Elle a été rendue officiellement publique au JO le 13 janvier dernier. Le texte est le fruit de l’application de la loi de santé du 26 janvier 2016. Pour mémoire celle-ci prévoit le transfert de la procédure d’agrément Hébergeur de données de santé à caractère personnel (HDS) aujourd’hui assurée par le comité d’agrément des hébergeurs (CAH) sous la houlette de l’Agence des systèmes d’information partagés de santé (Asip santé), à un certificat délivré par un le Cofrac, organisme certificateur accrédité par le Comité français d’accréditation.
La nouvelle démarche de certification a vocation à renforcer la sécurité des données de santé hébergées. A cette fin, elle vient compléter les audits documentaires par des audits sur site. Corollaire, elle permet de rationaliser les délais d’instruction des demandes des hébergeurs. L’objectif est donc de donner une visibilité à ce dispositif à l’international grâce à des références aux certifications.
A savoir, l’hébergement de données de santé sur support numérique reste soumis à une obligation de certification, dont les modalités sont fixées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés (Cnil) et des conseils nationaux des ordres des professions de santé.
L’ordonnance publiée vendredi dernier reprécise les obligations des hébergeurs parmi lesquelles l’interdiction d’utiliser les données à d’autres fins que l’exécution de la prestation d’hébergement” et la restitution des données aux personnes qui les lui ont confiées “sans en garder copie lorsqu’il est mis fin à l’hébergement.
En outre, elle confie à l’IGAS (Inspection générale des affaires sociales) le pouvoir de contrôle des hébergeurs agréés et définit une interdiction générale de céder à un tiers les données de santé, y compris avec l’accord de la personne concernée.
Toutes les mesures décrites par l’ordonnance s’appliqueront à tous les hébergeurs au plus tard le 1er janvier 2019.
Les hébergeurs ayant déjà obtenu l’agrément HDS conservent celui-ci jusqu’à son échéance.
S’il arrive à échéance dans les 12 mois suivant l’entrée en vigueur des dispositions prévues par l’ordonnance, l’hébergeur dispose d’un délai minimum fixé par décret pour se mettre en conformité.
Les demandes d’agrément ou de renouvellement d’agrément HDS déposées avant l’entrée en vigueur de l’ordonnance sont instruites selon les conditions prévues par le code de la santé publique à la date du dépôt de la demande.
