L’ordonnance n°2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel (ci-après l’ « Ordonnance ») a été prise en application de l’article 204 I 5e de la Loi de modernisation de notre système de santé du 26 janvier 2016. Cet article habilite en effet le Gouvernement à prendre, par voie d’ordonnance, les mesures d’amélioration et de simplification du système de santé relevant du domaine de la loi et visant à simplifier la législation en matière de traitement de données de santé à caractère personnel.
L’Ordonnance est ainsi venue modifier l’article L.1111-8 du Code de la santé publique (ci-après « CSP »), lequel impose jusqu’à son entrée en vigueur, à toute personne qui héberge des données de santé à caractère personnel, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, l’obtention d’un agrément délivré par le ministère de la Santé.
Or l’Ordonnance vient remplacer l’agrément prévu par cet article par un « certificat de conformité », délivré par le COFRAC (instance nationale d’accréditation) ou un organisme européen équivalent pour l’hébergement de données de santé sur support électronique.
Toutefois, un agrément est toujours exigé en cas d’hébergement sur support papier ainsi qu’en cas d’activité d’archivage électronique. Cet agrément ne sera cependant plus délivré par le ministre de la Santé mais par le ministre de la Culture.
Que l’activité d’hébergement s’effectue sur support papier ou numérique, l’obligation d’un contrat entre l’hébergeur et la personne qui lui confie les données est maintenue. Lorsque cette personne est un professionnel de santé exerçant une profession médicale, le contrat est soumis à l’ordre dont il dépend. Un décret en Conseil d’État viendra toutefois préciser les mentions obligatoires devant figurer dans ce contrat.
Le rapport au Président de la République relatif à l’Ordonnance précise que la nouvelle procédure de certification des hébergeurs de données de santé permettra d’accroitre la sécurité des données de santé hébergées en complétant les audits documentaires par des audits sur site. Cette procédure permettra également de réduire les délais d’instruction des demandes des hébergeurs et de faire bénéficier les acteurs concernés de la visibilité du dispositif à l’international par une référence à des certifications ISO largement répandues à l’échelle européenne et mondiale.
Ces mesures s’appliqueront à tous les hébergeurs de données de santé à caractère personnel au plus tard le 1er janvier 2019. Les agréments obtenus avant l’entrée en vigueur de l’Ordonnance continueront à produire leurs effets jusqu’à leur terme.
Un décret en Conseil d’État viendra préciser les modalités de l’agrément, ainsi que la définition précise des différentes prestations d’hébergement, des responsabilités respectives de l’hébergeur (papier ou numérique) et des personnes physiques ou morales pour le compte desquelles les données sont conservées.
