La lettre d'Option Droit & Affaires

Droit de la santé

Hébergement des données de santé : des changements structurants annoncés pour la procédure d’agrément

Lettre Option Droit & Affaires - 15 juillet 2015 - Jeanne Bossi Malafosse

Depuis 2002 et, en pratique 2009, des principes et des règles ont été définis et mis en application pour permettre l’hébergement de données de santé à caractère personnel. Conformément à l’article L. 1111-8 du Code de la santé publique, «Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet.»

Par Jeanne Bossi Malafosse, avocat à la cour, counsel, DLA Piper

Une entité qui souhaite héberger sur Internet, pour le compte d’un tiers, des données de santé à caractère personnel doit obtenir du ministre en charge de la Santé un agrément particulier, valable trois ans.

Pour obtenir cet agrément, un dossier doit être constitué et déposé auprès de l’Agence des systèmes d’information partagés de santé (ASIP Santé), chargée par le ministère de gérer cette procédure. La CNIL, également saisie, doit émettre un avis sur le dossier et un Comité d’agrément des hébergeurs (CAH) créé spécifiquement pour cette procédure émet un avis destiné à éclairer la décision du ministre.

Les conditions d’agrément des hébergeurs sont fixées par le décret n° 2006-6 du 4 janvier 2006 qui définit les points constitutifs du contrat d’hébergement et les obligations de l’hébergeur et de son client. Un référentiel de constitution des dossiers a été défini par l’ASIP Santé et traduit ainsi en pratique les exigences du décret. Le contrôle effectué par la CNIL et le CAH porte plus particulièrement sur la situation économique et financière de l’entreprise, sa politique de sécurité et les conditions du respect des droits de la personne dont les données sont concernées.

La consécration au niveau législatif de cette procédure et de son caractère obligatoire a été essentielle pour fonder sa légitimité et reconnaître le rôle essentiel tenu par les autorités et instances susvisées. Elles ont pu ainsi conduire les hébergeurs vers un état de l’art dépendant des progrès technologiques dont les hébergeurs sont eux-mêmes souvent les instigateurs (1). Mais cette procédure reste indubitablement complexe et longue (2).

La suite de cet article est réservée aux abonnés

Vous avez déjà un compte

Pour lire la suite de cet article, connectez-vous à votre compte

Mot de passe oublié

En cas de problème avec votre compte abonné, merci de contacter abonnement(at)optionfinance.fr

Pas encore abonné ?

Découvrez toutes nos offres d'abonnement et accédez à nos articles et dossiers en ligne.

S'abonner