en particulier s’agissant de la télémédecine et de la télésanté.

Enfin elle rappelle que les dispositifs et traitements de données de santé à caractère personnel mis en oeuvre doivent être appréciés en premier lieu au regard de leur pertinence scientifique, laquelle doit être avérée, puis en second lieu au regard de la proportionnalité des atteintes au secret médical et à la protection des données de santé à caractère personnel.

En effet, cristalliser le débat autour de considérations juridiques avant même d’avoir apprécié la légitimité scientifique, ou sans l’avoir démontrée, conduit à durcir les conditions de mise en oeuvre de traitements plutôt que de les écarter.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

(1) Lire l’article : Marguerite Brac de la Perrière, « Faisons un point en droit de la santé », Village de la Justice, 25 mai 2020.




Téléconsultation médicale : effet de crise ou service d’avenir ?

effet de crise ou service d'avenirMarguerite Brac de La Perrière participait le 6 mai 2020 à un webinaire organisé par l’Argus de l’assurance consacré à la téléconsultation médicale.

A l’heure où la téléconsultation connaît une croissance exponentielle liée à la pandémie du Covid-19 et aux mesures de confinement, l’Argus de l’assurance organisait, le 6 mai 2020, un webinaire sur le thème « Téléconsultation : effet de crise ou service d’avenir ? » consacré au développement de ce nouveau service et aux dérogations mises en place pour faciliter son recours.

Afin de ralentir la circulation du coronavirus et limiter le nombre de contaminations, le gouvernement a en effet décidé d’assouplir par décrets les règles de la téléconsultation.

Par deux décrets parus au Journal officiel les 10 et 20 mars 2020, la réalisation et le remboursement des actes de téléconsultation ont été assouplis en dérogation aux principes définis dans la convention médicale.

Cet assouplissement étroitement lié à l’épidémie de Covid-19 va-t-il perdurer une fois la crise passée ?

Exceptionnellement prises en charge à 100% par l’Assurance Maladie, les téléconsultations s’effectuent de plus en plus en tiers payant pour faciliter l’accès aux soins et simplifier les modalités de facturation. Quelles conséquences alors pour les complémentaires santé ?

Alors que la téléconsultation restait jusqu’à présent très limitée en pratique, son développement récent, s’il vient à se confirmer dans la durée, sera-t-il une opportunité pour les assureurs de diversifier leurs offres santé, de plus en plus standardisées ?

Autant de questions évoquées lors de ce webinaire animé par François Limoge, rédacteur en chef de L’Argus de l’assurance, auquel participaient :

Téléconsultation : effet de crise ou service d’avenir ?

Au programme :

  • Décryptage du nouveau cadre réglementaire de la téléconsultation, conditions techniques de réalisation de l’acte, patients concernés, suppression du ticket modérateur ;
  • L’assouplissement des conditions de la prise en charge de la téléconsultation lié à l’épidémie de Covid-19 va-t-il perdurer une fois la crise passée ?
  • Quels risques à l’égard du secret médical et de la protection des données associés à ces assouplissements ?
  • Quelle responsabilité médicale pour les praticiens ? Quels points de vigilance ?
  • Quel avenir pour les services privés de téléconsultation des complémentaires santé ?

L’occasion pour Marguerite Brac de La Perriere de rappeler l’historique et les conditions, antérieures à la pandémie au Covid-19, de réalisation et prise en charge de la téléconsultation (vidéotransmission, sécurité des échanges, consultation en présentiel dans les 12 derniers mois sauf exceptions, prise en charge médicale coordonnée, territorialité) et de présenter le cadre, modifié par des textes réglementaires successifs, et les assouplissements en résultant, s’agissant des patients concernés, des conditions de réalisation et de prise en charge.

Nul doute que le recours à la téléconsultation sera beaucoup plus massif après la crise qu’il ne l’a été avant celle-ci, grâce à l’appropriation de ces modalités de réalisation de l’acte médical par les acteurs et les patients. La société française des anesthésistes réanimateurs, notamment, envisage déjà de la généraliser pour les consultations pré-anesthésiques.

Toutefois les conditions dérogatoires ne pourront perdurer au-delà de l’état d’urgence sanitaire. En effet, la prise en charge médicale coordonnée et territoriale est un objectif de santé publique visant à l’efficience et la rationalisation des soins. Dans le même sens, les conditions techniques de réalisation des actes de téléconsultation, doivent permettre le respect du secret médical, la protection de la vie privée et des données de santé à caractère personnel, supposant nécessairement a minima un échange sécurisé des documents médicaux, un hébergement agréé et le respect des principales mesures de la PGSSI-S. C’est d’ailleurs dans le respect de ces prérequis juridico-techniques que les opérateurs « historiques » ont déployé leurs services.

Pour revoir le webinaire : « Téléconsultation : effet de crise ou service d’avenir ? ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats,
Directeur de la communication juridique




Réalité virtuelle et augmentée au service de la santé

Réalité virtuelle et augmentéeMarguerite Brac de La Perrière participe au dossier Réalité virtuelle et augmentée spécial Santé publié par Laval Virtual, « The VR/AR special edition Health Clinical VR Medicine Well Being ».

Le service de veille de Laval Virtual – salon sur l’innovation et les nouvelles technologies orienté sur la réalité virtuelle et la réalité augmentée qui vient de relever avec brio le défi d’organiser un salon 100% virtuel en pleine période de confinement – a lancé récemment une série de dossiers thématiques dédiées à l’application et aux usages de la VR/AR dans différents domaines ou secteurs industriel.

Après un premier numéro dédié au secteur automobile vient d’être mis en ligne un numéro consacré à la santé. Rédigé en anglais, intitulé « The VR/AR special edition Health Clinical VR Medicine Well Being », il fait la lumière, par des témoignages d’acteurs du secteur, sur l’actualité et les avancées de la VR/AR dans le domaine médical.

 

Comme le souligne Marguerite Brac de La Perrière, directrice du département Santé numérique du cabinet Lexing Alain Bensoussan Avocats, dans son article dédié aux aspects juridiques de la réalité virtuelle et augmentée appliquée à la santé (« Virtual or augmented health reality from a legal perspective », p.105), « les applications de réalité virtuelle et de réalité augmentée ont un énorme impact dans le domaine de la santé, en particulier pour réduire l’inconfort des patients et pour améliorer l’efficacité et l’efficience des procédures médicales ».

Afin de saisir les enjeux juridiques liés à la réalité virtuelle d’une part et à la réalité augmentée d’autre part, il convient selon elle, en l’absence de définition juridique, de privilégier une approche technique pour en délimiter les contours.

The VR/AR special edition health Clinical VR Medicine Well Being
En langue anglaise, 128 pages
A télécharger sur Laval-Virtual.com

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Covid-19 et télésanté

Covid-19 et télésantéCovid-19 et télésanté : un ensemble de textes généralisent la télésanté et adaptent les conditions de prise en charge pour les personnes exposées au covid-19 (téléconsultation, téléexpertise, télésoin, etc.).

Des dérogations aux dispositions organisant le remboursement des actes de téléconsultation sont prévues par le décret du 31 janvier 2020 et l’arrêté du 23 mars 2020 (1), modifiés : Concrètement, quels sont les assouplissements prévus ?

La téléconsultation : Rappel du cadre initial de prise en charge

Pour rappel, la convention nationale organisant les rapports entre médecins libéraux et Assurance maladie (avenant n°6) détaille les conditions de prise en charge de tels actes (2).

Premièrement, le médecin téléconsultant connaît le patient avant de pouvoir réaliser des prestations de téléconsultation. Pour cela, le patient doit avoir bénéficié au moins d’une consultation avec lui en présentiel dans les douze mois précédents.

Deuxièmement, la téléconsultation doit, en principe, s’inscrire dans le respect du parcours de soins. Elle doit donc résulter de l’orientation initiale du médecin traitant, à l’exception des hypothèses suivantes :

  • le patient est âgé de moins de 16 ans ;
  • la consultation en accès direct est possible pour certaines spécialités (3) ;
  • le patient n’a pas de médecin traitant désigné ; ou
  • le médecin traitant n’est pas disponible dans un délai compatible avec l’état de santé du patient.

Dans ces deux dernières hypothèses, l’obligation de connaissance préalable du patient par le médecin téléconsultant ne s’applique pas.

Enfin, dans les situations dérogatoires au parcours de soins coordonné, l’organisation territoriale permet d’assurer le recours aux téléconsultations.

Surtout, une application stricte de ces modalités s’impose. Le Conseil d’Etat a déjà eut à se prononcer. Il a refusé le remboursement de tels actes réalisés par une plateforme nationale en dehors du parcours de soins (4).

La téléconsultation : Les dérogations apportées par le décret du 9 mars 2020

Lorsque le patient n’est pas en mesure de bénéficier d’une téléconsultation dans les conditions de droit commun :

  • il peut déroger au respect du parcours de soins coordonné ;
  • la même dérogation s’applique au médecin en ce qui concerne la connaissance préalable du patient.

En outre, le cas des personnes atteintes ou potentiellement infectées par le covid-19 est également pris en compte.

Elles peuvent bénéficier d’actes de téléconsultation pris en charge par l’Assurance maladie ; et ceux « même si elles n’ont pas de médecin traitant pratiquant la téléconsultation ni été orientées par lui ni été connues du médecin téléconsultant » (5).

Dans ce cadre dérogatoire, les téléconsultations doivent s’inscrire prioritairement dans le cadre d’organisations territoriales coordonnées.

La téléconsultation : Les conditions de réalisation des actes de téléconsultation

Les autres conditions de réalisation des actes de téléconsultation demeurent en vigueur, notamment concernant :

  • l’information et le recueil du consentement du patient ;
  • la réalisation d’un compte rendu porté au dossier patient du médecin téléconsultant et
  • la transmission d’une copie au médecin traitant ainsi qu’au DMP le cas échéant ;
  • la réalisation des actes par vidéotransmission dans les conditions définies par la convention médicale.

En principe, les autres conditions de réalisation des actes de téléconsultation ne sont donc pas assouplies par le décret. En conséquence, il appartient à chaque téléconsultant de mettre en œuvre la téléconsultation dans des :

  • lieux permettant la confidentialité des échanges entre le patient et le médecin consultant ;
  • conditions permettant de garantir la sécurité des données transmises (confidentialité, protection des données personnelles, etc.) ;
  • conditions permettant de garantir la traçabilité de la facturation des actes réalisés, dans les conditions respectueuses des référentiels de sécurité et d’interopérabilité concernant la transmission et les échanges de données.

A ce titre, la notice du décret précise que les téléconsultations « peuvent être réalisées en utilisant n’importe lequel des moyens technologiques actuellement disponibles pour réaliser une vidéotransmission (lieu dédié équipé mais aussi site ou application sécurisé via un ordinateur, une tablette ou un smartphone, équipé d’une webcam et relié à internet) ».

Les conditions d’utilisation d’outils numériques respectant la PGSSI-S et la réglementation relative à l’hébergement des données de santé sont rappelées par l’arrêté du 19 mars 2020, repris par l’article 8 de l’arrêté du 23 mars 2020.

Cet arrêté prévoit également que, par dérogation, « pour faire face à la crise sanitaire », « tout autre outil numérique » peut être utilisé.

La prise en charge des téléconsultations réalisées par des sages-femmes

De même, l’arrêté du 23 mars précité prévoit que les téléconsultations de sages-femmes sont « valorisées à hauteur d’une téléconsultation simple (code TCG) » (art. 8).

Covid-19 et télésanté : les actes de téléexpertise

La téléexpertise concerne l’expertise sollicitée par un médecin dit « médecin requérant » et donnée par un médecin dit « médecin requis », en raison de sa formation ou de sa compétence particulière, sur la base d’informations ou d’éléments médicaux liés à la prise en charge d’un patient, et ce, hors de la présence de ce dernier (6).

De la même manière, le décret prévoit des dérogations aux dispositions conventionnelle organisant le remboursement des actes de téléexpertise, s’agissant :

  • du champ de prise en charge : le décret élargit les situations dans lesquelles les actes de télé expertises peuvent être pris en charge (ALD, maladies rares, zones sous denses, EHPAD, détenus) aux actes de télé expertises concernant des personnes exposées au covid-19 et
  • de la limitation du nombre de téléexpertises annuel : en principe, les actes de téléexpertises remboursés sont effectués de manière ponctuelle et le nombre d’acte facturé par an est limité. Cette limitation ne s’appliquera pas aux actes de téléexpertise concernant des personnes exposées au covid-19, lesquels pourront être facturés sans limitation du nombre d’actes de téléexpertise réalisés.

La télésurveillance des patients insuffisants cardiaques

L’article 8 de l’arrêté du 23 mars 2020 précité assouplit les conditions d’éligibilité des patients souffrant d’insuffisance cardiaque chronique à un projet de télésurveillance dans le cadre des expérimentations relatives à la prise en charge par télésurveillance.

Covid-19 et télésanté : les activités de télésoin

Intégré au Code la santé publique par la loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, le télésoin est défini comme une forme de pratique de soins à distance utilisant les technologies de l’information et de la communication qui met en rapport un patient avec un ou plusieurs pharmaciens ou auxiliaires médicaux (dont les professions sont réglementées par le livre III de la quatrième partie du Code de la santé publique, notamment : infirmier, orthophoniste, orthoptiste, diététicien, etc.).

Les activités de télésoin ont vocation à être définies par arrêté du ministre de la santé pris après avis de la Haute Autorité de Santé (HAS). Les conditions de mise en œuvre des activités de télésoin ainsi que les conditions de prise en charge des activités de télésoin doivent être fixées par décret en Conseil d’Etat.

En principe, la prise en charge des activités de télésoin par l’assurance maladie est conditionnée par :

  • l’utilisation d’une vidéotransmission ;
  • la réalisation préalable, en présence du patient, d’un premier soin par un pharmacien ou un auxiliaire médical de la même profession que celle du professionnel assurant le télésoin.

