De l’information juridique recueillie à la formation en droit de la santé : le cadre juridique applicable à l’agrément pour l’hébergement de données de santé à caractère personnel – Précisions relatives aux activités de biologie médicale
Agrément et hébergement de données de santé à caractère personnel
Afin de garantir la confidentialité des données de santé à caractère personnel, le droit impose le respect de normes de nature à protéger l’intimité du patient.
Les dispositions juridiques relatives à l’hébergement des données de santé à caractère personnel sont régies par les articles L. 1111-8 et R. 1111-9 à R. 1111-15-1 du Code de la santé publique, précisés par le décret n° 2006-6 du 4 janvier 2006 (décret « hébergeur ») qui définit les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support informatique.
L’article L. 1111-8 alinéa 1 du Code de la santé publique précise les conditions d’hébergement en disposant que « les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agrées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée ».
Ainsi, le champ d’application de cet article couvre les cas où les données de santé à caractère personnel sont recueillies ou produites lors d’activités de prévention, de diagnostic ou de soins pour le compte d’un tiers. Ces données sont alors déposées par les professionnels de santé, les établissements de santé ou la personne concernée.
Le guide l’ASIP Santé précise également que les dispositions du Code de la santé publique sont d’interprétation large et concernent « toute structure prenant en charge des patients et recueillant ou produisant des données de santé à l’occasion d’activités de prévention, de diagnostic ou de soins »[1].
La problématique réside dans la prise en charge des données de santé du patient. Dès lors que le professionnel de santé ou l’établissement de santé conserve par ses propres moyens les données de santé des patients qu’il prend en charge, aucun agrément n’est nécessaire.
En revanche, lorsqu’il s’agit de données de santé à caractère personnel pour lesquelles les professionnels de santé et les établissements de santé n’interviennent pas dans la prise en charge médicale du patient, un agrément est nécessaire afin d’héberger ces données de santé à caractère personnel.
Une telle « structure » souhaitant héberger des données de santé à caractère personnel doit donc être agréé et remplir les conditions de fond et de forme relatives à la procédure d’agrément prévues par le Code de la santé publique.
Quelle est la forme de la demande d’agrément ? La personne physique ou morale souhaitant obtenir un agrément doit adresser au ministre chargé de la santé un dossier de demande d’agrément comprenant de nombreux éléments (noms, fonctions et qualifications des opérateurs chargés de mettre en œuvre le service, ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont accès aux données hébergés, indication des lieux dans lesquels sera réalisé l’hébergement, description du service proposé, etc.)[2].
Après la réception du dossier, le ministre transmet ce même dossier à la Commission nationale de l’informatique et des libertés (CNIL) « qui apprécie les garanties présentées par le candidat à l’agrément en matière de protection des personnes à l’égard des traitements de données à caractère personnel et de sécurité de ces données »[3]. La CNIL a alors deux mois pour rendre un avis à compter de la réception du dossier (délai pouvant être renouvelé sous certaines conditions).
Puis, la demande est transmise au comité d’agrément des hébergeurs de données de santé placé auprès de la CNIL qui a un mois pour se prononcer (un délai d’un mois supplémentaire peut être prévu) sur cette demande d’agrément, et notamment sur des questions d’ordre éthique, déontologique, technique et financier du candidat à l’agrément.
Parmi les membres de ce comité d’agrément, on dénombre un membre de l’inspection générale des affaires sociales (IGAS), deux représentants des associations compétentes en matière de santé, deux représentants des professions de santé dont un nommé par le Conseil national de l’ordre des médecins, etc.)[4].
L’agrément est alors délivré par le ministre chargé de la santé après avis de la CNIL et du comité d’agrément placé auprès de lui. Le décret « hébergeur » précise qu’en cas de silence du ministre de la santé dans le délai de deux mois qu’il lui est imparti, ce dernier vaudra rejet de la demande d’agrément.
L’agrément doit-il être renouvelé ? L’article R. 1111-15 du Code de la santé publique dispose que « l’agrément est délivré aux hébergeurs de santé à caractère personnel sur support informatique pour une durée de trois ans ». Concernant le renouvellement de cet agrément, la demande de renouvellement devra être renouvelée six mois avant le terme de la période exposée ci-dessus.
L’agrément peut-il être retiré et/ou suspendu ? Le ministre de la santé a la possibilité de procéder au retrait de l’agrément. Pour ce faire, il devra communiquer à l’hébergeur, par lettre recommandé avec demande d’avis de réception, les motifs de ce projet de retrait. L’hébergeur ainsi visé aura deux moins pour faire valoir ses observations.
