La loi dite « loi santé » de Marisol Touraine a été adoptée et promulguée le 26 janvier dernier. Connue du grand public pour la généralisation du tiers payant ou le paquet de tabac neutre, elle possède également un volet numérique destiné à accompagner et à favoriser la transformation digitale du secteur de la santé. En particulier, elle contient des mesures à destination des hébergeurs de données de santé. L’agrément que les hébergeurs doivent obtenir sera remplacé par une procédure de certification.
Une évolution législative, dans le cadre des données à caractère personnel
Appelée loi de modernisation de notre système de santé, la loi santé (dont la première version du texte a été déposée à la fin de l’année 2014) a été adoptée début 2016 à l’Assemblée Nationale. En parallèle, au niveau européen était discuté le Règlement Européen sur la Protection des Données à caractère Personnel. Cette discussion concomitante est due à l’évolution des usages et aux transformations numériques en cours qui ont amené les législateurs français et européen à s’adapter à l’actualité de ces dernières années.
Le Règlement Européen précise la notion de donnée de santé à caractère personnel. Elles comprennent les données médicales mais aussi toute combinaison de données qui indique un état de santé. Par exemple, le diagnostic d’un cancer est une donnée de santé, mais aussi la simple association du poids et de la taille à un moment donné.
Ce Règlement Européen sera applicable le 25 mai 2018. En revanche, la date d’application finale de la loi santé n’est pas connue, même si elle le sera aussi probablement courant 2018. Le présent article a pour objectif de présenter une photographie à l’instant présent de cette nouvelle loi.
L’hébergement des données de santé : aujourd’hui déclaratif, et demain auditable
En France, l’hébergement des données de santé est soumis à une règlementation stricte depuis les années 2000. Toute entité qui héberge des données de santé qu’elle n’a pas produites doit obtenir à cet effet un agrément. Pour ce faire, l’hébergeur dépose un dossier qui sera vérifié par des institutions publiques : l’ASIP-Santé (l’Agence des Systèmes d’Information Partagés de santé), la CNIL et le Comité d’Agrément des Hébergeurs (comitlé ad hoc). Si leur avis est favorable, le Ministère de la Santé délivre l’agrément, valable pour 3 ans. Ce dossier demande notamment aux candidats hébergeurs de mener une analyse de risques et de mettre en place une politique de sécurité des systèmes d’informations.
Un point toujours sujet à interprétation : héberger ses propres données
Le fait que les entités hébergeant elles-mêmes leurs données ne soient pas soumises à l’obtention de l’agrément a historiquement créé une interrogation. Ce point remet en cause la sécurité des données de santé du point de vue des patients de ces établissements. La législation a été construite afin de simplifier l’agrémentation en évitant des démarches trop lourdes pour les petits acteurs de la santé comme les médecins libéraux indépendants. Aussi, la notion même de « produire ses propres données » n’est pas toujours claire.
Aujourd’hui il ne semble pas que le gouvernement ait l’intention de changer l’orientation de la législation sur ce point : son agence l’ASIP-Santé a mis à jour sa foire aux questions le 24 mai 2016 en indiquant expressément que ce sont les hébergeurs de données tierces qui doivent obtenir l’agrément (ou la future certification).
Pour autant, le processus législatif français n’est pas arrivé à terme : ce point pourrait malgré tout être amené à évoluer. La loi est dans l’attente d’une ordonnance pour sa mise en application. Cette même ordonnance « sera précisée par un décret qui définira la procédure de certification. […] L’ordonnance et son décret comporteront des dispositions transitoires pour organiser le passage de la procédure d’agrément actuelle à la future procédure de certification » (F.A.Q de l’ASIP-Santé).
Que change la nouvelle loi santé ?
La nouvelle loi santé bouscule la procédure d’agrément actuelle, en la faisant passer de l’État aux structures privées. Les candidats hébergeurs devront obtenir une certification, auprès d’un organisme certificateur privé, après audit. Première conséquence : le coût du dispositif n’est plus supporté par l’État mais par les hébergeurs. C’est le changement le plus important : les candidats ne devront plus seulement préparer un dossier (processus déclaratif) mais se préparer à un audit externe, et donc collecter des preuves pour les mettre à disposition des auditeurs.
La loi, publiée au journal officiel le 27 janvier, a déjà mis en application certains changements. Ainsi, le consentement de la personne qui était jusque-là requis est remplacé par une simple obligation d’information. D’autre part, le secteur médico-social entre dans le périmètre de l’agrément. Ce secteur hétérogène comprend notamment les établissements pour personnes âgées (EHPAD, etc.) ou handicapées, les foyers d’accueil pour jeunes, etc. Le secteur médico-social n’avait jusque-là pas de cadre légal concernant le traitement et l’hébergement de ses données. La nouvelle définition des données de santé, émise par le groupe de travail du règlement européen sur la protection des données à caractère personnel, inclut également ce type de données médico-sociales.
En synthèse : j’héberge des données de santé, que dois-je faire aujourd’hui ?
Aujourd’hui, pour les hébergeurs qui veulent se préparer à la nouvelle loi, trois situations sont possibles :
- J’ai déjà l’agrément hébergeur de données de santé : hier, je déposais un dossier montrant ce que je fais en vue d’un contrôle de ce dossier. Demain, un auditeur viendra contrôler sur site. Alors aujourd’hui, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
- Je n’ai pas l’agrément hébergeur de données de santé, mais je vais être amené à héberger des données de santé (ou simplement médico-sociales) produites par un tiers : je dois me mettre en conformité dès maintenant en obtenant l’agrément. Je mets en place des politiques de sécurité en alignement avec les attendus pour le dossier d’agrément et les bonnes pratiques de référence (telle que la norme ISO 27001) Je dépose un dossier sans attendre. Là aussi, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
- J’héberge des données de santé que je produis moi-même : alors hier, aujourd’hui comme demain, je n’ai pas de démarche à effectuer, pas d’agrément ou de certification à obtenir.
Aujourd’hui, même incomplète, cette nouvelle loi permet donc aux hébergeurs de données de santé de se projeter dans le monde de la santé numérique qui se dessine. L’adoption de nouveaux référentiels et de nouvelles procédures de mise en conformité permet aux acteurs du secteur de gagner en crédibilité et progressivement d’harmoniser leurs pratiques au niveau européen.