En revanche, l’activité du professionnel de santé accompagnant le cas échéant le patient n’est pas prise en charge dans le cadre du télésoin.

Le télésoin par les infirmiers diplômés d’Etat

Conformément à l’article 8 de l’arrêté du 23 mars 2020, le télésuivi des patients dont le diagnostic d’infection à covid-19 a été posé cliniquement ou biologiquement peut être assuré par des infirmiers diplômés d’Etat, libéraux ou salariés auprès d’un autre professionnel de santé libéral.

Il peut être assuré en centre de santé, en maison de santé ou dans un établissement ou un service médico-social, ainsi que dans un établissement de santé :

  • sur prescription médicale, pour la surveillance clinique des patients suspectés d’infection ou reconnus atteints du covid-19 ;
  • de préférence par vidéotransmission, ou par téléphone si les équipements du patient ou de l’infirmier ne le permettent pas.

Plusieurs fiches d’information sur le télésuivi infirmier sont en ligne :

En application du décret du 31 janvier 2020, issu du décret du 19 mars 2020 et de l’arrêté susvisé, la prise en charge par l’assurance maladie des actes de télésuivi réalisée par des infirmiers diplômés d’Etat concerne les patients dont le diagnostic d’infection à covid-19 a été posé, cliniquement ou biologiquement, dans les conditions prévues par la HAS par un avis du 16 mars 2020 (arrêté du 23 mars 2020 susvisé).

Les actes de télésuivi sont valorisés à hauteur d’un AMI 3.2.

Par dérogation, les conditions suivantes ne sont pas requises :

  • condition de connaissance préalable du patient par l’infirmier ;
  • condition d’utilisation de la vidéotransmission, lorsque le patient ne dispose pas du matériel nécessaire.

Dans ce dernier cas, le télésoin peut être effectué par téléphone.

Le télésoin par les orthophonistes

L’article 8, de l’arrêté du 23 mars 2020 précité, autorise les orthophonistes à réaliser des actes de télésoin :

  • « à l’exclusion des bilans initiaux et des renouvellements de bilan » ;
  • les actes sont listés à l’annexe du VI de l’article 8 dudit arrêté ;
  • « la pertinence du recours au télésoin est déterminée par l’orthophoniste » ;
  • « ces actes de télésoin sont réalisés par vidéotransmission » ;
  • les actes sont « conditionnés à la réalisation préalable, en présence du patient, d’un premier soin par l’orthophoniste » ;
  • Accompagnement :
    • « pour les mineurs de 18 ans, la présence d’un des parents majeurs ou d’un majeur autorisé est nécessaire » ;
    • « pour les patients présentant une perte d’autonomie, la présence d’un aidant est requise ».

Ainsi, les orthophonistes peuvent facturer les actes remplissant les conditions susvisées à l’assurance maladie.

Covid-19 et télésanté : un assouplissement limité dans le temps

Enfin, les dispositions du décret peuvent être mises en œuvre jusqu’au 31 mai 2020.

L’article 8 de l’arrêté du 23 mars relatif à la télésurveillance et au télésoin s’applique jusqu’au 15 avril 2020 .

Marguerite Brac de la Perrière
Chloé Gaveau
Lexing Santé numérique

(1) Pris sur la fondement de l’article L. 3131-16 du Code de la santé publique, concernant l’état d’urgence sanitaire ;
(2) Arrêté du 1er août 2018 portant approbation de l’avenant n° 6 à la convention nationale organisant les rapports entre les médecins libéraux et l’assurance maladie signée le 25 août 2016.
(3) Gynécologie, ophtalmologie, stomatologie, chirurgie orale ou en chirurgie maxillo-faciale, psychiatrie ou neuropsychiatrie et pédiatrie.
(4) Conseil d’État, Juge des référés, 29-05-2019, n°429188
(5) Décret n° 2020-227 du 9 mars 2020 adaptant les conditions du bénéfice des prestations en espèces d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au Covid-19, notice.
(6) Arrêté du 1er août 2018 précité.




Un nouveau décret sur l’utilisation du NIR comme INS

utilisation du NIRLes conclusions de la Cnil, en date du 20 février 2007, sur l’utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) comme identifiant de santé, prévoyaient la restriction de l’utilisation du NIR, plus communément appelé numéro de sécurité sociale, à la sphère sociale, et interdisait son utilisation en tant qu’identifiant de santé.

Neuf ans plus tard, la loi de modernisation de notre système de santé du 26 janvier 2016 a modifié l’article L.1111-8-1 du Code de la Santé Publique (CSP). Les dispositions de ce texte ont été modifiées par l’Ordonnance du 12 décembre 2018, mais le principe reste le même : le NIR, et à défaut le Numéro Identifiant d’Attente (NIA), est utilisé comme Identifiant National de Santé (INS) des personnes pour leur prise en charge à des fins sanitaires et médico-sociales, dans les conditions prévues à l’article L.1110-4 du CSP relatif au secret médical, à l’échange et au partage des données de santé.

Conformément aux dispositions de cet article L.1111-8-1 du CSP, le dispositif a été complété par un décret n°2017-412 du 27 mars 2017.

Ce décret a été modifié très récemment par le décret n°2019-1036 du 8 octobre 2019, comme évoqué ci-après.

Référencement des données de santé

Caractéristiques du NIR

Le NIR est composé de treize chiffres et d’une clé de contrôle de deux chiffres. Il est attribué aux personnes nées en France, y travaillant ou y habitant de façon stable.

Comme le souligne la Cnil dans ses conclusions sur l’utilisation du NIR comme identifiant de santé, le NIR constitue un numéro particulier dans la mesure où il est :

  • « signifiant : il est composé d’une chaîne de caractères qui permettent de déterminer le sexe, le mois et l’année de naissance, et dans la majorité des cas, le département et la commune de naissance en France ou l’indication d’une naissance à l’étranger ;
  • unique et pérenne : un seul numéro est attribué à chaque individu dès sa naissance ;
  • a priori fiable : il est certifié par l’Institut National de la Statistique et des Études Économiques (INSEE), à partir des données d’état civil transmises par les mairies ».

Modalités d’utilisation du NIR comme INS

Les modalités d’utilisation du NIR comme INS afin de référencer les données de santé, notamment afin d’en empêcher l’utilisation à des fins autres que sanitaires et médico-sociales ont été définies par le décret du 27 mars 2017 ; elles ont été codifiées aux articles R.1111-8-1 et suivants du CSP.

Ainsi, l’article R.1111-8-2 du CSP dispose : « l’INS est utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes ».

Il est précisé à l’article R.1111-8-3 du CSP : « le référencement de données mentionnées à l’article R. 1111-8-2 à l’aide de l’INS ne peut être réalisé que par des professionnels, établissements, services et organismes mentionnés à l’article L. 1110-4 et des professionnels constituant une équipe de soins en application de l’article L. 1110-12 et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée ».

L’article R.1111-8-4 du CSP limite l’utilisation de données de santé et de données administratives référencées avec l’INS, dans le cadre d’un traitement de données à caractère personnel, aux seuls traitements ayant une finalité exclusivement sanitaire ou médico-sociale, y compris les fonctions nécessaires pour assurer le suivi social ou la gestion administrative des personnes prises en charge, et mis en œuvre dans le respect des dispositions de la loi informatique et libertés.

Le décret du 27 mars 2017 avait prévu une mise en conformité des acteurs concerné avec les nouvelles règles avant le 1er janvier 2020, date qui a été reportée au 1er janvier 2021 par le décret n° 2019-1036 du 8 octobre 2019.

Précisions sur l’utilisation du NIR comme INS

Nouveautés apportées par le décret du 8 octobre 2019

Le décret n° 2019-1036 du 8 octobre 2019 apporte des modifications au décret du 27 mars 2017 relatif à l’utilisation du NIR comme INS et aux articles R.1111-8-1 à R.1111-8-7 du CSP.

Il est précisé dans la notice même du décret que « le décret modifie les dispositions relatives à l’utilisation du NIR en tant qu’INS pour les mettre en conformité avec la loi Informatique et libertés, dans sa rédaction résultant de l’ordonnance n° 2018-1125 du 12 décembre 2018. Le décret adapte le calendrier de mise en œuvre de l’INS et renforce les règles de sécurité dans la prise en charge et la protection des données personnelles ».

En premier lieu, le décret ajoute à l’article R.1111-8-2 du CSP un alinéa prévoyant la possibilité d’avoir recours à l’INS à des fins de recherche autorisée dans les conditions prévues au titre II, chapitre III, section 3 de la loi Informatique et libertés relatif aux traitements de données à caractère personnel dans le domaine de la santé (et plus particulièrement aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé présentant une finalité d’intérêt public).

En outre, le décret modifie intégralement l’article R.1111-8-6 du CSP, dont le premier alinéa dispose désormais : « des téléservices permettent aux professionnels, établissements, services ou organismes mentionnés à l’article R.1111-8-3 d’accéder au NIR et de vérifier son exactitude dans le respect du référentiel mentionné à l’article R.1111-8-7. Ils sont mis en œuvre par la Caisse nationale de l’assurance maladie ».

L’article susvisé précise que le recours à ces téléservices est obligatoire sauf en cas d’indisponibilité des téléservices ou de motif légitime invoqué par les professionnels. Ce recours n’exonère pas de « mettre en place toute procédure de surveillance, de correction et de prévention des erreurs relevant de l’organisation de la prise en charge des personnes et concourant à la maîtrise du risque d’erreur dans l’identification des personnes ».

Enfin, le décret reporte au 1er janvier 2021 l’obligation de se conformer à l’ensemble des règles relatives à l’utilisation du NIR comme INS.

Attente de publication du référentiel INS définitif

Aux termes de l’article R.1111-8-7 du CSP, un référentiel doit définir les modalités de mise en œuvre de l’obligation de référencement des données de santé avec l’INS. Il doit préciser les procédures de surveillance et de gestion des risques et erreurs liés à l’identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes habilités à l’utiliser, ainsi que les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel mentionnées au même article.

En application de l’article L.1110-4-1 du CSP, ce référentiel doit être élaboré par l’ASIP Santé, en concertation avec les acteurs du secteur santé et médico-social, et approuvé par arrêté du ministre de la Santé.

À ce jour, le projet de référentiel INS a été publié par l’ASIP Santé sur son site.

La Cnil doit être saisie pour rendre un avis sur ce projet de référentiel, lequel devra ensuite être approuvé par arrêté, afin d’être publié dans sa version définitive et être opposable aux acteurs concernés.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Projet de loi bioéthique : IA et données massives des patients

données massivesDe nouvelles précisions s’agissant des traitements algorithmiques de données massives sont envisagées dans le projet de loi sur la révision des lois de bioéthique qui a été présenté en Conseil des Ministres le 24 juillet 2019 et sera débattu au Parlement en septembre 2019. Il s’agit de la 3ème révision des lois bioéthique en 25 ans.

Selon le compte-rendu du Conseil des Ministres, « cette révision des lois de bioéthique s’inscrit dans un contexte de sauts technologiques inédits, auxquels s’ajoutent des attentes sociétales fortes ».

Droits et garanties des patients en matière de données massives introduits par le projet de loi

L’article 11 du projet de loi relatif à la bioéthique entend sécuriser la bonne information du patient lorsqu’un traitement algorithmique de données massivesintelligence artificielle ») est utilisé à l’occasion d’un acte de soin.

Il introduit un nouvel article L.4001-3 dans le Code de la santé public, aux termes duquel le professionnel de santé devra informer le patient en cas d’utilisation d’un traitement algorithmique de données massives pour des actes à visée préventive, diagnostic ou thérapeutique, lorsqu’il communique les résultats de ces actes.

Il devra également informer le patient des « modalités d’action » du traitement de données.

L’article prévoit l’intervention du professionnel de santé pour réaliser l’adaptation des paramètres du traitement et rappelle ainsi l’importance de l’intervention humaine dans le fonctionnement de l’intelligence artificielle.

En outre, la traçabilité des actions d’un tel traitement algorithmique et des données utilisées dans le cadre de ce traitement sera assurée et les informations qui en résultent seront accessibles aux professionnels de santé concernés.

Ainsi, il s’agit de garantir la possibilité d’auditer les algorithmes, le respect des principes de transparence des algorithmes, de garantie humaine, et de traçabilité, lesquels constituent les garanties nécessaires au développement de l’intelligence artificielle.

Il faut « garantir que l’intelligence artificielle augmente l’homme plutôt qu’elle ne le supplante et participe à l’élaboration d’un modèle français de gouvernance éthique de l’intelligence artificielle. Nous devons collectivement faire en sorte que ces nouveaux outils soient à la main humaine, à son service, dans un rapport de transparence et de responsabilité », comme affirmé par Isabelle Falque-Pierrotin, ancienne présidente de la Cnil.

L’article 11 du projet de loi prend en compte les propositions du Comité consultatif national d’éthique (CCNE) dans son avis 130 adopté le 29 mai 2019 « Données massives et santé : une nouvelle approche des enjeux éthiques ». Dans cet avis, le CCNE formule notamment les propositions suivantes :

  • « toute personne a droit à une information compréhensible, précise et loyale sur le traitement et le devenir de ses données » ;
  • les résultats doivent être validés par une garantie humaine.

Droits des patients en matière de traitements exclusivement automatisés au titre du RGPD

Dans le cas où une décision individuelle automatisée serait fondée exclusivement sur le traitement automatisé de données massives, l’article 22 du Règlement européen sur la protection des données (RGPD) dispose : « la personne concernée a le droit de ne pas faire l’objet d’une [telle] décision […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Cette disposition ne s’applique pas lorsque la décision :

  • « est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
  • est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
  • est fondée sur le consentement explicite de la personne concernée ».

Dans la première et la dernière hypothèse, l’article 22 du RGPD prévoit l’obligation pour le responsable de traitement de mettre en œuvre « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision ».

