Dans la continuité de la loi du 26 janvier 2016 sur la modernisation du système de santé, l’ordonnance n°2012-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel vient modifier la législation en la matière.

Que change l’ordonnance ?

Le règlement européen du 27 avril 2016 définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». L’un des principaux changements introduits par l’ordonnance concerne l’agrément des hébergeurs de telles données.

Jusqu’à présent, les hébergeurs sur support numérique des données de santé à caractère personnel étaient approuvés via un agrément d’une durée de trois ans, délivré après instruction d’un dossier par l’Agence française de la santé numérique. L’ordonnance du 12 janvier 2017, qui entrera en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019, remplace cet agrément par un certificat délivré aux hébergeurs par des organismes de certification accrédités par l’instance française d’accréditation (Comité Français d’Accréditation, COFRAC) ou celle d’un Etat membre de l’Union Européenne. Les détenteurs actuels d’un agrément pourront le conserver jusqu’à son échéance et devront se mettre en conformité dans un délai fixé par décret.

Une sécurité accrue

Les conditions de cette ordonnance assurent la sécurité des données de santé à caractère personnel. En effet, tout type d’hébergement, sur support numérique ou physique, devra faire l’objet d’un contrat et d’une notification de la personne concernée. L’ordonnance précise également les modalités d’accès et d’utilisation des données hébergées. En effet, leur utilisation est restreinte à la prestation d’hébergement, avec restitution des données – sans garder de copie – au terme du contrat. Par ailleurs, l’ordonnance interdit la cession à titre onéreux des données, y compris avec l’accord de la personne concernée et rappelle l’obligation de secret professionnel à laquelle sont tenus les hébergeurs. Enfin, un avantage majeur de ce nouveau processus de certification par des organismes sera la réduction du délai d’instruction.

…et des impacts en termes de coûts.

Si les hébergeurs pourront profiter de cette nouvelle mesure qui leur donnera accès au référencement international ISO et ainsi leur fera gagner une visibilité à l’international, ce nouveau processus va entraîner des conséquences en termes de coût. En effet, ils vont devoir prendre en charge le coût de la certification. Par ailleurs, dans un objectif de sécurité, les hébergeurs pourront également faire l’objet de contrôles par l’inspection générale des affaires sociales.

Les données de santé sont encore sous-exploitées

La prochaine étape en France concernant l’hébergement des données de santé pourrait être la mise en place du Dossier Médical Partagé (DMP), déjà mis en place aux Etats-Unis. Il s’agit d’une plateforme de stockage qui centralise les données de santé de tous les citoyens. Ce dossier permettrait notamment une meilleure prise en charge et un meilleur traitement des patients. En outre, les données ainsi récoltées représentent une véritable mine d’informations pour la recherche. L’un des enjeux majeurs du 21ème siècle serait d’arriver à exploiter ces données en préservant l’anonymat des patients.