1

Le cadre juridique de la santé numérique Journée nationale des industriels – 13 octobre 2016

Kahina HADDAD, juriste

1- Un cadre juridique dense et en mutation

2

2 - Le Règlement européen « protection des données »

3

• Directive 95/46, concerne les traitements de données à caractère personnel

• Transposée en France en 2004 dans la loi Informatique et Libertés

• Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et

Libertés

• Un texte européen, commun à tous les EM et directement applicable en France

(pas de transposition nécessaire)

• Un texte applicable dès le 25 mai 2018

• Un texte qui concerne toutes les entreprises ainsi que le secteur public

Avant le Règlement

Règlement UE 2016/679 du 27 avril 2016

2 - Le Règlement européen « protection des données »

4

• Renforcement des droits des personnes

Nouveaux devoirs pour les

RT : transparence,

informations supplémentaires

Nouveaux droits : droit à

l’oubli, portabilité des

données, limitation

• Modification du statut du sous-traitant

Régime, obligations

et clauses du contrat de ST Requalification Chaine de sous-traitance

• Obligation générale de notification des failles de sécurité

Tous les RT

Dans les

meilleurs délais

> 72h

Information des personnes concernées

dans certains cas

• Renforcement des pouvoirs des autorités de contrôle et des sanctions

Montant graduel des

amendes administratives Max 20 M ou 4% CA annuel mondial

3- Focus sur quelques dispositions de la Loi de Santé

5

• Supprime la référence à la CPS (carte de professionnel de santé). • Prévoit que les référentiels visant à garantir la qualité et la sécurité des données:

• sont élaborés et maintenus par l’ASIP Santé • sont approuvés par voie d’arrêtés pris par le ministre chargé de la santé après avis de la CNIL.

• Le processus d’élaboration de la PGSSI-S et le statut juridique des différentes composantes du corpus documentaire

doivent permettre une prise en compte rapide et efficace des évolutions industrielles et technologiques (accès en mobilité, tablettes, offres en mode SaaS, etc.) et faciliter l’appropriation par les acteurs directement concernés.

• Tout responsable de traitement de données de santé à caractère personnel recueillies à l’occasion des activités de prévention, de diagnostic, de soins ou de suivi médico-social doit recourir à un hébergeur agréé dès lors qu’il souhaite externaliser des données de santé

• Suppression de l’obligation de recueil du consentement exprès – mais l’obligation d’information claire de la personne concernée par les données de santé hébergées demeure avec une possibilité pour celle-ci de s’opposer à cet hébergement.

• Réforme par voie d’ordonnance • Habilitation du Gouvernement à agir par voie d’ordonnance pour remplacer l’agrément par une évaluation de

conformité technique délivrée par un organisme certificateur accrédité (article 204-I-5°) • Phase transitoire indispensable

• Consécration d’une assise législative unique pour les référentiels de sécurité et

d’interopérabilité : nouvel article L.1110-4-1 CSP

Conditions d’hébergement de données de santé à caractère personnel données de

santé à caractère personnel.

Modification de l’article L.1111-8 du code de la santé publique

Remplacement de la procédure d’agrément sur support électronique

par une procédure de certification

3- Focus sur quelques dispositions de la Loi de Santé

6

• AUJOURD’HUI : Les établissements et professionnels de santé conservent actuellement les documents sur support papier jusqu’à l’expiration des délais réglementaires de conservation (notamment celui des dossiers patients prévu à l’art. R1112-7 du code de la santé publique), afin de ne pas encourir de risques juridiques du fait de l’absence d’exigences techniques garantissant la valeur probante des données produites par le secteur de la santé. • DEMAIN :

L’article 204–5– d) habilite le gouvernement à agir par voie d’ordonnance afin de fixer un cadre juridique et technique pour la destruction des dossiers sur support papier après numérisation.

Nécessité de prévoir concomitamment les règles consacrant la valeur probante des dossiers dès lors que l’original conservé sur support autre que numérique pourra désormais être détruit. Objectifs :

• Déterminer les conditions reconnaissance de la valeur probante des documents nativement numériques ou des copies électroniques

• Clarifier dans le code de la santé publique l’articulation entre les textes applicables aux acteurs de la santé sans distinction de leur statut (privé, public – code civil, RGS, EIDAS, etc.)

• Un cadre juridique pour reconnaître la valeur probante des dossiers médicaux

numérisés

4- La signature électronique dans le règlement EIDAS

7

Signature électronique (SE) Signature électronique

avancée (SEA)

Signature électronique

qualifiée (SEQ)

La SE est définie comme un

ensemble de données sous

forme électronique, qui sont

jointes ou associées

logiquement à d’autres

données sous forme

électronique et que le

signataire utilise pour signer.

Le signataire est défini par le

règlement eIDAS comme « la

personne physique qui crée

une signature électronique ».

Ainsi, la signature électronique

au sens du règlement eIDAS

est nécessairement la signature

d’une personne physique, par

opposition à la notion de cachet

électronique, dont le créateur

est une personne morale.

Préc. art. 3-10

Préc. art. 3-9 et 3-24

La SEA est liée au signataire

de manière univoque.

Elle permet de l’identifier.

Elle est créée à l’aide de

données de création de SE

sous le contrôle exclusif du

signataire.

Elle est liée aux données

associées à cette signature de

sorte que toute modification

ultérieure est détectable

La SEQ est créée avec un

dispositif de création de SE

qualifié.

La SEQ repose sur un certificat

qualifié de SE.

Aucun acte d’exécution n’est prévu

concernant l’effet juridique attaché

par le règlement eIDAS à la

signature électronique

Rappel

4- La signature électronique dans le règlement EIDAS

8

• Les signatures électroniques non qualifiées ne se voient pas dénier toute valeur juridique

mais elles ne bénéficient pas a priori de l’équivalence avec la signature manuscrite.

Les modalités d’application du Règlement EIDAS sont précisées par plusieurs actes

d’éxecution

L’ANSSI (organe de contrôle du Règlement pour la France) va accompagner les acteurs ( FAQ,

référentiels, guides,etc.)

5- En synthèse

9

Dans cet environnement juridique dense et nécessairement évolutif, il est de

la responsabilité de chaque acteur participant à l’exploitation, l’échange et le

partage des données de santé, de prendre des mesures spécifiques pour

garantir le respect du cadre juridique de la santé numérique

Il relève de la mission de l’ASIP Santé de contribuer à créer les conditions

d’un « espace national de confiance » :

o en facilitant l’orientation et le parcours des patients dans le cadre des

grands chantiers nationaux qui lui sont confiés (MSSanté, SI-Samu, PSIG,

etc.),

o mais également au travers de son rôle dans la définition des prérequis au

développement des systèmes d’information partagés de santé (cadre

fonctionnel d’interopérabilité et de sécurité, infrastructures techniques,

confidentialité et usages).

Merci de votre attention

10