Arrêté du 27 février 2017 relatif au traitement automatisé de données à caractère personnel dénommé « portail de signalement des évènements sanitaires indésirables »

JORF n°0056 du 7 mars 2017
texte n° 18




Arrêté du 27 février 2017 relatif au traitement automatisé de données à caractère personnel dénommé « portail de signalement des évènements sanitaires indésirables »

NOR: AFSP1706241A
ELI: https://www.legifrance.gouv.fr/eli/arrete/2017/2/27/AFSP1706241A/jo/texte


La ministre des affaires sociales et de la santé,
Vu le code des relations entre le public et l'administration ;
Vu le code de la santé publique, notamment ses articles L. 1111-24 et D. 1413-58 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 3 novembre 2016,
Arrête :


L'Agence des systèmes d'information partagés de santé met en œuvre le traitement automatisé de données à caractère personnel mentionné à l'article D. 1413-58 du code de la santé publique, dénommé « portail de signalement des évènements sanitaires indésirables ».
Ce traitement a pour finalités :
1° De promouvoir et recueillir le signalement d'événements sanitaires indésirables en mettant à la disposition du public et des professionnels un service d'information sur les vigilances, les déclarations et de manière générale sur la veille et la sécurité sanitaire ;
2° D'orienter le public, les professionnels de santé, les professionnels des secteurs sanitaire et médico-social ainsi que les industriels et autres professionnels vers le formulaire permettant de déclarer l'événement sanitaire indésirable constaté et figurant sur la liste mentionnée au premier alinéa de l'article D. 1413-58 du code de la santé publique ou vers le formulaire destiné à recueillir les déclarations d'événements sanitaires indésirables ne figurant pas sur la liste mentionnée au premier alinéa de l'article D. 1413-58 précité et relevant de la compétence des agences régionales de santé ;
3° De transmettre les signalements ainsi déclarés aux professionnels chargés de leur traitement ou évaluation ;
4° D'assurer l'information des déclarants sur le traitement de leur déclaration et, s'il s'agit de professionnels de santé, de mettre à leur disposition un espace personnel comprenant un historique de leurs déclarations.


Les catégories de données à caractère personnel et d'informations enregistrées dans le traitement autorisé par l'article 1er sont les suivantes :
1° Des données contenues dans les formulaires de déclaration des événements sanitaires indésirables figurant sur la liste mentionnée à l'article D. 1413-58 du code de la santé publique et comprenant notamment :
a) Des données relatives à l'identification de la personne sujet du signalement de l'événement sanitaire indésirable ou numéro d'identification de la personne permettant de garantir la protection de sa vie privée, description de l'événement et de sa gravité, de sa cause potentielle et tout élément nécessaire à assurer l'évaluation ou le traitement de l'événement ;
b) Des données relatives à l'identification des déclarants : adresse électronique et numéro de téléphone, nom, prénoms ainsi que, le cas échéant, numéro d'inscription au répertoire partagé des professionnels de santé (RPPS) et structure de rattachement.
2° Des données contenues dans les espaces personnels des utilisateurs :
a) Des données relatives à l'identification des déclarants mentionnées au b du 1° ;
b) Des données relatives à l'historique des déclarations effectuées : type de déclaration, date de déclaration et service chargé de l'évaluation ;
c) Des données relatives à l'identification du professionnel chargé du traitement ou de l'évaluation de l'événement : adresse électronique et numéro de téléphone, nom, prénoms ainsi que, le cas échéant, numéro d'inscription au répertoire partagé des professionnels de santé (RPPS) et structure de rattachement ;
d) Des données relatives à l'identification des gestionnaires de compte et administrateurs : adresse électronique et numéro de téléphone, nom, prénoms et structure de rattachement.


Les données mentionnées aux 1° et aux a et b du 2° de l'article 2 du présent arrêté sont accessibles dans le respect des règles garantissant la confidentialité des informations couvertes par le secret professionnel, aux établissements publics mentionnés aux articles L. 1313-1, L. 1413-1, L. 1418-1, L. 1431-1 et L. 5311-1 du code de la santé publique et aux organismes composant le réseau régional de vigilances et d'appui mentionné à l'article L. 1435-12 du même code pour le traitement des signalements. Sont seuls autorisés à accéder à ces données, les agents de ces établissements et organismes nommément désignés et habilités à cet effet par le directeur ou le responsable de chacun de ces organismes, dans la stricte mesure où elles sont nécessaires à l'exercice des missions qui leur sont confiées.
L'Agence des systèmes d'information partagés de santé accède aux données mentionnées au 2° de l'article 2 relatives aux utilisateurs possédant un espace personnel, aux données de traçabilité des actions effectuées dans le portail et aux données nécessaires à l'élaboration des indicateurs de pilotage et de suivi du fonctionnement du portail.


Les données contenues dans les formulaires de déclaration des effets ou événements indésirables et les données relatives à l'identification des déclarants sont conservées pendant la durée nécessaire à leur transmission aux professionnels chargés de leur évaluation ou de leur traitement.
Les données relatives au numéro RPPS, au type de déclaration, à la date de déclaration et au service chargé de l'évaluation sont conservées pendant une durée d'un an afin de permettre au déclarant disposant d'un espace personnel de consulter l'historique des déclarations qu'il a effectuées.


L'Agence des systèmes d'information partagés de santé est responsable de la mise en œuvre des mesures de sécurité destinées à garantir la confidentialité et l'intégrité de la conservation, de la sauvegarde et des transmissions de données à caractère personnel enregistrées dans le traitement.
Les données permettant l'identification des personnes sujets des déclarations et les données d'authentification des personnes habilitées à accéder aux données en application de l'article 3 sont strictement séparées des autres données. Le système assure la traçabilité des actions effectuées sur ces données. Les traces techniques relatives à ces actions ne sont pas conservées plus de six mois.
Les moyens d'authentification des personnes habilitées à accéder aux données en application de l'article 3 sont spécifiques à chaque catégorie d'utilisateurs du portail.


Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement.
L'Agence des systèmes d'information partagés de santé met en œuvre une information du public sur la création du traitement automatisé, ses finalités et les droits des personnes concernées. Cette information précise notamment que les droits d'accès et de rectification des données concernant les personnes sujets de la déclaration s'exercent auprès du correspondant informatique et libertés de l'Agence des systèmes d'information partagés de santé ou, le cas échéant, auprès des agences ou autorités chargées du traitement ou de l'évaluation des déclarations.
Les déclarants et les professionnels chargés du traitement ou de l'évaluation exercent leurs droits d'accès et de rectification des données mentionnées aux a et b du 2° de l'article 2 auprès du correspondant informatique et libertés de l'Agence des systèmes d'information partagés de santé.


Le directeur général de la santé est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.


Fait le 27 février 2017.


Pour la ministre et par délégation :

Le directeur général de la santé,

B. Vallet