A titre conservatoire, le ministre de la santé a également la possibilité de suspendre un agrément dans deux cas : « en cas de divulgation non autorisée de données de santé à caractère personnel sur support informatique » et en cas « de manquements graves de l’hébergeur à ses obligations mettant en cause l’intégrité, la sécurité et la pérennité des données hébergées »[5].
Dans de nombreux cas, cet agrément sera nécessaire à l’hébergement de données de santé à caractère personnel.
Dans le projet de loi sur la santé (2015), il est notamment prévu de réécrire l’article L. 1111-8 du Code de la santé publique de la manière suivante : « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne concernée en a été dûment informée et sauf opposition pour un motif légitime ». En visant « toute personne », cet article ne ferait plus mention des personnes pouvant déposer les données de santé à caractère personnel.
Le projet de loi souhaite également étendre l’obligation de conserver les données de santé à « tout autre organisme participant à la prévention, aux soins, ou au suivi médico-social et social ». De tels organismes seraient-ils considérés comme des professionnels de santé et des établissements de santé ? Cette extension irait dans le sens de la position actuelle de l’Asip Santé.
En outre, il est important de rapporter que le terme « agrément » est voué à disparaître au profit d’une « accréditation par l’instance nationale d’accréditation ». Dans ce cas, la procédure d’agrément serait transférée au COFRAC (comité français d’accréditation). Comme le souligne l’exposé des motifs du projet de loi sur la santé, l’objectif est d’étendre le dispositif actuel au niveau international.
Pour résumer, les établissements de santé n’ont pas besoin d’obtenir un agrément s’ils souhaitent eux-mêmes héberger leurs propres dossiers hospitaliers, ce qui n’est pas le cas des établissements qui mettent leur propre système d’hébergement à disposition d’un ou de plusieurs autres établissements. Toutefois, quelques nuances sont intéressantes à mettre en exergue afin d’éviter d’obtenir un agrément tout en partageant certaines données de santé. Tel est le cas de l’hébergement de données de santé lié aux activités de biologie médicale.
Agrément et hébergement de données de santé à caractère personnel lié aux activités de biologie médicale
Le guide de l’Asip Santé de janvier 2014 (supra) distingue les différentes modalités d’organisation de l’activité de biologie médicale et s’attache particulièrement à la « nature juridique de la coopération mise en œuvre et des conditions fonctionnelles et associées pour la réalisation d’examens de biologie médicale » afin de déterminer si un agrément est nécessaire.
Analysons de manière succincte les différentes coopérations mises en œuvre par les laboratoires de biologie médicale au sein des établissements de santé liés aux activités de biologie médicale mises en avant par l’Asip Santé pour savoir lesquels doivent être soumises à une procédure d’agrément.
L’hébergement de données de santé est confiée à un tiers : l’agrément est requis
Tout d’abord, l’Asip santé prend l’exemple d’un « groupement de coopération sanitaire (GCS) multi-sites avec un hébergement des données de santé sur un ou plusieurs sites sécurisés du GCS », qui repose que un système informatique de gestion du laboratoire (SIL) unique.
Pour information, le Code de la santé publique permet à un laboratoire de biologie médicale d’être exploité sous la forme d’un GCS, personne morale distincte de ses membres[6].
Dans ce cas, l’ASIP santé considère que cette structure doit être agréée afin d’héberger des données à caractère personnel puisqu’elle héberge des données de santé pour le compte de tiers.
La deuxième illustration mise en avant est le « système informatique de gestion du laboratoire mutualisé dans le cadre d’une convention de coopération ». Dans ce cas d’espèce, il ne s’agit pas d’un GCS, mais d’une situation quasi-identique à celle ci-dessus en ce que deux établissements possèdent un système informatique unique. Les deux établissements réalisent leur activité de biologie médicale, mais l’hébergement est confié à un seul des établissements de santé.
N’ayant pas sous-traité l’activité de biologie médicale (infra), un établissement héberge pour le compte d’un autre des données de santé d’un patient alors qu’il n’intervient pas dans sa prise en charge. Dès lors, un agrément est requis (un contrat d’hébergement doit être conclu entre les deux établissements).
Le troisième cas est le « middleware mutualisé dans le cadre d’une convention de coopération ». Ce n’est pas le SIL qui est partagé par deux établissements de santé mais le middleware à savoir le « système de gestion de plateau technique ou d’un sous-ensemble de celui, et/ou d’un ensemble d’analyseurs délocalisés par exemple dans les unités de soins »[7].
Dans le cas où un middleware est hébergé par un établissement, celui-ci « reçoit et stocke des ordres de travail »[8] du second établissement. Des données sont donc conservées par un établissement qui n’intervient en aucun cas dans l’examen de biologie médicale d’un patient. L’hébergement se fait donc pour le compte d’un tiers (agrément requis).