Il est en outre précisé que les décisions correspondant aux trois hypothèses susvisées ne peuvent être fondées sur les catégories particulières de données visées à l’article 9 du RGPD, parmi lesquelles figurent les données de santé, sauf si des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place et que l’une des conditions suivantes est remplie :

  • la personne a donné son consentement explicite ;
  • le traitement est nécessaire pour des motifs d’intérêt public importants, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Projet de loi bioéthique : patients et examens génétiques

examens génétiquesUn nouvel encadrement de la transmission des résultats d’examens génétiques qui diffère selon que les dits résultats ont été découverts de manière incidente ou dans le cadre d’une recherche, fait partie des dispositions envisagées par le projet de loi sur la révision des lois de bioéthique. Présenté au Conseil des Ministres du 24 juillet 2019, il sera débattu au Parlement en septembre 2019, il s’agira de la 3ème révision des lois bioéthique en 25 ans.

Selon le compte-rendu du Conseil des Ministres, « cette révision des lois de bioéthique s’inscrit dans un contexte de sauts technologiques inédits, auxquels s’ajoutent des attentes sociétales fortes ».

Les résultats d’examens génétiques découverts de manière incidente

Information de la personne et recueil de son consentement à l’examen de ses caractéristiques génétiques

Le titre III du projet de loi relatif à la bioéthique est intitulé « appuyer la diffusion des progrès scientifiques et technologiques dans le respect des principes éthiques ».

L’article 10, premier article de ce titre III, porte sur le consentement à un examen de génétique et sur la possibilité de refuser la révélation de ses résultats.

Cet article modifiera l’article 16-10 du Code civil en ajoutant des informations à fournir au patient, préalablement au recueil de son consentement, en plus de l’information sur la nature de l’examen, et sur son indication (s’il s’agit de finalités médicales) ou sur son objectif (s’il s’agit de recherche scientifique) :

  • le cas échéant, l’information sur « la possibilité que l’examen révèle incidemment des caractéristiques génétiques sans relation avec son indication initiale ou avec son objectif initial mais dont la connaissance permettrait à la personne ou aux membres de sa famille de bénéficier de mesures de prévention, y compris de conseil en génétique, ou de soins » ;
  • « l’information sur la possibilité de refuser la révélation des résultats de l’examen de caractéristiques génétiques sans relation avec l’indication initiale ou l’objectif initial de l’examen ainsi que sur les risques qu’un refus ferait courir aux membres de sa famille potentiellement concernés dans le cas où une anomalie génétique pouvant être responsable d’une affection grave justifiant de mesures de prévention, y compris de conseil génétique, ou de soins serait diagnostiquée ».

A la suite de la transmission de ces informations, le consentement exprès de la personne devra être recueilli par écrit, préalablement à la réalisation de l’examen. Ce consentement devra mentionner l’indication ou l’objectif de l’examen.

L’article ajoute que le consentement de la personne sera révocable sans exigence de forme à tout moment.

Concernant les examens de recherche scientifique, l’article L.1122-1-1 du Code de la santé publique dispose : « dans le cas où la personne se prêtant à une recherche a retiré son consentement, ce retrait n’a pas d’incidence sur les activités menées et sur l’utilisation des données obtenues sur la base du consentement éclairé exprimé avant que celui-ci n’ait été retiré ».

En tout état de cause, il y a lieu de rappeler qu’est puni d’un an d’emprisonnement et de 15.000 euros d’amende, le fait de procéder à l’étude des caractéristiques génétiques d’une personne à des fins autres que médicales ou de recherche scientifique, ou à des fins médicales ou de recherche scientifique, sans avoir préalablement recueilli son consentement (article L.1133-1 du CSP et 226-25 du Code pénal).

Absence de refus de la révélation des résultats des examens des caractéristiques génétiques

Conformément aux dispositions de l’article 10 du projet de loi relatif à la bioéthique, les résultats révélés incidemment lors de l’examen des caractéristiques génétiques, sans relation avec l’indication initiale ou avec l’objectif initial de cet examen, ne pourront être révélés à la personne qu’à condition que l’information complète susvisée lui ait été transmise au préalable et qu’elle n’ait pas refusé la révélation de ces résultats incidents.

La communication des résultats incidents sera assurée dans le respect des conditions :

  • du titre II du livre Ier de la première partie du CSP, quand les finalités de l’examen relèvent d’une recherche scientifique ;
  • du titre III du livre Ier de la première partie du CSP, quand les finalités de l’examen sont médicales.

S’agissant des recherches scientifiques, « la personne dont la participation est sollicitée est informée de son droit d’avoir communication, au cours ou à l’issue de la recherche, des informations concernant sa santé » (art. L.1122-1 CSP).

S’agissant des examens médicaux, « en cas de diagnostic d’une anomalie génétique grave, sauf si la personne a exprimé par écrit sa volonté d’être tenue dans l’ignorance du diagnostic, l’information médicale communiquée est résumée dans un document rédigé de manière loyale, claire et appropriée, signé et remis par le médecin. La personne atteste de cette remise. Lors de l’annonce de ce diagnostic, le médecin informe la personne de l’existence d’une ou plusieurs associations de malades susceptibles d’apporter des renseignements complémentaires sur l’anomalie génétique diagnostiquée. Si la personne le demande, il lui remet la liste des associations agréées » (art. L.1131-1-2 CSP).

Concernant la famille de la personne concernée, le médecin prescripteur prévoit avec la personne « dans un document écrit qui peut, le cas échéant, être complété après le diagnostic, les modalités de l’information destinée aux membres de la famille potentiellement concernés afin d’en préparer l’éventuelle transmission. Si la personne a exprimé par écrit sa volonté d’être tenue dans l’ignorance du diagnostic, elle peut autoriser le médecin prescripteur à procéder à l’information des intéressés » (art. L.1131-1-2 CSP).

En outre, « la personne est tenue d’informer les membres de sa famille potentiellement concernés dont elle ou, le cas échéant, son représentant légal possède ou peut obtenir les coordonnées, dès lors que des mesures de prévention ou de soins peuvent leur être proposées ». « Si la personne ne souhaite pas informer elle-même les membres de sa famille potentiellement concernés, elle peut demander par un document écrit au médecin prescripteur, qui atteste de cette demande, de procéder à cette information. Elle lui communique à cette fin les coordonnées des intéressés dont elle dispose. Le médecin porte alors à leur connaissance l’existence d’une information médicale à caractère familial susceptible de les concerner et les invite à se rendre à une consultation de génétique, sans dévoiler ni le nom de la personne ayant fait l’objet de l’examen, ni l’anomalie génétique, ni les risques qui lui sont associés » (art. L.1131-1-2 CSP).

Les résultats d’examens génétiques issus de la recherche

L’article 18 du projet de loi relatif à la bioéthique a pour objet de faciliter la recherche nécessitant des examens de génétique sur des collections d’échantillons biologiques conservés à l’issue de soins médicaux ou de recherches cliniques.

Régime général des examens génétiques à fins de recherche d’échantillons prélevés à d’autres fins

Il sera introduit un nouvel article L.1130-5 dans le Code de la santé publique, rappelant que l’examen des caractéristiques génétiques d’une personne à des fins de recherche scientifique peut être réalisé à partir d’éléments du corps de cette personne prélevés à d’autres fins :

  • lorsque cette personne a été informée du programme de recherche ; et
  • lorsqu’elle n’a pas exprimé son opposition.

L’opposition à l’examen « peut être exprimée sans forme, tant qu’il n’y a pas eu d’intervention sur l’élément concerné dans le cadre de la recherche ».

En cas de découverte de caractéristiques génétiques pouvant entraîner une affection justifiant des mesures de prévention ou de soins, la personne en est informée sauf si elle s’y est préalablement opposée.

Si de telles caractéristiques génétiques sont découvertes en cours de recherche et confirmées le cas échéant en laboratoire, la personne concernée est informée, si elle ne s’y est pas opposée, de l’existence d’une information médicale la concernant et invitée à se rendre chez un médecin qualifié en génétique afin de recevoir les informations complètes et de bénéficier d’une prise en charge. La personne peut s’opposer, sans exigence de forme et à tout moment ,à être informée de telles découvertes.

Il est précisé que les recherches visées dans ce nouvel article sont exclues du champ d’application de l’article 75 de la loi Informatique et libertés, selon lequel « dans le cas où la recherche nécessite l’examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données ».

Régimes particuliers des examens génétiques à fins de recherche d’échantillons prélevés à d’autres fins

Si la personne est mineure, ce seront les parents investis de l’exercice de l’autorité parentale ou le tuteur qui exprimeront leur opposition.

En revanche, si la personne fait l’objet d’une mesure de protection juridique avec représentation à la personne, elle exprime elle-même son opinion, le cas échéant assistée de la personne chargée de la mesure de protection.

Enfin, dans les cas où il est impossible d’informer la personne (personne décédée, ou hors d’état d’exprimer sa volonté, ou encore impossible à retrouver), le Comité de protection des personnes est saisi par le responsable du programme de recherche afin qu’il se prononce notamment sur l’opportunité de l’examen des caractéristiques génétiques de la personne ainsi que sur la pertinence éthique et scientifique de la recherche.

Il est précisé que ce nouvel article ne s’applique pas aux recherches dont la publication des résultats est susceptible de permettre la levée de l’anonymat des personnes.

Des dispositions à préciser

Un décret devra fixer :

  • les modalités d’information des personnes concernées ;
  • les modalités permettant l’expression de leur opposition.

Ainsi, les modèles de mentions d’information des personnes devront respecter les exigences du décret à venir, tout en étant adaptés aux particularités de chaque recherche.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Nouvelle loi de Santé : développement du numérique en santé

loi de santéLa loi de santé n° 2019-774 relative à l’organisation et à la transformation du système de santé a été promulguée le 24 juillet 2019 et est parue au Journal officiel le 26 juillet 2019. Elle traduit notamment la stratégie « Ma santé 2022 ».

Cette loi « vise à faire émerger un système de santé mieux organisé dans les territoires, renforçant l’accès aux soins. [Elle] favorise les coopérations entre les acteurs et les métiers de la santé, et assure à chaque Français la qualité et la sécurité des soins. [Elle] dépasse les approches sectorielles et apporte des réponses globales et cohérentes aux enjeux auxquels est confronté le système de soins ».

La loi introduit 3 axes majeurs de développement en santé numérique :

  • la création d’une plateforme de données de santé,
  • l’ouverture d’une espace numérique de santé pour chaque usager, et
  • le développement de la télésanté.

Plateforme des données de santé

Cette plateforme des données de santé positionnerait « la France parmi les pays en pointe en termes de structuration des données de santé, tout en préservant un haut niveau de protection de la vie privée ».

La plateforme des données de santé, ou Health Data Hub, est portée par un groupement d’intérêt public du même nom, remplaçant l’Institut national des données de santé (INDS).

Il est notamment chargé « de réunir, organiser et mettre à disposition les données du système national des données de santé » (SNDS), dont le périmètre a été élargi, « de promouvoir l’innovation dans l’utilisation des données de santé », et « d’accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d’appels à projets lancés à son initiative ».

Sur ce dernier point, dix projets pilotes ont été sélectionnés le 16 avril 2019, dans le cadre de l’appel à projet. Ils ont pour mission de contribuer à la coconstruction du Health Data Hub par l’enrichissement de son catalogue de données et l’expérimentation de son offre de services.

Agnès Buzyn, a exprimé le souhait de voir le Health Data Hub définitivement créé d’ici au 31 octobre 2019.

Une fois la plateforme définitivement créée, il conviendra de déterminer les moyens d’accès et d’utilisation des données de santé stockées.

Une autre nouveauté introduite par la loi de Santé est l’ouverture d’un espace numérique de santé pour chaque usager, sauf opposition de sa part, et dans le respect des référentiels d’interopérabilité, tel que développé ci-dessous.

Espace numérique de santé pour chaque usager

Conformité à la PGSSI-S et au CI-SIS

La nouvelle loi de Santé modifie l’article L.1110-4-1 du Code de la santé publique en précisant notamment son périmètre d’application.

Ainsi, l’obligation de conformité aux référentiels d’interopérabilité et de sécurité concerne les personnes ou organismes suivants :

  • les professionnels de santé et les personnes exerçant sous leur autorité, les établissements et services de santé, le service de santé des armées et tout organisme participant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le Code de la santé publique ;
  • les professionnels des secteurs médico-social et social et les établissements ou services des secteurs médico-social et social ;
  • les organismes d’assurance maladie, ayant pour finalité principale de contribuer directement à la prévention ou au suivi du parcours de soins des patients.

L’article L. 1110-4-1 précité précise en outre le mécanisme d’élaboration des référentiels, qui s’effectue en concertation avec les représentants des secteurs susvisés. Il rappelle que les référentiels doivent être approuvés par arrêtés du ministre chargé de la santé.

S’agissant particulièrement des référentiels d’interopérabilité, la loi de Santé précise qu’ils sont fondés sur des « standards ouverts en vue de faciliter l’extraction, le partage et le traitement des données de santé dans le cadre de la coordination des parcours de soins, de l’amélioration de la qualité des soins et de l’efficience du système de santé ou à des fins de recherche clinique, chaque fois que le recours à ces standards est jugé pertinent et possible ».

Interopérabilité des systèmes d’information

La loi de Santé introduit, dans un nouvel article L.1110-4-2 du Code de la santé publique, une procédure d’évaluation et de certification permettant d’attester « la conformité d’un système d’information ou d’un service ou outil numérique en santé aux référentiels d’interopérabilité mentionnés à l’article L. 1110‑4‑1 [du Code de la santé publique] ».

La procédure d’évaluation et de certification sera définie par décret en Conseil d’Etat.

A une date fixée par décret, et à compter du 1er janvier 2023 au plus tard, l’attribution de certains fonds publics sera conditionnée à des engagements de mise en conformité aux référentiels d’interopérabilité susmentionnés.

