Le projet de certification de l'hébergement de données de santé passe en Commission européenne

La commission européenne a reçu le 20 juillet un projet de décret relatif à l'hébergement de données de santé à caractère personnel, qui modifie le Code de la santé publique. Ce décret, dont l'entrée en vigueur est prévue au 1er janvier 2018, présente le nouveau processus de certification pour l'hébergement des données de santé qui devrait entrer en vigueur au plus tard en 2019.

Le décret définit le périmètre de la certification, les obligations et les conditions de certification des hébergeurs. L'activité d'hébergement des données de santé à caractère personnel concerne le fait d'assurer des activités pour le compte du responsable de traitement ou du patient dont la mise à disposition de l'infrastructure d'hébergement, l'administration du système d'information ou la sauvegarde des données de santé. Le contrat d'hébergement contient certaines clauses telles que la description des prestations réalisées, les lieux d'hébergement ou les modalités d'encadrement de l'accès aux données. Le certificat de conformité de l'hébergeur doit être délivré par un organisme de certification accrédité, par le comité français d’accréditation (Cofrac) ou l’instance nationale d’accréditation d’un autre État membre de l’Union européenne. "L’organisme de certification est accrédité conformément à un référentiel d’accréditation élaboré par l'agence des systèmes d'information partagés de santé (Asip santé)", est-il indiqué.

Ce projet fait référence à l'ordonnance no 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel, en application de l'article 204 de la loi de Santé. Il précise que "l'hébergement de données de santé à caractère personnel consiste à héberger ces données recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte des personnes physiques ou morales responsables de traitement et du patient lui-même". La loi citée vise notamment à garantir la protection de ces données tout en permettant leur exploitation par les professionnels de santé.

Charles Deyrieux