L’informatisation des structures médicales est en marche. Que ce soit les hôpitaux, les cliniques ou encore les cabinets médicaux, les dossiers des patients sont de plus en plus volumineux. Le stockage est donc devenu un point essentiel pour le bon fonctionnement de leur activité. Pour cela ces institutions peuvent stocker les données elles-mêmes où se tourner vers une société spécialisée. Comment ces prestataires sont-ils en mesure de garantir la sécurité, la confidentialité et la disponibilité de ces données ?
Les antécédents
Les données de santé contiennent des informations concernant l’intimité de chacun, que ce soit des données de prévention, de soins, ou de diagnostic. Ces données peuvent être recueillies par des personnes physiques ou morales. De ce faite, elles sont soumises à la protection des données personnelles avec la loi Informatique et Libertés du 8 janvier 1978.
Les données concernées sont très sensibles, ainsi, pour pouvoir les héberger il faut un agrément du ministre de la santé.
Obtenir un agrément n’est pas une chose aisée et simple. Pour l’acquérir, il faut effectuer une démarche importante pour et pendant l’obtention de celui-ci. Une fois les compétences et le système de l’hébergeur analysé, l’agrément prévoit la désignation d’un médecin qui s’impliquera dans l’hébergement afin de se porter garant du secret médical.
L’hébergeur peut donc être une personne physique ou morale. Dans le cas de figure où c’est l’établissement hospitalier ou la clinique qui s’occupe lui-même d’héberger les données de santé, l’agrément du ministre de la santé n’est pas nécessaire. En effet, selon l’ASIP (Agence des Système d’Information Partagés de Santé) s’il y a unicité entre le producteur et celui qui héberge de ces données, celui-ci ne sera pas soumis à la réglementation des hébergeurs.
Une responsabilité sous ordonnance
Une fois l’agrément reçu par une société (physique ou morale), c’est elle qui sera responsable des opérations globales d’hébergement au regard la loi. Si cette société d’hébergement utilise un sous traitant, il aura les mêmes responsabilités en terme juridique que son employeur.
Les données doivent être hébergées dans un pays de l’Union Européenne, ou dans les 8 pays approuvés par la Commission Européenne, qui possèdent un niveau de sécurité adéquat. Néanmoins il est possible d’héberger des données dans un pays extérieur grâce au dispositif Binding Corporate Rules (BCR) et si le lieu en question respecte toutes les exigences citées ci-dessus.
Quoi de neuf docteur ?
A sa demande, celui-ci peut exiger la restitution de ses données. En effet la mise en place du plan d’Hôpital Numérique (de 2012 à 2016) doit permettre la recherche, la traçabilité, le stockage et la restitution des dossiers. Outre la transparence, le but de l’opération est aussi d’améliorer la prise des décisions politiques en matière de santé.
Le numérique a changé la donne en matière de santé, malgré de nombreuses barrières à l’entrée de ce marché, de plus en plus d’entreprises hébergent nos données médicales.
Il est difficile, face à cette multiplication des acteurs, de vraiment savoir si nos dossiers sont bien gardés, malgré les efforts en matières de législation de nos institutions publique.
One Comment
Paul
9 mars 2017 at 21 h 17 minA noter que la procédure pour l’agrément des données de santé a été revue par la loi de santé du 26 janvier 2016. L’agrément passe désormais par l’obtention de certifications ISO, sous le contrôle du ministère et des professionnels de la santé. La mise en place de la réforme doit se faire au 1er janvier 2019.