Cette nouvelle obligation impose aux éditeurs de distribuer des logiciels conformes aux référentiels d’interopérabilité. Les établissements de santé ou autres entités faisant appel à des éditeurs de logiciels devront être vigilants et devront notamment encadrer contractuellement le respect de cette obligation de conformité.

Parmi les documents constitutifs du Cadre d’Interopérabilité des Systèmes d’Information de Santé (CI-SIS) publiés, le Volet structuration minimale de documents de santé présente les principaux éléments permettant de rendre un système d’information interopérable.

Le nouvel article L.1110-4-2 du Code de la santé publique impose notamment que certains contrats comprennent des engagements relatifs à l’acquisition ou à l’utilisation de systèmes d’information ou de services ou outils numériques en santé dont la conformité aux référentiels d’interopérabilité est attestée par la procédure d’évaluation et de certification.

Il s’agit des contrats suivants :

Ces contrats devront donc être modifiés afin d’être conformes à cette nouvelle disposition, qui entrera en vigueur à une date fixée par décret, et au plus tard le 1er janvier 2023.

La sanction en cas de non-respect des référentiels d’interopérabilité est donc un défaut d’attribution de fonds publics.

Il y a lieu de relever que cette nouvelle procédure d’évaluation et de certification ne concerne que les référentiels d’interopérabilité (CI-SIS) à l’exclusion des référentiels de sécurité (PGSSI-S).

Sécurité des systèmes d’informatio de santé

Si aucune procédure d’évaluation et de certification de la conformité n’est prévue par la Loi s’agissant de la PGSSI-S, c’est qu’il n’y avait nul besoin de créer des sanctions spécifiques en cas de non-respect par les acteurs concernés, puisque qu’elles sont celles prévues par les dispositions du RGPD.

En effet, et pour mémoire, l’article 32 du RGPD impose aux responsables de traitement et sous-traitants de mettre en œuvre les mesures techniques et organisationnelles appropriées, lesquelles doivent donc s’apprécier au regard du référentiel légal applicable au secteur, c’est-à-dire les dispositions des articles L.1110-4 et L1110-4-1 CSP, ces dernières portant sur la PGSSI-S.

Ainsi, en cas de non-respect de la PGSSI-S, ce sont les sanctions prévues par l’article 83 du RGPD qui sont encourues, et s’agissant d’un défaut de sécurité, a priori 10 000 000 €.

En outre et enfin, la nouvelle loi prévoit que des mesures complémentaires d’incitation à la mise en conformité pourront être prévues par décret en Conseil d’Etat. Une vigilance particulière est dès lors nécessaire s’agissant des éventuels textes à venir en la matière.

Ainsi, l’interopérabilité des systèmes d’information est mise à l’honneur par le Gouvernement dans la mesure où il s’agit d’une condition sine qua non à la bonne coordination des soins, et qu’elle s’inscrit dans la volonté de développement d’un espace numérique de santé pour chaque usager.

Espace numérique par défaut

La loi de Santé prévoit désormais l’ouverture gratuite et automatique d’un espace numérique pour chaque usager sauf opposition de sa part. L’ouverture de cet espace numérique n’est donc pas subordonnée au recueil de son consentement.

Cet espace numérique de santé comportera notamment

  • les données administratives de la personne concernée,
  • son dossier médical personnalisé (DMP),
  • les constantes de santé issues des applications et objets connectés renseignés dans l’espace numérique,
  • les informations relatives aux remboursements des dépenses de santé,
  • ainsi que des outils d’échange et de partage sécurisés (MSS, télésanté, etc.).

L’article 50 de la loi prévoit désormais l’ouverture automatique du dossier médical partagé (DMP), sauf opposition de l’usager. L’article 51 précise que dans le cadre de la médecine du travail, le DMP est accessible « uniquement pour y déposer des documents ».

Chaque usager peut exercer ses droits garantis par le RGPD sur ses données contenues dans son espace numérique de santé. Il peut librement proposer des accès temporaires ou permanents à son espace numérique de santé à un établissement de santé, un professionnel ou une équipe de soins, extraire des données de l’espace numérique de santé ou clore son espace.

L’identifiant de l’espace numérique de santé est l’identifiant national de santé mentionné à l’article L.1111-8-1 du Code de la santé publique (NIR) et le titulaire de l’espace peut y avoir accès après identification et authentification.

Accès à l’espace numérique et prérequis des services et outils

La loi prévoit la possibilité pour le Gouvernement de prendre, par voie d’ordonnance, toute mesure relative à l’identification et à l’authentification des acteurs de santé, notamment afin d’adapter l’usage de la carte de professionnel de santé (CPS) aux outils numériques.

L’objectif est de dématérialiser les moyens techniques d’identification et d’authentification et d’accompagner le développement de services numériques tels que la prescription électronique et la télémédecine.

Bien sûr, les services et outils numériques doivent respecter les référentiels d’interopérabilité du CI-SIS mais également les référentiels de sécurité de la PGSSI-S pour être intégrés dans l’espace numérique de santé.

Les conditions et modalités d’application des dispositions relatives à l’espace numérique de santé seront définies par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés.

Déploiement de la télémédecine et du télésoin

Introduction du télésoin dans le code de la santé publique

La loi modifie le Code de la santé publique en remplaçant dans le Livre III de sa sixième partie, dans son Titre Ier et dans son Chapitre VI, les termes « télémédecine » par « télésanté ». Elle intègre deux sections dans ce chapitre VI rebaptisé : l’une portant sur la télémédecine et l’autre portant sur le télésoin.

Le télésoin est défini comme une forme de pratique de soins à distance utilisant les technologies de l’information et de la communication qui met en rapport un patient avec un ou plusieurs pharmaciens ou auxiliaires médicaux.

Les activités de télésoin seront définies par arrêté du ministre de la santé pris après avis de la Haute Autorité de Santé (HAS). Les conditions de mise en œuvre des activités de télésoin seront fixées par décret en Conseil d’Etat.

La prise en charge des activités de télésoin par l’assurance maladie est conditionnée par :

  • l’utilisation d’une vidéotransmission ;
  • la réalisation préalable, en présence du patient, d’un premier soin par un pharmacien ou un auxiliaire médical de la même profession que celle du professionnel assurant le télésoin.

L’activité du professionnel de santé accompagnant le cas échéant le patient n’est pas prise en charge dans le cadre du télésoin.

Les conditions de prise en charge des activités de télésoin seront fixées par décret en Conseil d’Etat.

Les contrats pris dans le cadre d’activités de télésoin devront nécessairement prendre en compte les règlementations à venir.

Par ailleurs, l’article 54 de la nouvelle loi de santé supprime les restrictions géographiques à l’exercice de la télémédecine.

Prescription électroniqe et dématérialisation des arrêts de travail

Enfin, la loi prévoit la possibilité pour le Gouvernement de prendre par voie d’ordonnance, prise dans un délai de 12 mois à compter de la publication de la présente loi, toute mesure afin de généraliser par étapes la prescription électronique (e-prescription) d’ici 2021, conformément à ce qui était prévu par la stratégie « Ma santé 2022« .

Ces ordonnances pourront également porter sur les « règles régissant les conditions de certification des logiciels d’aide à la prescription et à la dispensation, tout en assurant la sécurité et l’intégrité des données ».

Par ailleurs, la nouvelle loi de Santé rend obligatoire, à compter du 31 décembre 2021 au plus tard, la transmission des arrêts de travail de manière dématérialisée par l’intermédiaire d’un service mis à la disposition des professionnels de santé par les organismes d’assurance maladie, sauf exceptions.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Les méthodologies de référence pour la recherche en santé

méthodologies de référenceLes méthodologies de référence MR-001, -003, -004, -005 et -006 sont explicitées dans une publication de la Cnil.

Les nouvelles méthodologies de référence

Il s’agit des méthodologies de référence, adoptées cette année, relatives au traitement de données de santé dans le cadre de la recherche. Ces nouvelles méthodologies tendent à simplifier ces traitements pour encourager la recherche et l’innovation. Ces nouvelles méthodologies visent également à se mettre à jour du nouveau cadre juridique créé par le Règlement européen pour la protection des données personnelles (RGPD) et la nouvelle loi Informatique et libertés (2).

Les méthodologies de référence modifiées sont les suivantes :

  • la MR-001 qui concerne dorénavant les traitements de données personnelles effectués dans le cadre de recherches impliquant la personne humaine avec recueil du consentement obligatoire ;
  • la MR-003 qui concerne dorénavant les traitements de données personnelles effectués dans le cadre de recherches impliquant la personne humaine sans recueil du consentement obligatoire.

Les méthodologies de référence créées sont les suivantes :

  • la MR-004 qui concerne les traitements de données personnelles à des fins d’étude, d’évaluation ou de recherche n’impliquant pas la personne humaine ;
  • la MR-005 qui encadre l’accès par des établissements de santé et des fédérations hospitalières aux données du Programme de médicalisation des systèmes d’information (PMSI) et aux RPU (Résumé de passage aux urgences) mises à disposition sur la plateforme sécurisée de l’Agence technique de l’information sur l’hospitalisation (ATIH) pour réaliser des études ;
  • et enfin la MR-006 qui encadre l’accès par des industriels de santé aux données du Programme de médicalisation des systèmes d’information (PMSI) de l’Agence technique de l’information sur l’hospitalisation (ATIH) pour réaliser des études.

Les enjeux liés à ces nouvelles méthodologies de référence

En principe, les traitements de données à caractère personnel ayant pour finalité la recherche dans le domaine de la santé ne peuvent être réalisés qu’après autorisation de la Cnil. En revanche, la Cnil dispose de la possibilité de publier des méthodologies de référence (comme l’y autorise l’article 11, I, 2° a) bis de la loi Informatique et libertés).

L’intérêt d’une méthodologie de référence est de simplifier les formalités préalables pour les responsables de traitement. Ainsi, au lieu d’une demande d’autorisation auprès de la Cnil, les responsables de traitement concernés procèdent à une déclaration de conformité, au terme de laquelle ils s’engagent à se conformer en tous points avec cette dernière.

Il n’est d’ailleurs pas nécessaire de refaire une déclaration de conformité, si une demande a déjà été réalisée pour l’ancienne version, sous réserve d’être conforme au nouveau texte.

Dans l’hypothèse où le traitement ne répond pas en tous points aux dispositions de la nouvelle méthodologie de référence :

  • une demande d’autorisation auprès de la Cnil redevient nécessaire pour les recherches impliquant la personne humaine ;
  • le dépôt d’un dossier auprès de l’INDS (Institut National des Données de Santé) est nécessaire pour les recherches n’impliquant pas la personne humaine.

Il convient alors, pour les acteurs du milieu, de connaître les modifications et apports de ces nouvelles méthodologies, afin d’apprécier leur conformité.

Les principales modifications à retenir

Les changements principaux apportés par ces nouvelles méthodologies de référence peuvent être résumés par les points suivants :

  • Certaines modifications sont directement imposées par le RGPD pour les MR-001, 003 et 004, en particulier :
    • l’obligation pour le responsable de traitement de désigner un délégué à la protection des données (DPO) ;
    • l’information des personnes, dont le contenu doit être conforme aux dispositions de l’article 13 ou 14 du RGPD ;
    • l’exclusion du champ de la méthodologie de référence, lorsque l’analyse d’impact indique que le traitement présenterait, malgré les mesures prises en application de l’article 35 du RGPD pour atténuer le risque, un risque résiduel élevé pour les droits et libertés des personnes concernées ;
    • les dispositions relatives aux transferts des données hors Union européenne.
  • Il existe dorénavant un aménagement de l’information individuelle des personnes en cas de réutilisation de données (données déjà collectées pour une recherche antérieure ou au fil de l’eau, dans le cadre de la prise en charge du patient : MR-004) ou lorsque l’information délivrée lors de la collecte des données et/ou échantillons biologiques renvoie à un dispositif spécifique d’information, auquel les personnes concernées pourront se reporter avant la mise en œuvre de chaque futur traitement (par exemple : un site Internet).
  • Les méthodologies de référence incluent dorénavant la possibilité, pour le sous-traitant du responsable de traitement, de traiter des données directement identifiantes, sous certaines conditions et pour des missions précises (remboursement des frais, indemnités, suivi des personnes, livraison des produits). En revanche, le traitement de données directement identifiantes et de données de santé par le même sous-traitant reste exclu de la méthodologie de référence (à l’exception du nom de l’organisme responsable de traitement, quand bien même ce dernier pourrait révéler un domaine de santé).
  • Les méthodologies de référence incluent dorénavant le traitement du département de résidence (le traitement de la commune de résidence et les données de géocodage demeurent exclus).
  • Il est maintenant possible de communiquer des données à des experts ou chercheurs indépendants chargés de ré-analyser les données, à condition de limiter la communication à de la simple consultation (par un procédé technique empêchant toute extraction de données).
  • Les méthodologies de référence incluent dorénavant de nouveaux types de recherches, notamment les recherches à risques et contraintes minimes, pour lesquelles l’information peut être collective en fonction des exigences méthodologiques de la recherche et sous réserve d’un avis favorable du Comité de protection des personnes (CPP) (article L. 1122-1-4 du code de la santé publique) (MR-003).
  • Il existe dorénavant une dérogation au principe du consentement écrit (MR-003 & MR-004) lors d’un examen des caractéristiques génétiques lorsque, conformément à l’article L. 1131-1-1 du CSP, il s’agit d’une recherche scientifique réalisée à partir d’éléments du corps d’une personne prélevés à l’origine d’autres fins que la recherche, à condition que la personne soit dûment informée et puisse exercer un droit d’opposition. En revanche, dans l’hypothèse où l’information des personnes n’est pas possible et que le traitement requiert alors l’avis du CPP (tel que prévue à l’article L. 1131-1-1 du CSP), la méthodologie de référence ne s’applique plus et une demande d’autorisation auprès de la Cnil redevient nécessaire.

