Le ministère de la Santé s'est donné pour objectif de le publier avant la fin de l'année : le projet de décret portant sur l'hébergement de données personnelles de santé, indispensable pour le dossier du patients, est prêt. Il a d'ailleurs été présenté, la semaine dernière, aux sociétés informatiques, associations de patients et représentants des professionnels de santé. Il faudra le soumettre à l'avis de la commission nationale Informatique et Liberté (CNIL) et des Ordres professionnels.
Ce texte est attendu depuis la loi du 4 mars 2002 qui décrivait le principe général de cet hébergement. Mais il a pris une acuité particulière, avec la publication du rapport Fieschi, qui recommande l'expérimentation de dossiers électroniques pour favoriser l'amélioration de la qualité des soins (« le Quotidien » du 26 juin). Or un tel système ne peut être mis en œuvre que si l'activité d'hébergement de ces dossiers est très précisément encadrée.
Le projet de décret développe donc la procédure d'agrément qui devra être mise en place dans cet objectif. Elle est à la charge d'un comité d'agrément de neuf personnes (dont deux représentants des professions de santé) nommées pour cinq ans, dont le secrétariat est assuré par la direction de l'Hospitalisation et de l'Organisation des soins (DHOS).
Le comité examinera des dossiers de demande qui doivent comporter non seulement tout ce qui permet d'identifier l'hébergeur (sur le plan juridique et économique) et le service qu'il propose, mais aussi les modèles de contrats passés entre cette société et les professionnels (ou les patients, directement) à l'origine du dépôt de données. Sans oublier un rapport d'audit qui aura été réalisé sur la base d'un référentiel d'agrément, établi par le comité, et effectué par un organisme indépendant, habilité par ce même comité.
Cette procédure d'audit demandant 18 mois (pour le référentiel) à deux ans (pour l'habilitation des organismes) de mise en place, le texte prévoit d'ores et déjà une phase de dispositions transitoires durant laquelle seul le dossier sera exigé, hors audit. En revanche, l'agrément ne sera accordé que pour une durée de deux ans, contre trois ans dès lors que la procédure pourra intégrer l'audit.
Deux articles du texte décrivent dans le détail modèles de contrats d'hébergement, et règles retenues en matière de confidentialité et de sécurité. Ils prévoient, par exemple, qu'un hébergeur sous-traite l'activité ; dans ce cas, le sous-traitant doit respecter les mêmes obligations. Ils précisent aussi qu'il faut fournir au patient des traces des accès et des traitements concernant ses données, et que les tentatives d'effraction et les accès non autorisés doivent être vérifiés.
Le projet de décret exige, en outre, que l'hébergeur soit installé dans l'Union européenne ou dans un Etat avec lequel les conventions juridiques assurent des garanties au moins équivalentes au droit français. Il prévoit que l'hébergement sera isolé des autres activités de l'entreprise, avec une gestion, des moyens et un compte d'exploitation spécifiques.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature