Le Code de la santé publique permet aux professionnels de santé ou aux établissements de santé de « déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet » (art. L.1111-8). Il précise également que les conditions d'agrément des hébergeurs sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés (CNIL) et des conseils de l'ordre des professions de santé.

C'est chose faite depuis le décret du 4 janvier 2006 (1) venu préciser et faire avancer le chantier du DMP. Un véritable cadre juridique applicable à l'hébergement de données de santé à caractère personnel est désormais fixé.

Les conditions posées par le décret sont très strictes compte tenu de la nature sensible des données hébergées, s'agissant d'informations médicales. A cet égard, il convient de noter que la loi du 6 janvier 1978 Informatique et Libertés modifiée en août 2004, interdit expressément la collecte ou le traitement de données à caractère personnel, notamment relatives à la santé des personnes, sauf exceptions limitativement énumérées.

Il est tout d'abord important de remarquer que le décret ne définit pas la notion « d'hébergement de données de santé », mais vise le fait de « déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agréées à cet effet » . Dans ces conditions, l'hébergeur de données de santé ne doit pas être confondu avec « l'hébergeur » ou le « prestataire de stockage » visé par la loi pour la confiance dans l'économie numérique (2).

Ces deux prestataires techniques sont différents : le premier s'apparente à une sorte de séquestre informatique auprès duquel sont « déposées » des données dont l'accessibilité est limitée, alors que le second assure, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par ses clients.

Neuf clauses obligatoires

En outre, le Code de la santé publique, complété par le décret du 4 janvier, prévoit les conditions que doit remplir le prestataire souhaitant obtenir l'agrément requis pour héberger des données de santé. L'hébergeur devra notamment définir et mettre en oeuvre une politique de confidentialité et de sécurité permettant d'assurer le respect des droits des personnes concernées par les données hébergées, la sécurité de l'accès aux informations et la pérennité des données hébergées. Cela induira sans doute le déploiement de processus nouveaux et la mise en place d'un schéma directeur visant à se conformer aux dispositions légales et notamment à la loi Informatique et Libertés.

De plus, la prestation d'hébergement devra faire l'objet d'un contrat entre l'hébergeur et son client (établissement de santé, médecins...) comportant neuf clauses obligatoires, parmi lesquelles une clause mentionnant les indicateurs de qualité et de performance permettant la vérification du niveau de qualité de services annoncé et la périodicité de leur mesure, une clause décrivant les prestations réalisées, une autre relative aux obligations de l'hébergeur à l'égard de la personne à l'origine du dépôt des données de santé à caractère personnel, en cas de modifications ou d'évolutions techniques introduites par lui, une autre relative à l'information sur les conditions de recours à d'éventuels prestataires techniques externes et les engagements de l'hébergeur, pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l'activité d'hébergement, et, enfin, une clause traitant de l'information sur les garanties permettant de couvrir toute défaillance éventuelle de l'hébergeur.

Il conviendra d'adapter les contrats d'hébergement existants à ces nouvelles exigences légales. Enfin, précisons que l'agrément est délivré aux hébergeurs de données de santé pour trois ans renouvelables et que le ministre de la Santé peut procéder au retrait ou à la suspension de l'agrément dans certaines conditions. Cela nécessitera d'établir un dossier d'agrément en bonne et due forme.

ERIC BARBRY (*) CHLOÉ TORRES (**)

(*) Avocat, directeur pôle communications électroniques, Alain Bensoussan Avocats.(**) Avocat, directeur du département informatiqueet libertés, Alain Bensoussan Avocats.(1) Décret n° 2006-6,« JO » du 5 janvier 2006.(2) Loi n° 2004-575,« JO » du 22 juin 2004.

Tous droits réservés (2005) LES ECHOS