Ces modifications sont présentées sur le site de la Cnil (3) et l’ensemble des méthodologies de référence dans leurs intégralités sont également disponibles en ligne. Il convient de s’y reporter avant d’effectuer une déclaration de conformité.

Enfin, une nouvelle version de la MR-002 qui concerne les études non interventionnelles de performances de dispositifs médicaux de diagnostic in vitro, est attendue pour la fin de l’année 2018.

Marguerite Brac de La Perrière
Amélie Salvat
Lexing Droit de la santé

(1) Cnil, Publication du 16 juillet 2018.
(2) Loi n°78-17 du 6 janvier 1978 modifiée par loi n°2018-493 du 20 juin 2018.
(3) Cnil, seconde publication du 16 juillet 2018.




Health Data Hub : la nouvelle plateforme de données de santé

Health Data Hub

Le déploiement d’une première version de la plateforme Health Data Hub est attendu pour la fin de l’année 2019.

C’est ce qu’annonce le rapport «Health Data Hub – mission de préfiguration» (1), commandé par Agnès Buzyn, ministre des Solidarités et de la Santé, rendu public le 12 octobre dernier.

Accès aux données de santé : état des lieux

Le Président de la République avait annoncé la création du «Health Data Hub» suite à la publication du rapport Villani (2).

Ce rapport sur le développement de l’intelligence artificielle en France, publié le 28 mars 2018, présentait la santé comme l’un des secteurs à prioriser.

A ce jour, la France dispose d’ores et déjà d’un système de mutualisation et d’accès aux données de santé unique au monde : le Système national des données de santé (SNDS).

Créé par la loi de modernisation de notre système de santé, le SNDS regroupe les bases de données suivantes :

  • système national d’information inter-régimes d’assurance maladie (SNIIRAM) concernant les données de l’assurance maladie ;
  • programme de médicalisation des systèmes d’information (PMSI) concernant les données issues de l’activité des établissements de santé ;
  • centre d’épidémiologie sur les causes médicales de décès (CepiDC) ;
  • base concernant les données liées aux handicaps issues des maisons départementales des personnes handicapées ;
  • base concernant les données provenant des complémentaires-santé.

Innovation incontestable pour la recherche dans le domaine de la santé, le SNDS semble insuffisant pour placer la France en tête des innovateurs en santé numérique, ambition poursuivie par la ministre de la Santé qui a exprimé vouloir :

faire de la France un leader dans l’utilisation des données de santé au service du bien commun. (3)

Le Health Data Hub vise à inclure les données du SNDS et les élargir à d’autres, mais surtout à faciliter leur dépôt, accès et exploitation.

La donnée : un préalable nécessaire au développement de l’intelligence artificielle en santé

On remarque une forte accélération du développement de l’intelligence artificielle dans le secteur de la santé.

De nombreux programmes sont déployés, notamment :

  • en médecine préventive ;
  • dans le domaine des prothèses ;
  • en radiologie avec des outils d’aide au diagnostic ;
  • en télé-suivi personnalisé et contrôle d’observance.

C’est dans ce cadre qu’intervient la création du Health Data Hub. La donnée et l’intelligence artificielle sont intrinsèquement liées. Une mutualisation et une nouvelle organisation de l’accès aux données de santé est un prérequis nécessaire à l’expansion de l’intelligence artificielle.

Health Data Hub : création d’un guichet unique d’accès aux données de santé

L’accès aux données est le cœur du projet. L’objectif du Health Data Hub est de créer un guichet unique centralisant les données provenant d’une multitude de sources : le SNDS, les dossiers patients des centres hospitaliers, la médecine de ville et les patients eux-mêmes.

Les catégories de destinataires de ces données sont également élargies. Il s’agira des professionnels de santé publics ou privés, mais aussi des acteurs économiques du secteur et enfin directement des citoyens.

Le Health Data Hub bénéficiera :

  • à la recherche médicale ;
  • aux professionnels de santé (aide aux au diagnostic, automatisation des tâches administrative, etc.) ;
  • à l’élaboration des politiques publiques (prise de décision intelligente, meilleure organisation des établissements de santé et de l’allocation des ressources) ;
  • aux patients (meilleurs statistiques, collecte de données de vie réelle, conseils personnalisés et médecine préventive).

Dans ce cadre, une des ambitions principales du Data Health Hub est la création d’un patrimoine interactif de données de santé. Parmi les lacunes et critiques du système actuel soulevées par le rapport, on note en particulier :

  • l’éclatement des bases de données (manque de visibilité de l’ensemble des bases aux conditions d’accès complexes et différentes) ;
  • la «méconnaissance d’ensemble du cadre réglementaire et juridique, en évolution rapide».

Health Data Hub : tiers de confiance

Le Health Data Hub se veut être l’instrument de l’Etat pour répondre aux objectifs et défier les lacunes susmentionnées en jouant le rôle de tiers de confiance :

En tant que tiers de confiance, il facilitera le partage en mettant en relation les producteurs et les utilisateurs publics comme privés selon un processus standardisé, lisible et non discrétionnaire (4).

La plateforme facilitera ainsi, d’une part, le dépôt et la mise à jour des données de santé, et d’autre part, leur exploitation en proposant notamment une offre de service variée, le tout encadré par une gouvernance innovante et transparente de la donnée.

L’offre de service envisagée inclut, entre autres :

  • la mise à disposition des données ;
  • la mise à disposition de briques documentaires ou techniques clés en main ;
  • l’accompagnement à la valorisation de la donnée (catalogue de formations thématiques liées à la valorisation de la donnée, par exemple) ;
  • l’accompagnement de projets innovants sélectionnés.

Health Data Hub : un projet ambitieux

Une première version est attendue pour juin 2018, ce qui laisse peu de temps pour un projet de cette envergure. Ce projet illustre l’importance de deux grandes tendances actuelles :

  • le partage de la donnée comme atout économique (valorisation) et pour l’intérêt général (porté initialement par l’open data) ;
  • l’essor de l’intelligence artificielle en médecine, afin de développer la médecine préventive, en temps réel, et plus généralement l’ensemble des dispositifs médicaux de prévention ou de traitement.

Le partage des données suppose une gouvernance précise des données (modalités de dépôt, d’accès et d’exploitation ultérieure).

Surtout, cette plateforme, de part la multitude et la diversité des utilisateurs et surtout de part le contenu potentiellement sensible des données, doit garantir une protection de la vie privée des citoyens.

Ainsi, le Health Data Hub devra veiller, par le biais de moyens techniques et organisationnels conformes à l’état de l’art, à respecter :

  • les obligations relatives à l’hébergement des données de santé ;
  • le référentiel de sécurité du SNDS ;
  • les règles éthiques du secteur ;
  • plus généralement et en particulier, la nouvelle réglementation sur la protection des données à caractère personnel portée par le règlement européen en vigueur depuis le 25 mai 2018.

La compréhension de l’ensemble du cadre réglementaire et juridique est donc nécessaire.

Cela suppose aussi une très grande transparence (formation des utilisateurs, accompagnement par des experts, accès à des ressources documentaires claires, complètes et spécifiques aux enjeux en l’espèce).

Quant au modèle économique, il doit encore être défini. Le rapport évoque la possibilité d’un accès payant aux acteurs privés sous la forme d’un abonnement fixe et d’une part variable associée à l’usage.

Marguerite Brac de La Perrière
Amélie Salvat
Lexing Droit de la santé

(1) Mission de préfiguration du « Health Data Hub », Rapport remis à Agnès Buzyn, Ministre des Solidarités et de la Santé, le 12 octobre 2018.
(2) Rapport « Donner un sens à l’intelligence artificielle », rédigé par Cédric Villani, rendu public le 28 mars 2018.
(3) Ministère des solidarités et de la Santé, Communiqué de Presse du 12 octobre 2018.
(4) Mission de préfiguration du « Health Data Hub », Rapport remis à Agnès Buzyn, Ministre des Solidarités et de la Santé, le 12 octobre 2018, page 4.




Le respect des données personnelles médicales à l’heure du RGPD

respect des données personnelles médicalesMarguerite Brac de La Perrière fait le point sur le respect des données personnelles médicales à l’heure du RGPD pour le magazine de l’ACMF, Association confraternelle au service des Professionnels de Santé.

A la fois facilitateur et conciergerie mutualisée, l’ACMF est une association créée et administrée par et pour des professionnels de santé.

Pour les hôpitaux, les cliniques, les assureurs, les éditeurs de logiciels, les médecins eux-mêmes, la rentrée 2018 est placée sous le signe du RGPD et de la protection des données à caractère personnel.

Morceaux choisis de l’interview qu’a accordée à « ACMF Le Mag » Marguerite Brac de La Perrière, directrice du département Droit de la santé numérique au sein du cabinet Lexing Alain Bensoussan Avocats .

Quelles sont les nouvelles obligations légales des professionnels de santé ?

les professionnels de santé doivent s’assurer qu’ils ne collectent et traitent que les données strictement nécessaires à la prise en charge des patients ou à la finalité poursuivie, tenir un registre des traitements de données à caractère personnel qu’ils réalisent décrivant leurs caractéristiques, mettre en place et en œuvre une politique de suppression des données au-delà de la durée de conservation préconisée pour chaque traitement, ainsi que les mesures de sécurité appropriées et veiller, notamment au moyen des contrats, à ce que ses sous-traitants s’engagent à respecter l’état de l’art en la matière, informer les patients des traitements réalisés et de leurs droits et organiser le respect de ces droits.

Comment identifier les risques en cas de non-respect des données personnelles médicales ?

Il faut tenir compte de la typologie de chaque donnée traitée et de la finalité ou des finalités poursuivies. L’une des questions qui se posera sera la proportionnalité du traitement de chacune de ces données au regard de la finalité poursuivie. S’agissant des mesures de sécurité, elles devront être conformes à l’état de l’art et figurer explicitement au contrat liant le professionnel de santé à l’éditeur parmi les clauses obligatoires.

Qu’en est-il du développement de la télémédecine ?

Le cadre légal et réglementaire est désormais complet pour entériner le déploiement de la téléconsultation et la télé-expertise prises en charge par l’assurance maladie en France, et ce, depuis le 15 septembre. Dans le cadre de la télémédecine, les professionnels de santé doivent recourir à des systèmes de visioconférence professionnels et sécurisés, ou à des plateformes leur permettant en particulier de s’authentifier, et de réaliser des visioconférences, le tout de manière sécurisée. En tout état de cause, il appartient au médecin de s’assurer que le prestataire met bien en œuvre des mesures de sécurité appropriées.

La pratique médicale elle-même en sera-t-elle bouleversée ?

Il s’agit d’une évolution plutôt que d’une révolution du traitement et du respect des données personnelles médicales, dans la mesure où notre Loi Informatique et libertés française, datant de 1978, posait déjà les mêmes principes fondamentaux. Toutefois, en lieu et place des formalités préalables auprès de la Cnil, il appartient désormais à tous les acteurs qui traitent des données à caractère personnel de se responsabiliser à l’égard de ces traitements, de déterminer les mesures techniques et organisationnelles à mettre en œuvre, en fonction de la sensibilité des traitements, des données, de l’état de l’art…

Un nouvel arsenal législatif et règlementaire en vue ?

On ne peut pas comparer les modèles de santé américain et européen. La logique n’est pas la même, les Américains doivent payer pour être soignés, tandis qu’en Europe et en particulier en France, nous sommes encore sur un modèle de prise en charge collective. Dans ce contexte, les patients français sont moins intransigeants et procéduriers que les patients d’un système de santé privé.

Consultez l’intégralité de l’interview.

Eric Bonnet
Directeur du département Communication juridique

(1) « Le respect des données à caractère personnel, véritable contrat de confiance entre le monde médical et les patients ! », ACMF le Mag, sept-oct. 2018, n°544 p. 43, propos recueillis par D. Deveaux.




Classements Décideurs 2018 : Alain Bensoussan Avocats à l’honneur

Décideurs 2018Lexing Alain Bensoussan Avocats est incontournable dans les catégories Technologies, Internet & Télécommunications ainsi qu’en Santé électronique.

Comme chaque année, le Magazine Décideurs (groupe Leaders League) publie ses classements consacrés aux meilleurs cabinets d’avocats.

Nous sommes fiers d’annoncer que cette année encore, dans la catégorie Technologies, Internet & Télécommunications, le cabinet Lexing Alain Bensoussan Avocats est classé « Incontournable » :

  • en droit de l’internet ;
  • en droit des données personnelles ;
  • en droit de l’informatique.

Le cabinet est également classé incontournable, dans la catégorie Santé, Pharma & Biotechnologies, en Santé électronique.

Voici le détail des classements :

Décideurs 2018 : Droit de l’Internet

Leading partner : Alain Bensoussan
Décideurs 2018

Décideurs 2018 : Droit des données personnelles

Leading partner : Alain Bensoussan
Décideurs 2018

Décideurs 2018 : Droit de l’informatique

Leading partners : Alain Bensoussan, Jean-François Forgeron, Frédéric Forster et Benoit de Roquefeuil
Décideurs 2018

Décideurs 2018 : Santé électronique

Leading partners : Marguerite Brac de la Perrière et Alain Bensoussan

Cette nouvelle reconnaissance du cabinet fait suite à la désignation, au mois d’avril, comme « Top Tier Firm », du cabinet dans le cadre de l’édition 2018 de Legal 500 dans la catégorie IT, telecoms and the internet, et d’Alain Bensoussan comme « leading individual lawyer » dans la même catégorie.

Eric Bonnet
Directeur de la Communication juridique




Fournisseurs de service numérique dans le secteur de la santé

Fournisseurs de service numérique dans le secteur de la santé

L’arrêté du 13 juin 2018 relatif aux déclarations des OSE et FSN complète le dispositif applicable aux OSE et aux FSN.

