|
| |
Décret n° 2006-6 du 4 janvier 2006 relatif à
l'hébergement de données de santé à caractère personnel et modifiant le code de
la santé publique (dispositions réglementaires)
NOR: SANX0500308D
Le Président de la République,
Sur le rapport du Premier ministre et du ministre de la santé et des
solidarités,
Vu le code du patrimoine, notamment le titre Ier du livre II ;
Vu le code de la santé publique, notamment ses articles L. 1111-7, L. 1111-8 et
L. 1112-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux
fichiers et aux libertés ;
Vu la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans
leurs relations avec les administrations, notamment ses articles 21 et 24 ;
Vu le décret n° 79-1037 du 3 décembre 1979 relatif à la compétence des services
d'archives publics et à la coopération entre les administrations pour la
collecte, la conservation et la communication des archives publiques ;
Vu le décret n° 97-34 du 15 janvier 1997 modifié relatif à la déconcentration
des décisions administratives individuelles, notamment son article 2 ;
Vu le décret n° 97-1185 du 19 décembre 1997 modifié pris pour l'application à la
ministre de l'emploi et de la solidarité du 1° de l'article 2 du décret du 15
janvier 1997 relatif à la déconcentration des décisions administratives
individuelles ;
Vu l'avis du Conseil national de l'ordre des médecins en date du 1er avril 2004
;
Vu l'avis du Conseil national de l'ordre des chirurgiens-dentistes en date du 8
avril 2004 ;
Vu l'avis du Conseil national de l'ordre des pharmaciens en date du 11 mai 2004
;
Vu l'avis du Conseil national de l'ordre des sages-femmes en date du 26 mai 2004
;
Vu les avis de la Commission nationale de l'informatique et des libertés en date
des 27 mai 2004 et 15 mars 2005 ;
Le Conseil d'Etat (section sociale) entendu ;
Le conseil des ministres entendu,
Décrète :
Article 1
Le chapitre Ier du titre Ier du livre Ier de la première partie du code de la
santé publique (dispositions réglementaires) est ainsi modifié :
I. - La section unique devient la sous-section 1, intitulée « Sous-section 1 :
Accès aux informations de santé à caractère personnel », au sein d'une section 1
dont le titre est ainsi rédigé :
« Section 1
« Principes généraux »
II. - Après l'article R. 1111-8, il est ajouté une sous-section 2 ainsi rédigée
:
« Sous-section 2
« Hébergement des données de santé à caractère personnel
« Art. R. 1111-9. - Toute personne physique ou morale souhaitant assurer
l'hébergement de données de santé à caractère personnel, mentionné à l'article
L. 1111-8, et bénéficier d'un agrément à ce titre doit remplir les conditions
suivantes :
« 1° Offrir toutes les garanties pour l'exercice de cette activité, notamment
par le recours à des personnels qualifiés en matière de sécurité et d'archivage
des données et par la mise en oeuvre de solutions techniques, d'une organisation
et de procédures de contrôle assurant la sécurité, la protection, la
conservation et la restitution des données confiées, ainsi qu'un usage conforme
à la loi ;
« 2° Définir et mettre en oeuvre une politique de confidentialité et de
sécurité, destinée notamment à assurer le respect des exigences de
confidentialité et de secret prévues par les articles L. 1110-4 et L. 1111-7, la
protection contre les accès non autorisés ainsi que la pérennité des données, et
dont la description doit être jointe au dossier d'agrément dans les conditions
fixées par l'article R. 1111-14 ;
« 3° Le cas échéant, identifier son représentant sur le territoire national au
sens de l'article 5 de la loi du 6 janvier 1978 ;
« 4° Individualiser dans son organisation l'activité d'hébergement et les moyens
qui lui sont dédiés, ainsi que la gestion des stocks et des flux de données ;
« 5° Définir et mettre en place des dispositifs d'information sur l'activité
d'hébergement à destination des personnes à l'origine du dépôt, notamment en cas
de modification substantielle des conditions de réalisation de cette activité ;
« 6° Identifier les personnes en charge de l'activité d'hébergement, dont un
médecin, en précisant le lien contractuel qui les lie à l'hébergeur.
