où en est-on sur…?
LE DOSSIER MÉDICAL
PERSONNEL
L’encadrement juridique
des hébergeurs
La procédure particulière d’agrément des hébergeurs de
données de santé à caractère personnel prévue par la loi
est entrée en vigueur le 4 janvier 2006, date de parution
du décret d’application des dispositions issues de la loi de
2002 sur les droits des malades. À la veille des expérimentations du dossier médical personnel, l’intervention de
ce texte était indispensable pour encadrer l’activité des
organismes appelés à conserver des dossiers médicaux.
Cet agrément est délivré par le ministre chargé de la
Santé, qui se prononce après avis de la CNIL et du
comité d’agrément créé auprès de lui.
Il s’agit donc d’organiser le dépôt et la conservation
des données de santé dans des conditions de nature à
garantir leur pérennité et leur confidentialité, à charge
pour l’hébergeur de les mettre à la disposition des
personnes autorisées selon des modalités définies par
contrat et de les restituer en fin de contrat. La prestation de
l’hébergeur ne se limite donc pas à un simple stockage de
données.
Un grand nombre d’applications sont ainsi susceptibles
d’être concernées par ces dispositions : le dossier médical
personnel (DMP), les réseaux de soins dès lors que ceux-ci
font héberger leurs données de santé, les sites ouverts au
public et qui hébergent les données de santé des patients
qui s’y connectent et l’archivage externe des dossiers
médicaux des établissements de soins.
Les personnes à l’origine du dépôt des données sont
exclusivement la personne concernée, les professionnels
de santé et les établissements de santé participant à
l’acte médical, qu’il soit préventif, diagnostic ou de soin.
À cet effet, un contrat doit être conclu entre le déposant
et l’hébergeur, qui détermine en particulier les droits et
obligations de chacun et les modalités d’accès et de
transmission des informations hébergées.
16 mai 2006. Le groupement d’intérêt public du dossier
médical personnel (GIP-DMP) qui coordonne l’expérimentation a conclu des conventions d’expérimentation avec
ces hébergeurs.
La suspension de la procédure
d’agrément des hébergeurs de
données de santé
La loi du 30 janvier 2007 ratifiant l’ordonnance du
26 août 2005 relative à l’organisation de certaines
professions de santé a suspendu, sauf lorsqu’il
s’agit d’héberger des dossiers médicaux
personnels, la procédure d’agrément pendant
deux ans à compter du 2 février 2007.
Cette suspension est justifiée par la nécessité de définir
préalablement des référentiels de sécurité communs à
l’ensemble du secteur de la santé.
La loi précise également que l’hébergeur doit satisfaire
aux dispositions de la loi du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés. De même, les
réseaux de soins, les professionnels de santé et les établissements de soins sont soumis au régime d’autorisation
(article 25-IV de la loi du 6 janvier 1978 – traitements
de données de santé justifiés par l’intérêt public) dans
la mesure où ils sont responsables des applications de
dossiers médicaux partagés.
Dans le cadre de l’expérimentation du DMP, les dossiers
médicaux personnels des patients volontaires pour
participer ont été hébergés par six hébergeurs de données
de santé agréés par décision du ministre de la Santé du
22 mai 2006, après avis de la CNIL du 21 mars 2006
et du comité d’agrément placé auprès du ministre du
63