L’arrêté du 13 juin 2018 vient compléter le dispositif applicable aux OSE et FSN posé par la loi de transposition de la directive Network and Information Security ainsi que son décret d’application relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

Ces dispositions concernent notamment plusieurs acteurs du secteur de la santé et, par exemple, les établissements de soins qui seront désignés OSE mais également certains hébergeurs de données de santé qui proposent des services cloud et seront qualifiés de FSN, sous les conditions exposées ci-après.

Transposition de la directive NIS

La directive Network and Information Security (NIS) adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Union européenne a été transposée en droit français par la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1). Elle a pour objectif de renforcer les capacités nationales en matière de cybersécurité afin d’améliorer le fonctionnement du marché intérieur.

Conformément à la directive NIS, d’une part, et à sa loi de transposition, d’autre part, les obligations issues de ces textes concernent notamment :

  • les opérateurs de services essentiels qu’ils soient publics ou privées (les OSE) ;
  • les fournisseurs de service numérique (les FSN).

Fournisseurs de service numérique dans le secteur de santé

Notion de FSN dans le secteur santé

Certains hébergeurs de données de santé pourront être concernés par les obligations mises à la charge des FSN.

Conformément à l’article 10 de la loi de transposition, les FSN sont définis comme toute personne morale qui fournit l’un des services suivants (2) :

a) Place de marché en ligne […] ;
b) Moteurs de recherche en ligne […] ;
c) Service d’informatique en nuage à savoir un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

Ainsi, ces dispositions peuvent concerner certains hébergeurs de données de santé qui proposent des services cloud. Toutefois, les « entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros » ne sont pas concernées par les règles encadrant les FSN (3).

La réglementation spécifique aux FSN doit donc être appliquée dès lors que l’une des conditions est remplie :

  • le nombre d’employés de l’hébergeur de données de santé est supérieur ou égal à 50 ;
  • le chiffre d’affaires annuel de l’hébergeur de données de santé est supérieur à 10 millions d’euros.

Absence de désignation

L’Anssi a élaboré une foire aux questions concernant les FSN au sein de laquelle elle précise que, contrairement à la désignation des OSE, « les FSN ne sont pas désignés par l’autorité administrative et donc appliquent directement les dispositions de transposition de la directive dès leur entrée en vigueur » (4).

Obligations des FSN dans le secteur de la santé

Les hébergeurs de données de santé FSN sont tenus d’identifier les risques qui menacent la sécurité des réseaux et des systèmes d’information nécessaires à la fourniture du service cloud. Pour ces hébergeurs, les obligations se composent des volets suivants :

  • identification des réseaux et systèmes d’information nécessaires à la fourniture du service cloud, étant précisé que l’hébergeur établit et tient à jour une liste des réseaux et systèmes d’information concernés (5) ;
  • adoption « des mesures techniques et organisationnelles nécessaires et proportionnées pour éviter les incidents de nature à porter atteinte à ces réseaux et systèmes d’information ainsi que pour en réduire au minimum l’impact de manière à garantir la continuité de leurs services » (6) ;
  • déclaration des incidents ayant un impact significatif sur la fourniture des services cloud (4) :
    • la déclaration est réalisée sans préjudice de toute autre formalité déclarative à la charge de l’hébergeur FSN. Par exemple, lorsqu’il est sous-traitant au sens de la réglementation sur la protection des données, il reste tenu de notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, conformément à l’article 33, 2° du RGPD ;
    • la déclaration est réalisée en utilisant le formulaire disponible sur le site internet de l’Anssi, dans lequel l’hébergeur FSN mentionne notamment : des informations sur le déclarant, le réseau et le système d’information affecté par l’incident, les conséquences de l’incident sur les services essentiels concernés, le type d’incident, les causes, les mesures prises permettant d’y répondre ;
    • le formulaire est transmis par voie électronique ou postale.
  • se soumettre à des contrôles de l’Anssi destinés à vérifier le respect de ces obligations et le niveau de sécurité des réseaux et des systèmes d’information nécessaires à la fourniture du service de cloud (6).

Sanctions des FSN

L’article 15 de la loi prévoit les sanctions encourues en cas de non-respect des obligations par les FSN. Ainsi, la loi prévoit que le fait pour les dirigeants des FSN de ne pas se conformer aux règles de sécurité à l’issue du délai fixé par mise en demeure est puni de 75 000 € d’amende. Est également puni de 50 000 € d’amende le fait, pour les dirigeants des FSN, de ne pas satisfaire à l’obligation de déclaration d’incident. Enfin, est puni de 100 000 € d’amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle de l’Anssi.

Marguerite Brac de la Perrière
Chloé Gaveau
Département Santé numérique

(1) Loi 2018-133 du 26-2-2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité
(2) Loi 2018-133 du 26-2-2018, art. 10
(3) Loi 2018-133 du 26-2-2018, art. 11
(4) ANSSI, FAQ – Fournisseurs de services numériques (FSN)
(5) Décret 2018-384 du 23-3-2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN, art. 17
(6) Loi 2018-133 du 26-2-2018, art. 12




Opérateurs de services essentiels dans le secteur de la santé

opérateurs de services essentielsL’arrêté du 13 juin 2018 vient compléter le dispositif applicable aux OSE et FSN posé par la loi de transposition de la directive Network and Information Security ainsi que son décret d’application relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

Ces dispositions concernent notamment plusieurs acteurs du secteur de la santé et, par exemple, les établissements de soins qui seront désignés OSE ainsi que certains hébergeurs de données de santé qui proposent des services cloud.

1. Transposition de la directive NIS

La directive Network and Information Security (NIS) adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Union européenne a été transposée en droit français par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1). Elle a pour objectif de renforcer les capacités nationales en matière de cybersécurité afin d’améliorer le fonctionnement du marché intérieur.

Conformément à la directive NIS, d’une part, et à sa loi de transposition, d’autre part, les obligations issues de ces textes concernent notamment :

  • les opérateurs de service essentiel qu’ils soient publics ou privées (les OSE) ;
  • les fournisseurs de services numériques (les FSN).

2. Opérateurs de service essentiels dans le secteur de la santé

2.1. Définition des opérateurs de services essentiels

Les OSE sont des «opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services» (Loi n° 2018-133 art. 5).

En application de l’article 5 de la loi, «ces opérateurs sont désignés par le Premier ministre. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ans».

Ainsi, les structures de santé ne peuvent être concernées par ces textes que si elles sont désignées par le Premier ministre en tant qu’OSE.

A noter que cette définition est similaire à celle des opérateurs d’Importance vitale dont la notion figure déjà aux articles L. 1332-1 et L. 1332-2 du Code de la défense qui sont exclus des OSE, conformément à l’article 5 de la loi susvisée, pour les systèmes d’information visés par cette réglementation.

2.2 Désignation des opérateurs de services essentiels dans le secteur de la santé

Peuvent être désignés OSE les opérateurs fournissant un des services :

  • mentionnés à l’annexe du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et FSN (2). Dans le secteur de la santé, différents sous-secteurs sont visés :
    • les établissements de soins de santé (y compris les hôpitaux et les cliniques privées) : ce sous-secteur concerne les prestataires de soins de santé et les prestataires fournissant un service d’aide médicale d’urgence ;
    • les produits pharmaceutiques : la distribution pharmaceutique par les grossistes répartiteurs pharmaceutiques ;
    • les mutuelles sont également visées pour les services d’assurance vie, d’assurance non-vie et de réassurance.
  • dont la fourniture requiert des réseaux et systèmes d’information et qu’un incident affectant ces réseaux et systèmes aurait sur la fourniture du service, des conséquences graves, appréciées au regard de différents critères (nombre d’utilisateurs dépendant du service, dépendance des autres secteurs d’activité mentionnés à l’annexe du décret, conséquence de l’incident en termes de gravité et de durée, sur le fonctionnement de l’économie ou de la société ou sur la sécurité juridique, etc.).

Sur la base de ces critères, l’Agence nationale de la sécurité des systèmes d’information (Anssi) précise dans sa FAQ (3) qu’elle proposera au Premier ministre, en coordination avec les ministères compétents, une liste d’OSE potentiels et poursuit en indiquant les étapes du processus de désignation des OSE. Par exemple, pour un établissement de santé :

  • une lettre d’intention de désignation est adressée à l’établissement de santé pressenti OSE ;
  • l’établissement de santé pressenti OSE peut émettre des réserves ;
  • le Premier ministre prend ou non la décision de désigner l’établissement de santé comme OSE, par arrêté.

2.3 Obligations des opérateurs de services essentiels dans le secteur de la santé

Lorsqu’ils sont désignés OSE, ces opérateurs sont tenus de respecter les obligations suivantes :

  • désigner une personne chargée de le représenter auprès de l’Anssi et communiquer ses coordonnées dans un délai de deux mois à compter de la date d’effet de l’arrêté de désignation (Loi n° 2018-133 art. 5) ;
  • déclarer les réseaux et systèmes d’information considérés comme essentiels dans un délai de trois mois à compter de la date d’effet de l’arrêté de désignation, c’est-à-dire nécessaires à la fourniture des services essentiels mentionnés ci-dessus, y compris les réseaux et systèmes d’information dont l’exploitation a été confiée à un tiers. Les modalités des déclarations sont prévues par un arrêté du 13 juin 2018 (4), lequel prévoit que :
    • la communication des réseaux et systèmes d’information est accompagnée, pour chaque réseau et système d’information, d’un formulaire complété, disponible sur le site de l’Anssi ;
    • l’OSE communique une fois par an à l’Anssi la liste et les formulaires mis à jour.
  • appliquer à leurs frais les règles de sécurité nécessaires à la protection des réseaux et des SI fixées par arrêté du Premier ministre dans les domaines suivants : gouvernance de la sécurité des réseaux et des SI, protection des réseaux et des SI, défense des réseaux et des SI, résilience des activités (décret n° 2018-384, art. 10) ;
  • déclarer, sans délai après en avoir pris connaissance, à l’Anssi, «les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services» (arrêté du 13-6-2018, art. 3) :
    • après consultation de l’OSE, l’Anssi peut informer le public d’un incident ;
    • la déclaration est réalisée sans préjudice de toute autre formalité déclarative à la charge de l’OSE. Par exemple, concernant un établissement de santé désigné OSE, il sera également tenu de signaler à l’ARS tout incident grave de sécurité des systèmes d’information de santé et à la Cnil toute violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes physiques comme nous l’avions présenté dans un précédent article ;
    • la déclaration est réalisée en utilisant le formulaire disponible sur le site internet de l’Anssi, dans lequel l’OSE mentionne notamment : des informations sur le déclarant, le réseau et le système d’information affecté par l’incident, les conséquences de l’incident sur les services essentiels concernés, le type d’incident, les causes, les mesures prises par l’OSE permettant d’y répondre ;
    • l’OSE doit transmettre le formulaire par voie électronique ou postale dès qu’il a connaissance d’un incident, y compris s’il ne dispose pas de toutes les informations requises. Dans cette dernière hypothèse, il complète le formulaire dès qu’il connait ces informations.
  • se soumettre à des contrôles de l’Anssi destinés à vérifier le respect de ces obligations et le niveau de sécurité des réseaux et des systèmes d’information de santé nécessaire à la fourniture des services essentiels (décret n° 2018-384, art. 13 et suivants).

2.4 Sanctions des opérateurs de services essentiels

L’article 9 de la loi prévoit les sanctions encourues en cas de non-respect des obligations par les OSE. Ainsi, la loi prévoit que le fait pour les dirigeants des OSE de ne pas se conformer aux règles de sécurité à l’issue du délai fixé par mise en demeure est puni de 100 000 € d’amende.

Est également puni de 75 000 € d’amende le fait, pour les dirigeants des OSE de ne pas satisfaire à l’obligation de déclaration d’incident. Enfin, est puni de 125 000 € d’amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle de l’Anssi.

Marguerite Brac de la Perrière
Chloé Gaveau
Département Santé numérique

(1) Loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
(2) Décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.
(3) Anssi, FAQ – Opérateurs de services essentiels (OSE).
(4) Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.




Données de santé : le cabinet au programme de l’ UTT de Troyes

Marguerite Brac de La Perrière

Marguerite Brac de La Perrière interviendra à la rentrée dans le cadre du DU Données de santé de l’UTT de Troyes.

Marguerite Brac de La Perrière, Directrice du département Santé numérique au cabinet Lexing Alain Bensoussan Avocats, figure parmi les enseignants du Diplôme d’Université Gouvernance, Protection et Exploitation des Données de Santé de l’Université de Technologie de Troyes, (UTT).

DU – UTT : Protection et Exploitation des Données de Santé

L’objectif de ce DU : porter des projets ayant comme objet des données de santé, dans le respect de la réglementation sur la protection des données à caractère personnel (RGPD) et dans l’identification des solutions techniques adaptées à la fusion et au traitement des données.

La technologie numérique, source de données qui alimente en continu des masses considérables d’informations essentielles à de nombreuses activités de notre société, se développe à un rythme sans précédent.

Loi Jardé, réglementation européenne, hébergement des données de santé (HDS), confidentialité et intégrité des données personnelles et médicales, protection contre le piratage et l’intrusion informatique, propriété intellectuelle d’un nouveau concept / produit : autant de contraintes à intégrer dans le déploiement de ces nouvelles technologies appliquées au domaine de la Santé.

Ces nouvelles technologies renvoient également à la problématique de collecte et de l’exploitation des données.

Le Diplôme d’Université «Gouvernance, protection et exploitation des données de santé» de l’ UTT répond à ces enjeux et problématiques : il vise à former des collaborateurs aptes à porter le déploiement de projets ayant comme objet des données de santé, dans le respect de la réglementation sur la protection des données à caractère personnel (RGPD) et dans l’identification des solutions techniques adaptées à la fusion et au traitement des données.

