allo CNIL tél : 01 53 73 22 22
lettre info CNIL je m’inscris
11 mai 2010
La procédure d’agrément ministériel des hébergeurs de données de santé a repris le 2 février 2009 après une suspension de deux ans. La Commission s’est prononcée sur les dossiers de candidature qui lui ont été adressés par la ministre de la Santé après s’être assurée du déploiement par les candidats hébergeurs de solutions de sécurité effectives et de haut niveau et de l’exercice effectif des droits des patients.
À l’heure où le partage des données de santé entre un nombre croissant d’acteurs du système de soins est reconnu par tous comme contribuant à l’amélioration de la qualité des soins et à la maîtrise des dépenses, le développement de l’e-santé est inéluctable. Dans ce contexte, la sécurité des données personnelles de santé est une priorité renforcée.
La procédure d’agrément des hébergeurs de données de santé à caractère personnel, instaurée par la loi du 4 mai 2002 relative aux droits des malades, vise à garantir la sécurité des données personnelles de santé lorsqu’elles sont hébergées par un organisme distinct du professionnel ou de l’établissement de santé qui soigne le malade.
Les conditions de l’agrément ont été fixées par le décret du 4 janvier 2006 qui organise la procédure d’agrément et fixe le contenu du dossier qui doit être fourni à l’appui de la demande. Cet agrément est délivré pour une durée de trois ans par le ministre chargé de la Santé, qui se prononce après avis de la CNIL et du Comité d’agrément créé auprès de lui.
Cette procédure particulière et préalable s’applique sans préjudice des formalités propres à la loi Informatique et Libertés, auxquelles restent soumis les professionnels et établissements de santé, qui, en leur qualité de responsables de traitements automatisés de données à caractère personnel, font héberger leurs bases de données chez des organismes agréés.
En raison notamment de la lourdeur de la procédure et du grand nombre d’applications susceptibles d’être concernées, la loi du 30 janvier 2007 a suspendu, sauf lorsqu’il s’agit d’héberger des dossiers médicaux personnels, la procédure d’agrément pendant deux ans à compter du 2 février 2007, le temps, pour le comité, d’élaborer les référentiels nécessaires à l’instruction des dossiers.
Ce référentiel, destiné à permettre une autoévaluation par les candidats et un traitement efficace des demandes d’agrément, a été élaboré par l’Agence des systèmes d’information partagés de santé (ASIP Santé, anciennement dénommée GIP-DMP), en concertation avec les industriels. La CNIL a été associée à la définition de ce référentiel. Elle est également associée aux réunions du Comité d’agrément des hébergeurs.
Les premières décisions de la ministre sont intervenues et ont été publiées au Bulletin Officiel Santé - Protection sociale -Solidarité du 15 avril 2010. En dehors des agréments délivrés en 2006 dans le cadre de l’expérimentation du DMP pour le temps de l’expérimentation, les premiers hébergeurs de données de santé sont donc agréés.