Prises en application de la loi Santé, deux ordonnances visent à "simplifier la législation en matière de traitement des données de santé à caractère personnel". Bref tour d'horizon sur ces nouvelles règles susceptibles d'intéresser, notamment, les structures sociales et médico-sociales.
Service d'hébergement des données de santé
La première ordonnance (n° 2017-27), qui entrera en vigueur au plus tard le 1er janvier 2019 selon les modalités fixées par des décrets en attente, détaille la procédure de certification des hébergeurs de données de santé à caractère personnel qui, pour partie, se substituera à l'actuelle procédure d'agrément.
Les données ainsi visées sont celles qui sont recueillies "à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social".
En la matière, les établissements et services sociaux ou médico-sociaux (ESSMS) peuvent :
- soit conserver par leurs propres moyens ces données dans le respect, en particulier, de la loi "informatique et libertés" ;
- soit recourir à un tiers, lequel doit satisfaire aux obligations légales et réglementaires prévues en ce domaine, dont celle d'être agréé (ou, à l'avenir, d'être titulaire d'un "certificat de conformité" pour l'hébergement sur support numérique, l'agrément étant maintenu pour les activités d'hébergement sur support papier ou sur support numérique dans le cadre d'un archivage électronique).
Dans ce second cas, la prestation d'hébergement de données de santé à caractère personnel doit faire l'objet d'un contrat entre le déposant (l'ESSMS) et l'hébergeur.
Sans changement, l'ordonnance interdit aux hébergeurs :
- d'utiliser les données qui leur sont confiées à d'autres fins que l'exécution de la prestation d'hébergement ;
- de céder à un tiers, à titre onéreux, des données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée.
Enfin, obligation est faite aux hébergeurs de restituer les données aux personnes qui les lui ont confiées, sans en garder de copie, en fin de contrat.
Numérisation des documents comportant des données de santé
La deuxième ordonnance (n° 2017-29) précise notamment les conditions permettant de garantir une force probante aux données et documents de santé constitués sous forme numérique.
Sont concernés les documents comportant des données de santé à caractère personnel produits, reçus ou conservés, à l'occasion d'activités de prévention, de diagnostic, de soins, de compensation du handicap, de prévention de perte d'autonomie, ou de suivi social et médico-social, ces activités étant réalisées notamment par un professionnel du secteur médico-social ou social ou un ESSMS (les lieux de vie et d'accueil ne sont pas visés).
En la matière, le principe posé par l'ordonnance est celui de la fiabilité présumée de la copie numérique du document de santé original sur support papier. Cette présomption est simple, la fiabilité étant laissée à l'appréciation du juge en cas de litige, comme prévu par le code civil.
Sous réserve que leur copie numérique satisfait à ces règles de fiabilité et mis à part les archives publiques, les documents papiers d'origine peuvent être détruits avant la fin de la durée légale de conservation. Mesure pouvant soulager les professionnels des ESSMS lorsque le dossier de l'usager, au fil des années, devient difficilement gérable et exploitable.
Enfin, l'ordonnance n° 2017-29 confère la même force probante qu'un document sur support papier au document créé sous forme numérique. Ce, dès lors que sont respectées les conditions prévues par l'article 1366 du code civil, à savoir que :
- la personne dont l'écrit électronique émane doit pouvoir être dûment identifiée ;
- et cet écrit doit être établi et conservé "dans des conditions de nature à en garantir l'intégrité".
Sources : ordonnances n° 2017-27 et n° 2017-29 du 12 janvier 2017, JO du 13 janv.
Sybilline Chassat-Philippe