Public visé par l’ UTT

  • Ingénieur TIC  auprès des gestionnaires d’EHPAD, Maisons de retraite, SSR…
  • Ingénieur spécialisé dans les technologies en lien aux personnes âgées, malades oudépendantes
  • Expert et décideur techniques auprès départements (chargés de l’Aide Personnalisée à l’Autonomie et pilotant la conférence des financeurs), Collectivités locales et territoriales, des CCAS (Centres Communaux d’Action Sociale), DDASS, DRASS, SSIAD
  • Expert «e-santé» auprès des Agences Régionales de Santé (ARS) (en particulier les directions de l’offre médico-sociale) ou organismes de services à la personne ou organismes de protection sociale
  • Ingénieur expert «e-santé» auprès des mutuelles, caisses de retraite et solidarité opérateurs de l’habitat (en particulier les bailleurs sociaux), …
  • Ingénieur TIC pour les plateformes de téléassistance et téléservices
  • Cadres hospitaliers ou maison d’accueil spécialisé (MAS) ou EHPAD
  • Cadres juridiques, de système d’information et de protection des données

UTT – La prochaine session démarre le 07 novembre 2018.

  • Le nombre d’heures d’enseignement est fixé à 70 heures en présentiel, soit 10 jours de formation.
  • La formation est dispensée en temps partagé (part-time), à raison de modules de 2/3 jours, tous les 15 jours.
  • Un jour supplémentaire est proposé sous forme d’atelier et d’accompagnement de projets applicatifs.
  • Le livrable de chaque projet applicatif sera un mémoire qui sera soutenu par le participant 3 semaines après les modules de formation.

UTT – Responsable(s) de la formation

  • Aly Chkeir

Lieux

  • La formation se déroulera sur Paris au sein de l’Espace Cléry (17 rue de Cléry, Paris 2ème).

Eric Bonnet
Directeur de la communication juridique




Le Big Bang des robots… de santé : la personnalité robot

Big Bang de la santéAlain Bensoussan était invité du Big Bang Santé organisé par le Figaro, le 26 octobre 2017. 

Pourquoi les robots sont des personnes

Alain Bensoussan explique, pour le Big Bang Santé du Figaro, que les robots doivent, aujourd’hui, avoir un cadre juridique et la notion de « personne » est la meilleure pour qualifier les robots : il y a les personnes physiques mais aussi les personnes morales alors, pouquoi pas, les personnes robots.

Des personnes robots qui auraient des droits et des obligations bien spécifiques liés à la responsabilité, à la dignité, à la tracabilité ou à la décision en dernier ressort.

Big bang de la santé

Il s’agit là d’un concept, d’un vecteur : « Tous les humains sont des personnes, toutes les personnes ne sont pas forcément des humains ».

Les robots ont une intelligence artificielle qui les rend dominants mais seulement dans leur domaine de compétence donc « les robots ne sont pas des objets-plus, ni des humains-moins », ils n’ont même pas la sensibilité d’un animal et, bien qu’ils aient une certaine capacité d’apprentissage et d’adaptation comme les enfants, ils n’ont pas de conscience.

Une personnalité juridique pour une responsabilité juridique

Dans le domaine de la santé, comme ailleurs, un robot contrôlé, dirigé, supervisé est une simple machine. Mais s’il est autonome, libre, si après avoir appris, compris et mémorisé, le robot acquiert une véritable expérience grâce à ses capteurs alors il peut, grâce à cela, avoir un comportement complètement différent d’un autre robot ayant la même configuration initale.

Big Bang de la santé

Cette spécialité professionnelle liée à une absence de sensibilité, d’implication, de « vie personnelle » qui leur donnent neutralité et objectivité, leur permet d’avoir une technicité, des diagnostics, des protocoles beaucoup plus efficients que les médecins humains mais dans un domaine d’action bien plus restreint.

Ces robots, compte tenu de leur autonomie, de leur indépendance, de leur liberté, doivent être soumis à une responsabilité forcément différente des humains mais aussi des machines.

Eric Bonnet
Directeur du Département Communication juridique




Incidents de sécurité des systèmes d’information de santé

systèmes d’information de santéLes obligations de signalement des incidents de sécurité des systèmes d’information de santé se multiplient. A compter du 25 mai 2018, de nouvelles obligations de notification des violations de données à caractère personnel entreront en application (1). Celles-ci s’ajouteront aux obligations de signalement déjà mises en place concernant les failles de sécurité des systèmes d’informations de santé.

Signalement à l’ARS

Depuis le 1er octobre 2017, les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins ont l’obligation de signaler à l’Agence régionale de santé (ARS) les incidents graves de sécurité des systèmes d’information, à charge pour l’ARS de transmettre le signalement des incidents jugés significations à l’Agence des Systèmes d’Information Partagé de Santé (ASIP Santé).

Issue de la loi de modernisation de notre système de santé (2) et précisée par un décret du 12 septembre 2016 (3), cette obligation avait fait l’objet d’un précédent article.

Plus récemment, une instruction du ministère des solidarités et de la santé (4) a précisé le rôle des ARS dans la mise en œuvre du dispositif de déclaration obligatoire et de traitement des signalements des incidents graves de sécurité des systèmes d’information des structures de santé.

Conditions de signalement à l’ARS

L’instruction rappelle que le signalement des incidents de sécurité est obligatoire et doit être effectué, par le directeur de la structure, par le biais du portail concernant le signalement des évènements sanitaires indésirables figurant à l’adresse : http://signalement.social-sante.gouv.fr.

Le signalement est effectué sans délai après son observation.

A cet égard, seuls les incidents graves de sécurité des systèmes d’information de santé doivent être signalés, c’est-à-dire :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • ceux ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  • ou encore, ceux portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.

L’instruction précise également que, lorsque le déclarant considère avoir besoin d’une aide spécifique pour gérer l’incident dans de brefs délai, il en informe le Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) à l’adresse ssi@sg.social.gouv.fr , en parallèle du signalement qu’il a réalisé par le biais du portail.

Traitement des signalements par les ARS

Le signalement poursuit un objectif double de suivi des incidents et d’aide aux structures concernées à prendre des mesures de sécurité utiles.

Une Cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) a été mise en place pour le traitement des signalements. Ce traitement consiste à accompagner la structure déclarante afin de répondre à l’incident concernant les systèmes d’information de santé.

Ainsi, après avoir qualifié le signalement et définit la criticité de l’incident, le rôle de la cellule ACSS consiste à proposer à la structure des actions concrètes afin de stopper la progression de l’incident et de protéger les systèmes d’information de santé.

Dans le cadre de ses missions, la cellule ACSS peut solliciter les éditeurs de logiciels participant à la prise en charge du patient ainsi que les hébergeurs de données de santé et les prestataires de services assurant la protection des données ou des systèmes d’information de santé en tant qu’acteur participant au traitement des incidents de sécurité.

En présence d’un incident significatif, le traitement de l’incident de sécurité est piloté par le FSSI ou le Haut Fonctionnaire de Défense et de Sécurité (HFDS).

Signalement des incidents de sécurité à l’Anssi

A cette obligation de signalement des incidents de sécurité des systèmes d’information de santé s’ajoutent plusieurs autres obligations de notification des incidents de sécurité auprès de l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi).

Conformément à l’article R. 1332-41-10 du Code de la défense, tout opérateur d’importance vitale (OIV) relevant du secteur « Produits de santé » déclare chaque incident affectant la sécurité ou le fonctionnement de son système d’information d’importance vitale auprès de l’ANSSI, dès que l’opérateur en a connaissance, par le biais d’un formulaire de déclaration disponible sur le site internet de l’agence (5) ;

Signalement des violations de données à la Cnil

A compter du 25 mai 2018, lorsque l’incident porte sur des traitements de données à caractère personnel, le responsable de traitement devra notifier à la Cnil la violation en question dans les meilleurs délais et, si possible, 72h au plus tard après en avoir pris connaissance.

Lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée, le responsable du traitement en informe ces derniers dans les meilleurs délais.

Au vu de ces multiples obligations de signalement et de notification mises à la charge des structures de santé, des procédures internes permettant de répondre à ces obligations doivent être développées dont :

  • procédure de signalement des incidents de sécurité du système d’information ;
  • procédure de violation des données à caractère personnel ;
  • registre des violations de données à caractère personnel.

Ces documents doivent permettre d’identifier :

  • le type d’incident de sécurité ;
  • les personnes et administrations à informer ;
  • les délais à respecter.

Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Santé numérique

(1) Règlement général sur la protection des données, art. 33 et 34.
(2) Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, art. 110
(3) Décret n° 2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d’information
(4) Instruction n° SG/SHFDS/FSSI/2017/281 du 26 septembre 2017 relative au rôle des ARS dans la mise en œuvre du dispositif de déclaration obligatoire et de traitement des signalement des incidents graves de sécurité des systèmes d’information des structures de santé
(5) Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Produits de santé » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense




Données de santé : les utilisateurs doivent en rester maîtres

Marguerite Brac de La PerrièreMarguerite Brac de la Perrière a été interviewée par Bruno Texier : Les utilisateurs doivent rester maîtres de leurs données, pour le magazine Archimag paru en octobre 2017 dans un numéro spécial.

 

 

Dossier « La fièvre des données de santé »

Jusqu’où la fièvre des données de santé va-t-elle monter ? Les géants du net et de l’intelligence artificielle manifestent une véritable boulimie à leur égard, tandis que de plus en plus de particuliers en recueillent et en diffusent quotidiennement. Mais avec quelle protection ? Il convient de s’interroger sur le statut des données de santé. En France, le Système national des données de santé offre un cadre et l’hébergement des données de santé est régulé. Du côté des établissements, les Groupements hospitaliers de territoire sont en mouvement. La mutualisation de leurs systèmes d’information touche bien sûr les données des patients. Pas question qu’il y ait une hémorragie.

Données de santé : les utilisateurs doivent rester maîtres de leurs données

C’est à l’occasion de la parution de l’ouvrage « Informatique, télécoms, internet » (éditions Francis Lefebvre, 2017) que Marguerite Brac de la Perrière, avocate et directrice du département Santé numérique au sein du cabinet Lexing Alain Bensoussan Avocats, a répondu à quelques questions :

  • Quelle est la législation actuelle en matière de protection des données personnelles à caractère médical ?
  • Le passage d’un agrément à une certification signifie-t-il des contraintes supplémentaires pour les acteurs de l’hébergement ?
  • Cette législation est-elle adaptée à la multiplication des objets connectés (montres, bracelets, balances, capteurs divers…) qui recueillent de nombreuses données sur les utilisateurs ?
  • Faut-il faire évoluer le droit ?

Marguerite Brac de la Perrière : « Les utilisateurs doivent rester maîtres de leurs données », Interview menée par Bruno Texier, Archimag n° 308 oct. 2017 p.15.




Hébergement et traitement illicite de données de santé

traitement illicite de données de santéUn médecin hospitalier est sanctionné pour avoir procédé à un traitement illicite de données de santé. Les décisions faisant application des règles relatives au traitement et à l’hébergement de données de santé sont suffisamment rares pour que le jugement rendu par le Tribunal de grande instance de Marseille le 7 juin 2017 (1) soit commenté.

Les faits de l’espèce

Dans cette affaire, un patient de l’Assistance publique – Hôpitaux de Marseille (ci-après, l’« AP-HM ») a déposé une plainte du chef de violation du secret professionnel à l’encontre de cet hôpital, expliquant qu’il avait pu retrouver sur internet, en tapant son nom et son prénom, ses données et notamment son numéro de sécurité sociale, ainsi que le dossier médical concernant la naissance de son fils. Il pouvait également accéder et modifier l’ensemble des dossiers médicaux présents sur cette plateforme internet, sans qu’aucune identification ou authentification ne lui soit demandée.

Après avoir requis la fermeture du site internet, l’AP-HM a également déposé plainte, après avoir identifié un praticien hospitalier comme étant responsable de la mise en place de la plateforme internet contenant des dossiers patients et une base épidémiologique. Cette plateforme avait été créée à l’initiative de ce praticien et permettait à son équipe, de suivre la prise en charge des patients.

Dans le cadre de l’enquête, il a été découvert que l’hébergeur de la base de données n’était pas agréé pour l’hébergement de données de santé et que l’identification et l’authentification à la base n’étaient pas sécurisées.

Les trois personnes suivantes ont été poursuivies :

  • le responsable de la Direction des Systèmes d’Information et de l’Organisation (DSIO) de l’AP-HM pour avoir procédé ou fait procéder à un traitement de données à caractère personnel sans prendre les mesures de sécurité nécessaires ;
  • le praticien à l’initiative du traitement, pour avoir procédé ou fait procéder à un traitement de données à caractère personnel sans autorisation de la Cnil ;
  • le gérant de la société ayant procédé à la création de la plateforme internet qui servait à la réalisation du traitement, d’une part, pour avoir procédé au traitement sans prendre les mesures de sécurité nécessaires et, d’autre part, pour avoir hébergé des données de santé à caractère personnel sans agrément ou choisi un hébergement non agréé.

Traitement illicite de données de santé

Le praticien a été condamné à une amende de cinq mille euros pour traitement de données à caractère personnel sans autorisation de la part de la Cnil.

En effet, certains traitements de données de santé à caractère personnel, visés à l’article 25 de la loi Informatique et libertés (L. 78-17), sont soumis à autorisation de la Cnil. Le montant de la sanction pour non-respect des obligations découlant de cette loi peut atteindre jusqu’à trois millions d’euros depuis la loi pour une République numérique (art. 65 qui a modifié l’art. 47 de la L. 78-17).

Il appartenait ainsi au praticien, en tant que responsable du traitement, d’effectuer cette demande d’autorisation, en particulier en ce qu’il avait été à l’initiative de la création de la plateforme, avait rédigé son cahier des charges technique et fait appel à un prestataire technique pour sa réalisation.

Quant aux deux autres personnes mises en cause, elles ont été relaxées dans la mesure où, d’une part, le DSIO n’avait pas participé au développement de la plateforme et, d’autre part, le gérant de la société ayant procédé à la création et à la mise en ligne de la plateforme sur internet n’avait pas la qualité de responsable du traitement.