« Art. R.* 1111-10. - L'agrément nécessaire à l'activité d'hébergement de
données de santé à caractère personnel est délivré par le ministre chargé de la
santé, qui se prononce après avis de la Commission nationale de l'informatique
et des libertés et d'un comité d'agrément placé auprès de lui.
« A cet effet, la personne intéressée adresse au ministre chargé de la santé un
dossier de demande d'agrément comprenant les éléments mentionnés à l'article R.
1111-12. Le ministre transmet le dossier à la Commission nationale de
l'informatique et des libertés, qui apprécie les garanties présentées par le
candidat à l'agrément en matière de protection des personnes à l'égard des
traitements de données de santé à caractère personnel et de sécurité de ces
données. La commission rend son avis dans un délai de deux mois à compter de la
réception du dossier, délai pouvant être renouvelé une fois sur décision motivée
de son président.
« Dès que la commission s'est prononcée ou à l'expiration du délai qui lui était
imparti, elle transmet la demande d'agrément, accompagnée, le cas échéant, de
son avis, au comité d'agrément mentionné au premier alinéa. Ce comité se
prononce sur tous les aspects du dossier, en particulier sur les garanties
d'ordre éthique, déontologique, technique, financier et économique qu'offre le
candidat. Il émet son avis dans le mois qui suit la réception du dossier
transmis par la Commission nationale de l'informatique et des libertés. Il peut
toutefois demander un délai supplémentaire d'un mois.
« Le ministre chargé de la santé dispose, pour prendre sa décision, d'un délai
de deux mois suivant l'avis du comité d'agrément. A l'issue de ce délai, son
silence vaut décision de rejet.
« Art. R. 1111-11. - I. - Le comité d'agrément mentionné à l'article R. 1111-10
comprend :
« 1° Un membre de l'inspection générale des affaires sociales nommé sur
proposition du chef de l'inspection générale des affaires sociales ;
« 2° Deux représentants des associations compétentes en matière de santé,
agréées au niveau national dans les conditions prévues à l'article L. 1114-1 ;
« 3° Deux représentants des professions de santé, l'un nommé sur proposition du
Conseil national de l'ordre des médecins et l'autre sur proposition de l'Union
nationale des professions de santé ;
« 4° Trois personnalités qualifiées :
« a) Une personne choisie en raison de ses compétences dans les domaines de
l'éthique et du droit ;
« b) Une personne choisie en raison de ses compétences en matière de sécurité
des systèmes d'information et de nouvelles technologies ;
« c) Une personne choisie en raison de ses compétences dans le domaine
économique et financier.
« Le directeur général de la santé, le directeur de l'hospitalisation et de
l'organisation des soins, le directeur des Archives de France, le directeur
général des entreprises et le directeur général de la concurrence, de la
consommation et de la répression des fraudes, ou leurs représentants, assistent
aux séances du comité avec voix consultative.
« II. - Les membres du comité d'agrément, dont celui qui, parmi eux, exercera la
présidence du comité, sont nommés pour cinq ans par arrêté du ministre chargé de
la santé. Leur mandat est renouvelable une fois.
« Lors de leur entrée en fonction, les membres du comité adressent au président
une déclaration mentionnant toute activité personnelle ou professionnelle en
rapport direct ou indirect avec les missions du comité, ainsi que les liens
directs ou indirects qu'ils peuvent avoir avec tout organisme hébergeant ou
susceptible d'héberger des données de santé à caractère personnel ou avec les
organismes professionnels et les sociétés de conseil intervenant dans le domaine
de compétence du comité. Ils s'engagent à signaler toute modification concernant
cette situation.
« Ils ne peuvent siéger lorsque est examinée une affaire relative à un organisme
au sein duquel ils détiennent un intérêt, exercent des fonctions ou détiennent
un mandat, ou au sein duquel ils ont, au cours des dix-huit mois précédant la
séance, détenu un intérêt, exercé des fonctions ou détenu un mandat.