L’avant dernier exemple concerne le « serveur de résultats mutualisés entre deux établissements de santé dans le cadre d’une convention de coopération ». Le partage d’un même serveur de résultats d’examens par un établissement pour le compte d’un autre établissement pose les mêmes problématiques que les trois cas exposés ci-dessus. Dès lors, un établissement qui héberge un système commun doit être agréé comme hébergeur de données.
Le dernier cas mis en avant par l’Asip santé est la « mutualisation de quelques moyens techniques entre plusieurs établissements de santé dans le cadre d’un GCS de moyens ». Ce dernier cas expose la mise en commun de moyens techniques entre au moins deux établissements, ce qui a pour conséquence la conservation des données de santé pour la réalisation de leur propre activité de biologie médicale.
Dans les cas d’usage exposés ci-dessus, un contrat est requis entre les différentes entités afin de pouvoir héberger les données de santé de ses membres. Dès lors, les établissements devront être agréés pour l’hébergement de données de santé à caractère personnel.
Le décret « hébergeur » s’applique donc lorsqu’un établissement de santé ou un professionnel de santé recourt à un tiers qui ne participe pas à la prise en charge sanitaire du patient. L’hébergement de données de santé doit donc être réalisé chez un hébergeur agréé[9].
L’hébergement de données de santé n’est pas confiée à un tiers : l’agrément n’est pas requis
Les professionnels de santé et les établissements de santé ne sont pas soumis à la nécessité d’être titulaire de l’agrément lorsqu’ils conservent par leurs propres moyens et localement les données de santé de leurs patients.
Par conséquent, lorsque le laboratoire de biologie médicale conserve par ses propres moyens les données de santé des patients qu’il prend en charge, il n’est pas soumis à l’agrément.
En outre, le guide de l’Asip Santé met en avant deux cas deux situations où les professionnels de santé et les établissements de santé ne sont pas soumis à cette procédure d’agrément.
Le premier cas concerne la « répartition d’activités entre laboratoires – Multi SIL ». C’est le cas de deux laboratoires de biologie médicale distincts qui exploitent séparément leur système informatique de gestion et leur middleware.
Il n’apparaît pas inutile de préciser que les échanges de données entre les laboratoires doit être réalisé via un système de sécurité garantissant la confidentialité des données de santé.
Le décret du 4 janvier 2006 ne trouve pas à s’appliquer dans la mesure où les laboratoires de biologie médicale conservent par leurs propres moyens les données de santé à caractère personnel. Un contrat d’hébergement n’est donc pas requis.
Le deuxième cas est relatif à la « sous-traitance de la totalité de l’activité de biologie d’un établissement de santé auprès d’un autre établissement de santé ». En pratique, il s’agit pour un établissement de santé de traiter à la fois les données démographiques mais également les prescriptions médicales de deux établissements de santé dont le sien.
L’hébergement de données de santé est-il confié à un tiers ? L’échange de données de santé à caractère personnel entre deux établissements de santé où un seul des laboratoires réalise les examens de biologie médicale n’est pas considéré comme confié à un tiers puisque ces deux établissements échangent des données de santé à caractère personnel.
In fine, dans les deux cas exposés ci-dessus, le décret hébergeur ne trouve pas à s’appliquer.
Ainsi, un laboratoire de biologie médicale n’est pas soumis à l’agrément dès lors qu’il conserve « par ses propres moyens les données de santé des personnes qu’il prend en charge »[10].
Précisons que le laboratoire qui recueille ces différentes données est tenu de conserver le secret sur toutes les informations parvenues à sa connaissance au regard des dispositions relatives au secret médical[11].
Enfin, le guide technique COFRAC SH GTA 02 ajoute que lorsque qu’un laboratoire de biologie médical conserve ses propres données de santé, « cette qualité le distingue donc d’un hébergeur de données de santé soumis à agrément et qui conserverait pour le compte d’un tiers des données de santé à caractère personnel »[12].
Au regard des différents exemples susmentionnés, les activités de biologie médicale font partie intégrante du cadre légal de l’article L. 1111-8 du Code de la santé publique relatif à l’hébergement de données de santé à caractère personnel.
De la théorie à la pratique : la formation
Être formateur, c’est une rencontre et un partage. Une rencontre des différents professionnels (médecins par spécialité, infirmiers, pharmaciens, biologistes, etc.) intervenant ou non dans une même structure. C’est pouvoir expliciter des situations, plus farfelues les unes que les autres, afin de pouvoir transmettre des connaissances juridiques pour la plupart déjà acquises mais qui évoluent en fonction de la législation et de la jurisprudence, et surtout dans le domaine du droit sanitaire.