L’AP-HM aurait pu être mise en cause si le praticien n’avait pas agi seul et que la plateforme avait été développée en partenariat avec l’AP-HM, par le biais, par exemple, de contributions humaines et financières.

Hébergement illégal de données de santé

Il est ensuite reproché au gérant de la société ayant conçu la plateforme et l’ayant mise en ligne de ne pas être agréé en tant qu’hébergeur de données de santé à caractère personnel ou de ne pas avoir choisi un hébergeur agréé pour l’hébergement de données de santé à caractère personnel.

En effet, en application du premier alinéa de l’article L. 1111-8 du Code de la santé publique :

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».

L’article L. 1115-1 du Code de la santé publique sanctionne tout hébergeur de données de santé n’ayant pas été agréé pour l’hébergement de données de santé à caractère personnel conformément à l’article L. 1111-8 précité.

Toutefois, le gérant est également relaxé de ce chef.

En effet, d’une part, il n’est pas l’hébergeur des données, celui-ci ayant seulement procédé à la création de la plateforme ainsi qu’à sa mise en ligne temporaire et, d’autre part, l’article L. 1115-1 précité ne sanctionne pas le fait d’avoir fait appel à un hébergeur tiers non agréé mais seulement le fait d’héberger des données de santé sans agrément.

Seul le véritable hébergeur de la plateforme internet, s’il avait été mis en cause dans cette affaire, aurait pu être condamné sur ce fondement.

Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Santé numérique

(1) TGI de Marseille, 6ème ch. corr., 7-6-2017.




Mise en place de la certification hébergeur de données de santé

Mise en place de la certification hébergeur de données de santé

Un premier projet de décret précise les modalités de mise en place de la certification hébergeur de données de santé.

Premier projet de décret

Ce texte pris en application de l’article L.1111-8 du Code de la santé publique, modifié par la loi de santé, a été notifié à la Commission européenne, conformément aux dispositions de la directive (UE) 2015/1535 « Services de la société de l’information », pour des règles techniques restreignant la fourniture de services.

Cette notification s’accompagne d’un court texte de motivation dans lequel il est rappelé :

  • « Cette certification est ainsi établie en vue de garantir aux personnes physiques le respect de leur vie privée et du secret médical. Elle est de nature à diminuer le risque de violation des données à caractère personnel en renforçant les conditions de leur hébergement. »

Mise en place de la certification hébergeur de données de santé

Le projet de décret modifie les articles R.1111-1 et suivants du Code de la santé publique. Outre le passage à la certification et l’uniformisation avec la nouvelle rédaction de l’article L.1111-8 du code précité, qu’apporte le projet de décret par rapport au régime en vigueur ?

Le premier apport de l’article 3 du projet de décret, spécifique à la certification, est la mention explicite de la qualité de responsable de traitement, au sens de la loi n°78-17 du 6 janvier 1978 des personnes à l’origine de la production ou du recueil de ces données. Celui-ci a expressément la responsabilité de vérifier si l’hébergeur est bien titulaire de la certification hébergeur de données de santé. La qualité de responsable de traitement n’était auparavant précisée que dans le FAQ de l’ASIP Santé.

Les activités assurées en tout ou partie par les hébergeurs sont désormais listées :

  • la mise à disposition et le maintien en condition opérationnelle :
    • des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
    • de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
    • de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
    • de la plateforme d’hébergement d’applications du système d’information ;
  • l’administration et l’exploitation du système d’information contenant les données de santé;
  • la sauvegarde des données de santé. »

Contenu du contrat d’hébergement

La liste des clauses obligatoires des contrats d’hébergement actuellement à l’article R.1111-13 du Code de la santé publique a été remaniée dans le cadre de la certification hébergeur de données de santé.

De nouvelles clauses ont été rendues obligatoires :

  • périmètre du certificat de conformité, ses dates de délivrance et de renouvellement ;
  • lieux d’hébergement ;
  • mesures mises en œuvre pour garantir le respect des droits des personnes concernées ;
  • mention du référent contractuel du client de l’hébergeur pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
  • mention de l’interdiction pour l’hébergeur d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • engagement de l‘hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.

D’autres clauses obligatoires ont été complétées ou simplifiées (les apports sont soulignés), en conformité avec les bonnes pratiques en vigueur, telles qu’exigées par le Comité d’agrément jusqu’à présent :

  • description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données hébergées ;
  • mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l’existence ou l’absence de pénalités applicables au non-respect de ceux-ci ;
  • modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées (simplification) ;
  • obligations de l’hébergeur à l’égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;
  • information sur les garanties et les procédures mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
  • présentation des prestations à la fin de l’hébergement, notamment en cas de  perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d’hébergement de données de santé.

La clause sur le recours à des prestataires techniques externes est inchangée :

  • information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l’hébergeur.

La clause générale relative à la description des moyens mis en œuvre pour la fourniture des services a quant à elle été supprimée des clauses obligatoires.

Enfin, le mécanisme de report des obligations et des mentions obligatoires du contrat d’hébergement conclu par l’éditeur logiciel ou revendeur vers le contrat entre le client final et l’éditeur ou revendeur est désormais entériné dans le respect des bonnes pratiques édictées par l’ASIP Santé dans son FAQ jusqu’à présent.

Entrée en vigueur et modalités transitoires

La mise en place de la certification hébergeur de données de santé est prévue pour le 1er janvier 2018. L’ordonnance n°2017-27 du 12 janvier 2017 relative à la certification et l’article 3 du décret précité entrent donc en vigueur au 1er janvier 2018.

Les dispositions des articles 1 et 2 du décret précité harmonisant les textes réglementaires avec la rédaction actuelle de l’article L.1111-8 du Code de la santé publique, tel que modifié par la loi de santé, entreront en vigueur le lendemain de la publication dudit décret.

Le projet de décret prévoit des dispositions transitoires :

  • le régime actuel restera applicable à tous les agréments délivrés avant le 1er janvier 2018 ou à ceux délivrés après cette date pour les demandes déposées jusqu’au 31 décembre 2017 ;
  • les agréments expirant dans le courant de l’année 2018 seront prolongés de 6 mois pour permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.

Il doit enfin être précisé que l’article R.1111-10 du Code de la santé publique est modifié pour que le silence du ministre chargé de la Santé dans le délai de 2 mois après l’avis du comité vaille acceptation, et non plus rejet.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique




Structures et code de déontologie des chirurgiens-dentistes

déontologie des chirurgiens-dentistes

La Cour de cassation a rendu une décision surprenante en matière de déontologie des chirurgiens-dentistes. En effet, dans un arrêt du 9 juin 2017 (1), elle a considéré que le Code de déontologie des chirurgiens-dentistes, et en particulier les règles de publicité, ne s’applique pas aux structures de soins dentaires salariant des chirurgiens-dentistes.

L’affaire portait sur une publicité que le conseil départemental de l’ordre des chirurgiens-dentistes des Pyrénées-Orientales a estimée en violation avec le Code de déontologie. L’article R.4127-215 du Code de la santé publique interdit en effet tous procédés directs ou indirects de publicité.

Le cadre du Code de déontologie des chirurgiens-dentistes

Or il s’agissait ici d’un centre de soins dentaires ayant le statut d’association et l’article R.4127-201 du Code de la santé publique précise que le Code de déontologie s’applique « à tout chirurgien-dentiste inscrit au tableau de l’ordre, à tout chirurgien-dentiste exécutant un acte professionnel dans les conditions prévues à l’article L.4112-7 ou par une convention internationale, quelle que soit la forme d’exercice de la profession ».

Le texte vise spécifiquement tout chirurgien-dentiste, quelle que soit la forme d’exercice. La personne physique est ainsi soumise au Code de déontologie, mais pas la structure, dotée de la personnalité juridique, susceptible de l’employer.

Cette décision étonne car, c’était l’un des arguments avancés par l’ordre des chirurgiens-dentistes, une personne morale exerçant une activité réglementée par l’intermédiaire de collaborateurs qu’elle rémunère, devrait être tenue de respecter les règles déontologiques applicables aux professionnels qu’elle emploie.

Distinction entre personne physique et personne morale

La Cour a affirmé dans un attendu de principe :

« selon l’article R. 4127-201 du code de la santé publique, les dispositions du code de déontologie des chirurgiens-dentistes s’imposent à tout chirurgien-dentiste inscrit au tableau de l’ordre et à tout chirurgien-dentiste exécutant un acte professionnel dans les conditions prévues à l’article L. 4112-7 ou par une convention internationale, quelle que soit la forme d’exercice de la profession, et s’appliquent également aux étudiants en chirurgie dentaire ; que ces dispositions ne régissent que ces professionnels et ne peuvent être opposées aux personnes morales qui les emploient ; qu’il s’ensuit que ces dispositions ne sont pas applicables à l’association ».

Elle a ainsi fait le choix d’une interprétation littérale des textes, plus favorable aux structures de soins dentaires, qui pourront dès lors librement recourir à la publicité, sans risque de sanction.

Pour parvenir à une solution similaire pour d’autres professionnels de santé, il faudra attendre qu’une nouvelle affaire relative au respect des codes de déontologie par les structures de soins soit portée devant la Cour de cassation ou une intervention du législateur.

Cet arrêt pourrait néanmoins être invoqué dans le cadre d’un éventuel litige auquel serait confrontée une structure de soins, quelle que soit la profession de santé.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique

(1) Cass. 1e civ. du 9-6-2017, n° 16-17298.




Laboratoire de recherche : un référentiel d’excellence à respecter

Laboratoire de recherche

Laboratoire de recherche ou bureau d’études : un référentiel sur les critères de confidentialité, d’expertise et d’indépendance a été publié au Journal officiel le 25 juillet 2017 (1). Cet arrêté concerne la mise en œuvre des traitements de données à caractère personnel du système national des données de santé à des fins de recherche, d’étude ou d’évaluation.

Système national des données de santé (SNDS)

Créé par la loi de modernisation de notre système de santé, le SNDS regroupe les bases de données suivantes :

  • Système national d’information inter-régimes d’assurance maladie (SNIIRAM) concernant les données de l’assurance maladie ;
  • Programme de médicalisation des systèmes d’information (PMSI) concernant les données issues de l’activité des établissements de santé ;
  • Centre d’épidémiologie sur les causes médicales de décès (CepiDC) ;
  • base concernant les données liées aux handicaps issues des maisons départementales des personnes handicapées ;
  • base concernant les données provenant des complémentaires-santé.

Champ d’application de l’arrêté

L’arrêté du 17 juillet 2017 concerne les traitements commandités par les entreprises sous le contrôle de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) ainsi que celles relevant des domaines de la complémentaire santé et les intermédiaires d’assurance.

L’article L. 1461-3 du Code de la santé publique autorise ces entreprises à accéder au SNDS, afin de mettre en œuvre un traitement de données à des fins de recherche, d’étude ou d’évaluation, sous certaines conditions, comprenant en particulier :

  • soit la démonstration que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités prohibées par l’article L. 1461-1 du Code de la santé publique ;
  • soit le recours à un laboratoire de recherche ou à un bureau d’études, publics ou privés, pour réaliser le traitement.

C’est dans le cadre de cette dernière hypothèse que le référentiel exposé par l’arrêté du 17 juillet 2017 doit être appliqué.

Conclusion d’un contrat

L’arrêté précise que les engagements du responsable de traitement et ceux du laboratoire de recherche ou du bureau d’études doivent être précisés dans un contrat, préalablement aux travaux de recherche, d’étude ou d’évaluation.

A ce titre, il est indiqué que la rémunération doit uniquement dépendre de la nature et du volume des prestations prévues au contrat de manière à ce que celle-ci ne soit pas subordonnée aux résultats de la recherche.

En application de l’article 2 de l’arrêté, le contrat comporte les éléments suivants :

  • identité du responsable de traitement, destinataire des résultats ;
  • finalités conformes ;
  • éléments concernant la recherche, l’étude ou l’évaluation ;
  • catégories de personnes concernées par le traitement ;
  • traitement de données à caractère personnel envisagés ;
  • identité des financeurs et modalités de financement ;
  • estimation du coût de la recherche, de l’étude ou de l’évaluation ;
  • mesures et conditions de sécurité attestant de la conformité au référentiel de sécurité applicable au SNDS ;
  • droits et obligations des personnes en charge ;
  • rappel des interdictions de traitement du SNDS (ex. promotion des produits, exclusion de garanties, modifications des cotisations d’assurance, etc.).

Obligation de confidentialité

Les responsables du laboratoire de recherche ou du bureau d’études sont soumis au secret professionnel, de même que leurs salariés et prestataires mettant en œuvre le traitement ou autorisés à accéder aux données. A ce titre un engagement de confidentialité conforme au référentiel de sécurité applicable au SNDS doit être signé.

Compétences requises

Le laboratoire de recherche ou le bureau d’étude doit disposer de compétences pour la réalisation du traitement « intégrant une connaissance des enjeux relatifs à l’anonymisation des données ».

De plus, ceux qui accèdent au SNDS doivent suivre une formation validée par la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS), responsable du SNDS.

Déclaration d’intérêts et indépendance économique

Dans le cadre de sa demande d’accès au SNDS, le responsable de traitement doit fournir une déclaration d’intérêts en rapport avec le traitement envisagé, conformément à un modèle figurant en annexe de l’arrêté.

Cette déclaration atteste de l’absence de conflit d’intérêt avec le traitement, tout conflit d’intérêt prohibant la participation à la recherche, à l’étude ou à l’évaluation de la part du responsable, de ses salariés ou des prestataires, conformément à l’article 5 de l’arrêté.

Engagement de conformité

Enfin, un engagement de conformité au référentiel doit être réalisé par le laboratoire de recherche ou le bureau d’étude auprès de la Commission nationale de l’informatique et des libertés (Cnil).

Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Santé numérique

(1) Arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études