L'hébergement des données médicales numériques : un dispositif légal spécifique

Publié le 05/03/2003

Article réservé aux abonnés

Vos droits

Les données médicales concernées relèvent (1) des seuls actes médicaux, qu'il s'agisse d'un acte préventif, de diagnostic ou de soins, qui auront été communiquées par des personnes dûment habilitées : il s'agit soit de participants à l'acte médical (2) (professionnels de santé, établissements de santé), soit du patient concerné (3).
Leur hébergement est soumis à des conditions spécifiques visant à prévenir toute atteinte à la confidentialité et à renforcer les exigences d'information et de consentement du patient. Il est également soumis à des procédures de contrôle.

Des conditions spécifiques pour garantir la confidentialité et la sécurité

Les traitements des données médicales doivent être effectués dans le respect des dispositions de la loi du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés.
Quant à la communication des données médicales hébergées, elle est strictement réservée aux « personnes que celles-ci concernent et(aux ) professionnels de santé ou établissements de santé qui les prennent en charge et qui sont désignées par les personnes concernées (...) ». En outre, les hébergeurs sont contractuellement tenus de restituer les données, au professionnel, à l'établissement ou à la personne concernée, sans en garder de copie.
Pour s'assurer du consentement du patient à l'opération d'hébergement de ses données médicales, il est prévu que celui-ci doit avoir donné son accord préalablement. Lorsque l'hébergement est à l'initiative d'un professionnel ou d'un établissement de santé, son accord doit également porter sur les modalités d'accès et de transmission de l'information hébergée (4).
Afin de lui permettre d'exprimer son consentement en toute connaissance de cause, l'hébergeur devra, selon toute probabilité, l'informer des risques liés à la dématérialisation.
Par ailleurs, il convient de préciser que la prestation d'hébergement doit faire l'objet d'un contrat, au besoin tripartite (patient, professionnel de santé et hébergeur).

Une procédure de contrôle.

Le contrôle s'opère ab initio. En effet, seules « les personnes morales et physiques agréées à cet effet » peuvent assurer l'hébergement de données médicales. A noter toutefois que l'agrément n'est pas défini par la loi mais par un décret à intervenir en Conseil d'Etat, après avis de la CNIL et des Conseils de l'Ordre des professions de santé ainsi que du Conseil de l'Ordre des professions paramédicales. Il est néanmoins précisé que le législateur fait de la protection des données l'un des éléments d'appréciation pour la délivrance de l'agrément administratif.
Par ailleurs, les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans des conditions déterminées, au contrôle de l'inspection générale des affaires sociales et des agents de l'Etat. Un retrait de l'agrément administratif peut en résulter.
Il convient de préciser que l'exercice de l'activité d'hébergement de données médicales sans agrément et la violation des conditions d'agrément constituent des infractions pénales qui exposent l'hébergeur contrevenant à trois ans d'emprisonnement et à 45 000 euros d'amende(5).

(1) Alinéa 1er de l'article L.1111-8 al.1 du code de la santé publique.
(2) Le décret devrait apporter des précisions : il est probable que seuls pourront intervenir sur le dossier médical dématérialisé les professionnels médicaux et les établissements directement concernés par l'information médicale.
(3) F.-J. Pansier et C. Charbonneau relèvent que cette disposition, conférant au patient la faculté d'héberger lui-même ces données, s'inscrit dans la logique qui tend à faire de ce dernier le véritable titulaire de son dossier médical (« Gaz. Pal. », 17/12/2002, pp. 23 et s.).
(4) Il pourrait s'agir d'une autorisation ab initio de portée générale, à la suite de quoi la transmission se fera automatiquement ou d'une autorisation requise à chaque transmission à un intervenant non prévu initialement, ainsi que l'envisagent les auteurs précités.
(5) article 12.

Me Christiane FERAL-SCHUHL avocate associée cabinet SALANS