« Des suppléants en nombre égal au nombre de titulaires sont désignés dans les
mêmes conditions que ceux-ci. Un membre titulaire empêché ou intéressé par une
affaire est remplacé par son suppléant.
« Le remplacement d'un membre du comité en cas de cessation de fonction en cours
de mandat est réalisé dans les mêmes conditions que sa nomination et pour la
durée du mandat restant à courir.
« Les fonctions de membre du comité ouvrent droit à des indemnités pour frais de
déplacement et de séjour dans les conditions prévues par les dispositions
législatives et réglementaires applicables aux fonctionnaires civils de l'Etat.
« III. - Le comité d'agrément ne peut délibérer que si deux tiers au moins de
ses membres sont présents. Dans le cas contraire, une nouvelle séance peut se
tenir sans obligation de quorum après un délai de quinze jours.
« Les avis rendus par le comité sont motivés. Ils sont pris à la majorité des
voix exprimées des membres présents. En cas de partage égal des voix, celle du
président est prépondérante.
« IV. - Le comité d'agrément peut être saisi par le ministre chargé de la santé
de tout sujet entrant dans son domaine de compétence.
« Art. R. 1111-12. - Le dossier de demande d'agrément comprend les éléments
suivants :
« 1° L'identité et l'adresse du responsable du service d'hébergement et, le cas
échéant, de son représentant ; pour les personnes morales, les statuts sont
produits ;
« 2° Les noms, fonctions et qualifications des opérateurs chargés de mettre en
oeuvre le service, ainsi que les catégories de personnes qui, en raison de leurs
fonctions ou pour les besoins du service, ont accès aux données hébergées ;
« 3° L'indication des lieux dans lesquels sera réalisé l'hébergement ;
« 4° Une description du service proposé ;
« 5° Les modèles de contrats devant être conclus, en application du deuxième
alinéa de l'article L. 1111-8, entre l'hébergeur de données de santé et les
personnes physiques ou morales qui sont à l'origine du dépôt des données de
santé à caractère personnel ; ces modèles sont établis conformément aux
dispositions de l'article R. 1111-13 ;
« 6° Les dispositions prises pour assurer la sécurité des données et la garantie
des secrets protégés par la loi, notamment la présentation de la politique de
confidentialité et de sécurité prévue au 2° de l'article R. 1111-9 ;
« 7° Le cas échéant, l'indication du recours à des prestataires techniques
externes et les contrats conclus avec eux ;
« 8° Un document présentant les comptes prévisionnels de l'activité
d'hébergement et, éventuellement, les trois derniers bilans et la composition de
l'actionnariat du demandeur, ainsi que, dans le cas d'une demande de
renouvellement, les comptes de résultat et bilans liés à cette activité
d'hébergement depuis le dernier agrément.
« L'hébergeur déjà agréé informe sans délai le ministre chargé de la santé de
tout changement affectant les informations mentionnées ci-dessus et de toute
interruption, temporaire ou définitive, de son activité.
« Art. R. 1111-13. - Les modèles de contrats devant être joints à la demande
d'agrément, mentionnés au 5° de l'article R. 1111-12, contiennent
obligatoirement au moins les clauses suivantes :
« 1° La description des prestations réalisées : contenu des services et
résultats attendus ;
« 2° Lorsque le contrat est souscrit par la personne concernée par les données
hébergées, la description des modalités selon lesquelles les professionnels de
santé et les établissements de santé les prenant en charge et désignés par eux
peuvent être autorisés à accéder à ces données ou en demander la transmission et
l'indication des conditions de mise à disposition de ces données ;
« 3° Lorsque le contrat est souscrit par un professionnel de santé ou un
établissement de santé, la description des modalités selon lesquelles les
données hébergées sont mises à leur disposition, ainsi que les conditions de
recueil de l'accord des personnes concernées par ces données s'agissant tant de
leur hébergement que de leurs modalités d'accès et de transmission ;
« 4° La description des moyens mis en oeuvre par l'hébergeur pour la fourniture
des services ;
« 5° La mention des indicateurs de qualité et de performance permettant la
vérification du niveau de service annoncé, ainsi que de la périodicité de leur
mesure ;
« 6° Les obligations de l'hébergeur à l'égard de la personne à l'origine du
dépôt des données de santé à caractère personnel en cas de modifications ou
d'évolutions techniques introduites par lui ;
« 7° Une information sur les conditions de recours à d'éventuels prestataires
techniques externes et les engagements de l'hébergeur pour que ce recours assure
un niveau équivalent de garantie au regard des obligations pesant sur l'activité
d'hébergement ;
« 8° Une information sur les garanties permettant de couvrir toute défaillance
éventuelle de l'hébergeur ;
« 9° Une présentation des prestations à la fin de l'hébergement.
