Ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel


JORF n°0011 du 13 janvier 2017
texte n° 17




Ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel

NOR: AFSZ1626575R
ELI: https://www.legifrance.gouv.fr/eli/ordonnance/2017/1/12/AFSZ1626575R/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/ordonnance/2017/1/12/2017-27/jo/texte


Le Président de la République,
Sur le rapport du Premier ministre et de la ministre des affaires sociales et de la santé,
Vu la Constitution, notamment son article 38 ;
Vu le code du patrimoine, notamment son article L. 212-4 ;
Vu le code pénal, notamment ses articles 226-13 et 226-21 ;
Vu le code des relations entre le public et l'administration, notamment ses articles L. 121-1, L. 121-2 et L. 122-1 ;
Vu le code de la santé publique ;
Vu le code de justice administrative, notamment son article R. 123-20 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie, notamment son article 137 ;
Vu la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, notamment son article 204 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 15 décembre 2016 ;
Le Conseil d'Etat (section sociale) entendu ;
Le conseil des ministres entendu,
Ordonne :


I.-L'article L. 1111-8 du code de la santé publique est remplacé par les dispositions suivantes :


« Art. L. 1111-8.-I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article.
« L'hébergement, quel qu'en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.
« La prestation d'hébergement de données de santé à caractère personnel fait l'objet d'un contrat.
« II.-L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. S'il conserve des données dans le cadre d'un service d'archivage électronique, il est soumis aux dispositions du III.
« Ce certificat est délivré par des organismes de certification accrédités par l'instance française d'accréditation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne mentionnée à l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie.
« Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
« III.-L'hébergeur de données mentionnées au premier alinéa du I est agréé par le ministre chargé de la culture pour la conservation de ces données sur support papier ou sur support numérique dans le cadre d'un service d'archivage électronique.
« Les conditions d'agrément sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
« L'agrément peut être retiré, dans les conditions prévues par les articles L. 121-1, L. 121-2 et L. 122-1 du code des relations entre le public et l'administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.
« IV.-La nature des prestations d'hébergement mentionnées aux II et III, les rôles et responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées, ainsi que les stipulations devant figurer dans le contrat mentionné au I sont précisés par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
« V.-L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat dans le respect des articles L. 1110-4 et L. 1111-7.
« Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d'autres fins que l'exécution de la prestation d'hébergement. Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.
« VI.-Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7, à l'exception des hébergeurs certifiés dans les conditions définies au II. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.
« VII.-Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal. »
II.-A l'article L. 1115-1 du même code, après le mot : « agrément » sont insérés les mots : « ou du certificat de conformité ».


A l'article L. 212-4 du code du patrimoine, le deuxième alinéa du II est remplacé par un alinéa ainsi rédigé :
« Les données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social procédant de l'activité des personnes visées à l'article L. 211-4 qui n'ont pas encore fait l'objet de la sélection prévue à l'article L. 212-3 peuvent être confiées, après en avoir fait la déclaration à l'administration des archives, à des personnes physiques ou morales titulaires de l'agrément ou du certificat de conformité prévus à cet effet à l'article L. 1111-8 du code de la santé publique. »


I. - La présente ordonnance entre en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019.
II. - Les agréments pour l'hébergement de données de santé sur support électronique pris sur le fondement de l'article L. 1111-8 avant l'entrée en vigueur de la présente ordonnance continuent à produire leurs effets jusqu'à leur terme.
L'hébergeur dont l'agrément mentionné à l'alinéa précédent arrive à échéance dans les douze mois suivant l'entrée en vigueur de l'article L. 1111-8 dans la rédaction issue de la présente ordonnance dispose d'un délai minimum fixé par décret pour se mettre en conformité avec l'obligation de disposer d'un certificat de conformité pour l'hébergement de données de santé à caractère personnel.
III. - Les dossiers de demande d'agrément ou de renouvellement d'agrément pour l'hébergement de données de santé à caractère personnel sur support électronique déposés avant l'entrée en vigueur de la présente ordonnance sont instruits dans les conditions prévues par l'article L. 1111-8 dans sa rédaction applicable à la date du dépôt de la demande. Lorsqu'il est délivré, l'agrément est régi par les dispositions applicables à la date de la demande.


I.-L'article L. 1111-8 du code de la santé publique est applicable à Wallis-et-Futuna dans sa rédaction résultant de l'ordonnance n° 2017-27 du 12 janvier 2017.
II.-L'article L. 1531-3 est ainsi modifié :
1° Le 4° est remplacé par un alinéa ainsi rédigé :
« 4° L'article L. 1111-8 est applicable dans sa rédaction de l'ordonnance n° 2017-27 du 12 janvier 2017, à l'exception de la dernière phrase du 3e alinéa du I, et les références L. 1421-3 et L. 1435-7 mentionnées au VI sont supprimées ; » ;
2° Le 5° est supprimé.
III.-L'article L. 212-4 du code du patrimoine est applicable à Wallis-et-Futuna et aux Terres australes et antarctiques françaises dans sa rédaction résultant de l'ordonnance n° 2017-27 du 12 janvier 2017.
IV.-Les I à III de l'article 3 de la présente ordonnance sont applicables à Wallis-et-Futuna et aux Terres australes et antarctiques françaises.


Le Premier ministre, la ministre des affaires sociales et de la santé, la ministre de la culture et de la communication et la ministre des outre-mer sont responsables, chacun en ce qui le concerne, de l'application de la présente ordonnance, qui sera publiée au Journal officiel de la République française.


Fait le 12 janvier 2017.


François Hollande

Par le Président de la République :


Le Premier ministre,

Bernard Cazeneuve


La ministre des affaires sociales et de la santé,

Marisol Touraine


La ministre de la culture et de la communication,

Audrey Azoulay


La ministre des outre-mer,

Ericka Bareigts