Depuis la loi n° 2009-879 du 21 juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires, le législateur impose une obligation de développement professionnel continu (DPC) à l’ensemble des professionnels de santé, tous modes d’exercice confondus.
L’article 59 de cette loi en a défini les objectifs à savoir « l’évaluation des pratiques professionnelles, le perfectionnement des connaissances, l’amélioration de la qualité et de la sécurité des soins ainsi que la prise en compte des priorités de santé publique et de la maîtrise médicalisée des dépenses de santé ».
Participer à une formation DPC juridique (en intra ou en inter), c’est acquérir et mettre à jour ses connaissances juridiques autour d’un thème de formation plus ou moins général (ex : les droits des patients, la responsabilité juridique des médecins, le secret professionnel, le droit de l’immatériel, le droit des données de santé à caractère personnel, le dossier médical personnel, la télémédecine, etc.).
Ce n’est pas seulement un travail théorique qui se résumerait à l’exposition de grands principes juridiques. C’est dépasser le stade de la simple théorie en analysant les pratiques professionnelles de chacun ainsi que les pratiques sur lesquelles ces derniers s’interrogent et ne trouvent pas de réponses.
L’objectif pour un formateur est de partir de la pratique du professionnel de santé, via des exemples issus de la jurisprudence voire de cas inventés de toute pièces pour en arriver au droit applicable, aux normes juridiques en vigueur, ce que l’on appelle plus communément le droit positif.
C’est partir d’une situation juridique réelle ou factuelle pour en arriver à la loi applicable et de démontrer notamment que le fait de délivrer des informations à caractère confidentiel qui se situerait au sein d’un dossier médical d’un patient relève de la violation du secret médical, qui peut avoir de lourdes conséquences en matière de responsabilité.
L’intérêt pour les professionnels de partir de situations factuelles est de permettre de savoir et de comprendre où s’arrête leur champ de compétence, ou à l’inverse, appréhender l’interdit, les limites à ne pas outrepasser.
Le principal champ de compétence sur lequel je m’appuie dans le cadre de la formation continue est le droit applicable au secteur sanitaire mais également médico-social ainsi que les questions de responsabilité relatives à tous les professionnels de santé.
Aller à la rencontre des professionnels de santé se résume à des partages d’expériences inoubliables qui doivent également nous pousser à comprendre les disparités existantes sur notre territoire où le droit à l’égal accès au soin, le droit à l’information, le droit au partage de l’information et le droit au consentement sont notamment des droits fondamentaux du droit de la santé reconnus il y a maintenant treize ans avec la loi Kouchner (loi n° 2002-303 relative aux droits des malades et à la qualité du système de santé du 4 mars 2002).
Il est du devoir du formateur d’apporter à tous les participants ce qu’il pense des différentes branches du droit et de ses éventuelles évolutions en prenant en compte l’évolution de la jurisprudence ainsi que l’apport de la doctrine (et pas seulement celle juridique).
C’est l’exemple parfait du projet de loi de santé exposé ci-dessus et relatif au possible changement de dénomination de « l’agrément » en « accréditation par l’instance nationale d’accréditation ».
Nous avons omis une dernière chose : celle de dire que le formateur se forme aussi ! Afin de comprendre et être au plus près des professionnels de santé participant à une formation juridique, notre but est aussi de nous former pour analyser, comprendre, entreprendre et mettre en application les diverses avancées relatives à notre législation.
[1] ASIP Santé, Maîtriser les conditions d’application du décret hébergeur dans les coopérations territoriales en médicale, janvier 2014 – V7.0, p. 5
[2] Tous les éléments nécessaires à la demande d’agrément sont mentionnés à l’article R. 1111-12 du Code de la santé publique
[3] CSP, art. R. 1111-10 al. 2
[4] Tous les membres du comité d’agrément placé auprès de la CNIL sont mentionnés à l’article R. 1111-11 du Code de la santé publique
[5] CSP, art. R. 1111-15-1
[6] CSP, art. L. 6223-2
[7] COFRAC SH GTA 02, p. 10
[8] ASIP Santé, Maîtriser les conditions d’application du décret hébergeur dans les coopérations territoriales en biologie, p. 15
[9]http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees : liste des hébergeurs agréés de données de santé à caractère personnel
[10] COFRAC SH GTA 02, p. 16
[11] Code pénal, art. 226-13
[12] COFRAC SH GTA 02, p. 16
Jérôme FISMAN
Chargé d’enseignement à l’Université Paris-Sud
Juriste en Droit de la Santé
Consultant Santé & Formateur DPC