« Art. R. 1111-14. - Une présentation de la politique de confidentialité et de
sécurité, prévue au 2° de l'article R. 1111-9, doit être fournie à l'appui de la
demande d'agrément conformément au 6° de l'article R. 1111-12. Elle comporte
notamment les précisions suivantes :
« 1° En matière de respect des droits des personnes concernées par les données
hébergées :
« a) Les modalités permettant de s'assurer de l'existence du consentement de
l'intéressé à l'hébergement des données le concernant ;
« b) Les modalités retenues pour que l'accès aux données de santé à caractère
personnel et leur transmission éventuelle n'aient lieu qu'avec l'accord des
personnes concernées et par les personnes désignées par elles ;
« c) Les conditions dans lesquelles sont présentées et prises en compte les
éventuelles demandes de rectification des données de santé à caractère personnel
hébergées ;
« d) Les moyens mis en oeuvre pour assurer le respect des dispositions de
l'article L. 1111-7 relatif à l'accès des personnes à leurs informations de
santé, notamment en termes de délais et de modalités de consultation ;
« e) Les procédures de signalement des incidents graves, dont l'altération des
données ou la divulgation non autorisée des données personnelles de santé ;
« f) La fourniture à la personne concernée par les données hébergées, à sa
demande, de l'historique des accès aux données et des consultations ainsi que du
contenu des informations consultées et des traitements éventuellement opérés.
« 2° En matière de sécurité de l'accès aux informations :
« a) Les dispositions prises pour garantir la sécurité des accès et des
transmissions des données de santé à caractère personnel vis-à-vis des
établissements ou des professionnels de santé à l'origine du dépôt et des
personnes concernées par ces données ;
« b) Les mesures prises en matière de contrôle des droits d'accès et de
traçabilité des accès et des traitements ;
« c) Les conditions de vérification du contenu des traces des accès et des
traitements afin de détecter les tentatives d'effraction ou d'accès non
autorisés ;
« d) Les modalités de vérification du registre des personnes habilitées à
accéder aux données hébergées tenant compte des éventuelles mises à jour ;
« e) Les procédés techniques retenus en matière d'identification et
d'authentification ; en ce qui concerne les professionnels de santé, ces
procédés techniques doivent avoir été agréés par le groupement d'intérêt public
mentionné à l'article R. 161-54 du code de la sécurité sociale.
« 3° En matière de pérennité des données hébergées :
« a) Les procédures visant à assurer, au moment du transfert des données vers
l'hébergeur, la réception sécurisée des données et l'intégrité de celles-ci,
leur prise en compte dans le système d'information de l'hébergeur et le suivi de
cette prise en charge ;
« b) Les modalités de prise en compte et d'enrichissement tout au long de la
durée de l'hébergement, de l'ensemble des informations concernant les données
depuis leur création, telles que les données permettant de les identifier et de
les décrire, de les gérer, de déterminer leurs propriétés techniques et d'en
assurer la traçabilité ;
« c) Les modalités de surveillance des supports en vue d'anticiper les
changements technologiques et, le cas échéant, d'opérer des migrations de
supports dans des conditions en garantissant la traçabilité ;
« d) Les procédures liées à la réplication des données sur différents supports
informatiques en des lieux distincts ;
« e) Les conditions de mise en oeuvre d'une alerte concernant les formats
d'encodage des données, destinée à avertir la personne à l'origine du dépôt en
cas d'obsolescence de ce format et, éventuellement, les procédures visant à
réaliser, avec l'autorisation de la personne à l'origine du dépôt, des
migrations de formats des données, si ces derniers ne permettent plus d'assurer
la lisibilité des informations et à assurer la traçabilité de ces migrations.
