Rapport au Président de la République relatif à l'ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel


JORF n°0011 du 13 janvier 2017
texte n° 16




Rapport au Président de la République relatif à l'ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel

NOR: AFSZ1626575P
ELI: https://www.legifrance.gouv.fr/eli/rapport/2017/1/13/AFSZ1626575P/jo/texte


Monsieur le Président de la République,
La présente ordonnance est prise sur le fondement des a et c du 5° du I de l'article 204 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
Cet article habilite le Gouvernement à prendre par voie d'ordonnance, dans un délai de douze mois à compter de la promulgation de la loi, les mesures d'amélioration et de simplification du système de santé relevant du domaine de la loi et visant à simplifier la législation en matière de traitement des données de santé à caractère personnel.
L'ordonnance a ainsi pour objet :


- d'une part, de remplacer l'agrément pour l'hébergement de données de santé sur support électronique délivré par le ministre de la santé (après avis d'un comité d'agrément et de la Commission nationale de l'informatique et des libertés) par un certificat délivré par un organisme certificateur accrédité par le COFRAC ou un organisme européen équivalent ;
- d'autre part, d'harmoniser les dispositions du code du patrimoine et celles du code de la santé publique relatives aux conditions d'externalisation des données de santé à caractère personnel.


La nouvelle procédure de certification des hébergeurs de données de santé permettra d'accroître la sécurité des données de santé hébergées en complétant les audits documentaires par des audits sur site, de réduire les délais d'instruction des demandes des hébergeurs, aujourd'hui trop importants, et de faire bénéficier les acteurs concernés de la visibilité du dispositif à l'international par une référence à des certifications ISO largement répandues à l'échelle européenne et mondiale.
L'ordonnance vise également à garantir une meilleure articulation entre les dispositions du code du patrimoine et du code de la santé publique relatives aux modalités d'externalisation des données de santé. Elle permettra d'assurer une protection équivalente des données de santé quel que soit leur statut (données privées ou données publiques), aussi bien dans le cadre de prestations permettant leur traitement quotidien par les professionnels, les établissements et les organismes de santé ou sociaux et médico-sociaux, que s'agissant de prestations d'archivage.
Ces mesures s'appliqueront aux hébergeurs au plus tard le 1er janvier 2019 selon des modalités qui permettront une continuité d'exploitation pour les opérateurs titulaires d'un agrément ou dont l'agrément arriverait à échéance peu de temps après la date d'entrée en vigueur de l'ordonnance.
Le 1° de l'article 1er détermine les différents régimes d'autorisation préalable qui encadrent l'hébergement de données de santé, en tenant compte, d'une part, de la nouvelle procédure de certification et, d'autre part, de la clarification de l'articulation du code de la santé publique avec le code du patrimoine.
Le I précise, comme cela est déjà le cas actuellement, que l'activité d'hébergement papier ou numérique doit donner lieu à un contrat entre l'hébergeur et la personne qui lui confie les données. Lorsque cette personne est un professionnel de santé exerçant une profession médicale, le contrat est soumis à l'ordre dont il dépend.
Le II soumet à agrément l'activité d'hébergement sur support papier ainsi que l'activité d'archivage électronique. Un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils des ordres des professions de santé en fixe les modalités. L'agrément peut être retiré en cas de manquement aux obligations relatives à cette activité.
Le III soumet à une obligation de certification l'activité d'hébergement de données de santé sur support numérique. Un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils des ordres des professions de santé en fixe les modalités.
Le IV renvoie à un décret en Conseil d'Etat la définition précise des différentes prestations d'hébergement, des responsabilités respectives de l'hébergeur - papier ou numérique - et des personnes physiques ou morales pour le compte desquelles les données sont conservées, ainsi que les mentions obligatoires figurant au contrat prévu au I.
Le V rappelle les différentes obligations qui pèsent sur l'hébergeur - papier ou numérique - notamment l'interdiction d'utiliser les données à d'autres fins que l'exécution de la prestation d'hébergement, ainsi que l'obligation de les restituer en fin de contrat.
Le VI confie à l'inspection générale des affaires sociales un pouvoir de contrôle sur les hébergeurs agréés.
Le VII définit une interdiction générale de céder à un tiers les données de santé y compris avec l'accord de la personne concernée.
Les 2° et 3° de l'article 1er mettent à jour l'article L. 1115-1 du code de la santé publique relatif aux sanctions pénales encourues par les hébergeurs qui hébergeraient des données de santé sans agrément ou « sans certificat de conformité technique ».
L'article 2 de l'ordonnance clarifie l'articulation entre le code de la santé publique et le code du patrimoine en précisant que l'externalisation des données de santé à caractère personnel ayant le statut d'archives publiques doit être confiée à un hébergeur agréé et/ou certifié dans les conditions de l'article L. 1111-8 du code de la santé publique.
L'article 3 définit les dispositions transitoires et finales nécessaires pour garantir une sécurité juridique aux hébergeurs de données de santé, en différant l'entrée en vigueur du nouvel article L. 1111-8 du code de la santé publique en fonction de la situation de l'hébergeur ou du candidat à l'hébergement de données de santé au moment de la publication et de l'entrée en vigueur de l'ordonnance.
L'article 4 précise les conditions d'application de l'ordonnance en outre-mer.
Tel est l'objet de la présente ordonnance que nous avons l'honneur de soumettre à votre approbation.
Veuillez agréer, Monsieur le Président, l'assurance de notre profond respect.