« 4° En matière d'organisation et de procédures de contrôle interne en vue
d'assurer la sécurité des traitements et des données :
« a) La désignation d'un responsable sécurité et d'un responsable qualité ;
« b) La définition des missions, des pouvoirs et des obligations des personnels
de l'hébergeur et de ses éventuels sous-traitants, habilités à traiter les
données de santé à caractère personnel ;
« c) Les spécifications techniques des logiciels et des mécanismes de sécurité
propres à garantir la confidentialité des transmissions, notamment en ce qui
concerne le mode de chiffrement des flux d'information ;
« d) Les modalités retenues pour l'évaluation périodique des risques et l'audit
des mesures de protection mises en place afin de garantir la sécurité des
données et en vue d'apporter les modifications nécessaires en cas de détection
de défaillances ;
« e) Les dispositifs de simulation régulière de défauts de fonctionnement pour
vérifier l'efficacité des mécanismes destinés à garantir la continuité des
services ;
« f) Les moyens mis en oeuvre pour sensibiliser et former le personnel aux
mesures de protection mises en place et à leurs obligations en matière de
confidentialité et de respect du secret professionnel ;
« g) Les conditions de mise en oeuvre de la sécurité physique des sites
informatiques, des mesures de protection de l'infrastructure technique,
notamment en termes de sécurité des réseaux, des serveurs et des postes de
travail ;
« h) Les dispositions prises en ce qui concerne l'exploitation de
l'infrastructure technique ;
« i) Les conditions de mise en oeuvre du plan de secours informatique comportant
notamment les dispositions prises pour informer du déclenchement de ce plan les
personnes physiques ou morales à l'origine du dépôt des données de santé à
caractère personnel ainsi que les dispositions prises pour la reprise des
activités.
« Art. R. 1111-15. - L'agrément est délivré aux hébergeurs de données de santé à
caractère personnel pour une durée de trois ans.
« La demande de renouvellement doit être déposée au plus tard six mois avant le
terme de la période d'agrément. Elle comprend les documents mentionnés au 8° de
l'article R. 1111-12 et un récapitulatif des modifications intervenues depuis la
dernière demande d'agrément en ce qui concerne les autres documents mentionnés à
cet article, ainsi qu'un audit externe réalisé aux frais de l'hébergeur,
attestant de la mise en oeuvre de la politique de confidentialité et de sécurité
mentionnée à l'article R. 1111-14. Elle est instruite selon la même procédure
que celle applicable à la demande initiale.
« Les décisions d'agrément, ainsi que le renouvellement de cet agrément, sont
publiées au Bulletin officiel du ministère de la santé.
« Art. R. 1111-16. - Le ministre chargé de la santé, lorsqu'il envisage de
procéder au retrait d'un agrément en application du quatrième alinéa de
l'article L. 1111-8, communique à l'hébergeur intéressé, par lettre recommandée
avec demande d'avis de réception, les motifs de ce projet de retrait et
l'appelle à formuler ses observations, écrites ou, à sa demande, orales, dans un
délai de deux mois.
« En cas de divulgation non autorisée de données de santé à caractère personnel
ou de manquements graves de l'hébergeur à ses obligations mettant notamment en
cause l'intégrité, la sécurité et la pérennité des données hébergées, le
ministre chargé de la santé peut, à titre conservatoire, dans l'attente qu'il
soit statué définitivement sur le projet de retrait d'agrément, prononcer la
suspension de l'activité d'hébergement.
« La décision de retrait est notifiée à l'hébergeur intéressé, par lettre
recommandée avec demande d'avis de réception. Elle met fin de plein droit à
l'hébergement des données confiées à l'hébergeur et entraîne la restitution de
ces données aux personnes ayant contracté avec l'hébergeur.
« Les décisions de suspension et de retrait font l'objet de la mesure de
publicité prévue à l'article R. 1111-15. Elles sont transmises pour information
au comité d'agrément mentionné à l'article R. 1111-10 ainsi qu'à la Commission
nationale de l'informatique et des libertés. »
Article 2
I. - Après le premier alinéa de l'article R. 1111-2 du code de la santé
publique, il est inséré un alinéa ainsi rédigé :
« Dans le cas où les informations demandées sont détenues par un établissement
de santé et si les dispositifs techniques de l'établissement le permettent, le
demandeur peut également consulter par voie électronique tout ou partie des
informations en cause. »
II. - L'article R. 1112-7 du même code est remplacé par les dispositions
suivantes :
« Art. R. 1112-7. - Les informations concernant la santé des patients sont soit
conservées au sein des établissements de santé qui les ont constituées, soit
déposées par ces établissements auprès d'un hébergeur agréé en application des
dispositions à l'article L. 1111-8.
« Le directeur de l'établissement veille à ce que toutes dispositions soient
prises pour assurer la garde et la confidentialité des informations ainsi
conservées ou hébergées.
« Le dossier médical mentionné à l'article R. 1112-2 est conservé pendant une
durée de vingt ans à compter de la date du dernier séjour de son titulaire dans
l'établissement ou de la dernière consultation externe en son sein. Lorsqu'en
application des dispositions qui précèdent, la durée de conservation d'un
dossier s'achève avant le vingt-huitième anniversaire de son titulaire, la
conservation du dossier est prorogée jusqu'à cette date. Dans tous les cas, si
la personne titulaire du dossier décède moins de dix ans après son dernier
passage dans l'établissement, le dossier est conservé pendant une durée de dix
ans à compter de la date du décès. Ces délais sont suspendus par l'introduction
de tout recours gracieux ou contentieux tendant à mettre en cause la
responsabilité médicale de l'établissement de santé ou de professionnels de
santé à raison de leurs interventions au sein de l'établissement.
« A l'issue du délai de conservation mentionné à l'alinéa précédent et après, le
cas échéant, restitution à l'établissement de santé des données ayant fait
l'objet d'un hébergement en application de l'article L. 1111-8, le dossier
médical peut être éliminé. La décision d'élimination est prise par le directeur
de l'établissement après avis du médecin responsable de l'information médicale.
Dans les établissements publics de santé et les établissements de santé privés
participant à l'exécution du service public hospitalier, cette élimination est
en outre subordonnée au visa de l'administration des archives, qui détermine
ceux de ces dossiers dont elle entend assurer la conservation indéfinie pour des
raisons d'intérêt scientifique, statistique ou historique. »
III. - Le délai de conservation des dossiers médicaux fixé à l'article R. 1112-7
du code de la santé publique s'appliquera à l'issue d'un délai de douze mois
suivant la publication du présent décret.
Article 3
Au 2 du titre II de l'annexe au décret n° 97-1185 du 19 décembre 1997, le
tableau intitulé « code de la santé publique » est ainsi complété :
Vous pouvez consulter le tableau dans le JO
n° 4 du 05/01/2006 texte numéro 14
Article 4
Les dispositions du présent décret peuvent être modifiées par décret en Conseil
d'Etat, à l'exception de celles qui déterminent la compétence du ministre chargé
de la santé figurant à l'article R.* 1111-10 du code de la santé publique et de
celles de l'article 3 du présent décret dont la modification ne peut intervenir
que dans les conditions prévues à l'article 2 du décret du 15 janvier 1997.
Article 5
Le Premier ministre, le ministre de la santé et des solidarités et le ministre
de la culture et de la communication sont responsables, chacun en ce qui le
concerne, de l'application du présent décret, qui sera publié au Journal
officiel de la République française.
Fait à Paris, le 4 janvier 2006.
Jacques Chirac
Par le Président de la République :
Le Premier ministre,
Dominique de Villepin
Le ministre de la santé et des solidarités,
Xavier Bertrand
Le ministre de la culture
et de la communication,
Renaud Donnedieu de Vabres
|