Version du 2011-03-07
N
Nomoscope4652d3fd7d76bd12e31169644eecfc14c1f7776aVersion précédente : e83650b3
Résumé IA
Ces changements simplifient le cadre réglementaire en supprimant les articles détaillant les conditions d'agrément et la procédure de délivrance pour les hébergeurs de données de santé, tout en précisant que l'hébergement concerne désormais spécifiquement les supports informatiques. Les droits des citoyens restent protégés par les exigences générales de sécurité et de confidentialité, mais la charge administrative pour les hébergeurs est allégée par la disparition de ces dispositions spécifiques. L'impact pour les citoyens est une clarification de la nature des supports concernés, sans modification immédiate des garanties fondamentales de protection de leurs données de santé.
Informations
- Gouvernement
- Fillon III
Ce qui a changé 1 fichier +79 -45
| Article LEGIARTI000006908146 L20821→20821 | ||
| 20821 | 20821 | |
| 20822 | 20822 | Pour l'application des dispositions mentionnées aux troisième à sixième alinéas de [l'article L. 1111-7](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685776&dateTexte=&categorieLien=cid), les informations de santé qui ont été déposées auprès d'un hébergeur par un professionnel ou un établissement de santé ne peuvent être communiquées par cet hébergeur à la personne qu'elles concernent qu'avec l'accord du professionnel de santé ou de l'établissement qui en a le dépôt. |
| 20823 | 20823 | |
| 20824 | ## Sous-section 2 : Hébergement des données de santé à caractère personnel | |
| 20825 | ||
| 20826 | **Article LEGIARTI000006908146** | |
| 20827 | ||
| 20828 | Toute personne physique ou morale souhaitant assurer l'hébergement de données de santé à caractère personnel, mentionné à l'article L. 1111-8, et bénéficier d'un agrément à ce titre doit remplir les conditions suivantes : | |
| 20829 | ||
| 20830 | 1° Offrir toutes les garanties pour l'exercice de cette activité, notamment par le recours à des personnels qualifiés en matière de sécurité et d'archivage des données et par la mise en oeuvre de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données confiées, ainsi qu'un usage conforme à la loi ; | |
| 20831 | ||
| 20832 | 2° Définir et mettre en oeuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret prévues par les articles L. 1110-4 et L. 1111-7, la protection contre les accès non autorisés ainsi que la pérennité des données, et dont la description doit être jointe au dossier d'agrément dans les conditions fixées par l'article R. 1111-14 ; | |
| 20833 | ||
| 20834 | 3° Le cas échéant, identifier son représentant sur le territoire national au sens de l'article 5 de la loi du 6 janvier 1978 ; | |
| 20835 | ||
| 20836 | 4° Individualiser dans son organisation l'activité d'hébergement et les moyens qui lui sont dédiés, ainsi que la gestion des stocks et des flux de données ; | |
| 20837 | ||
| 20838 | 5° Définir et mettre en place des dispositifs d'information sur l'activité d'hébergement à destination des personnes à l'origine du dépôt, notamment en cas de modification substantielle des conditions de réalisation de cette activité ; | |
| 20839 | ||
| 20840 | 6° Identifier les personnes en charge de l'activité d'hébergement, dont un médecin, en précisant le lien contractuel qui les lie à l'hébergeur. | |
| 20841 | ||
| 20842 | **Article LEGIARTI000006908147** | |
| 20843 | ||
| 20844 | L'agrément nécessaire à l'activité d'hébergement de données de santé à caractère personnel est délivré par le ministre chargé de la santé, qui se prononce après avis de la Commission nationale de l'informatique et des libertés et d'un comité d'agrément placé auprès de lui. | |
| 20845 | ||
| 20846 | A cet effet, la personne intéressée adresse au ministre chargé de la santé un dossier de demande d'agrément comprenant les éléments mentionnés à l'article R. 1111-12. Le ministre transmet le dossier à la Commission nationale de l'informatique et des libertés, qui apprécie les garanties présentées par le candidat à l'agrément en matière de protection des personnes à l'égard des traitements de données de santé à caractère personnel et de sécurité de ces données. La commission rend son avis dans un délai de deux mois à compter de la réception du dossier, délai pouvant être renouvelé une fois sur décision motivée de son président. | |
| 20847 | ||
| 20848 | Dès que la commission s'est prononcée ou à l'expiration du délai qui lui était imparti, elle transmet la demande d'agrément, accompagnée, le cas échéant, de son avis, au comité d'agrément mentionné au premier alinéa. Ce comité se prononce sur tous les aspects du dossier, en particulier sur les garanties d'ordre éthique, déontologique, technique, financier et économique qu'offre le candidat. Il émet son avis dans le mois qui suit la réception du dossier transmis par la Commission nationale de l'informatique et des libertés. Il peut toutefois demander un délai supplémentaire d'un mois. | |
| 20849 | ||
| 20850 | Le ministre chargé de la santé dispose, pour prendre sa décision, d'un délai de deux mois suivant l'avis du comité d'agrément. A l'issue de ce délai, son silence vaut décision de rejet. | |
| 20824 | ## Sous-section 2 : Hébergement des données de santé à caractère personnel sur support informatique | |
| 20851 | 20825 | |
| 20852 | 20826 | **Article LEGIARTI000006908149** |
| 20853 | 20827 | |
| Article LEGIARTI000006908152 L20955→20929 | ||
| 20955 | 20929 | |
| 20956 | 20930 | i) Les conditions de mise en œuvre du plan de secours informatique comportant notamment les dispositions prises pour informer du déclenchement de ce plan les personnes physiques ou morales à l'origine du dépôt des données de santé à caractère personnel ainsi que les dispositions prises pour la reprise des activités. |
| 20957 | 20931 | |
| 20958 | **Article LEGIARTI000006908152** | |
| 20959 | ||
| 20960 | L'agrément est délivré aux hébergeurs de données de santé à caractère personnel pour une durée de trois ans. | |
| 20961 | ||
| 20962 | La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d'agrément. Elle comprend les documents mentionnés au 8° de l'article R. 1111-12 et un récapitulatif des modifications intervenues depuis la dernière demande d'agrément en ce qui concerne les autres documents mentionnés à cet article, ainsi qu'un audit externe réalisé aux frais de l'hébergeur, attestant de la mise en oeuvre de la politique de confidentialité et de sécurité mentionnée à l'article R. 1111-14. Elle est instruite selon la même procédure que celle applicable à la demande initiale. | |
| 20963 | ||
| 20964 | Les décisions d'agrément, ainsi que le renouvellement de cet agrément, sont publiées au Bulletin officiel du ministère de la santé. | |
| 20965 | ||
| 20966 | **Article LEGIARTI000006908153** | |
| 20967 | ||
| 20968 | Le ministre chargé de la santé, lorsqu'il envisage de procéder au retrait d'un agrément en application du quatrième alinéa de l'article L. 1111-8, communique à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception, les motifs de ce projet de retrait et l'appelle à formuler ses observations, écrites ou, à sa demande, orales, dans un délai de deux mois. | |
| 20969 | ||
| 20970 | En cas de divulgation non autorisée de données de santé à caractère personnel ou de manquements graves de l'hébergeur à ses obligations mettant notamment en cause l'intégrité, la sécurité et la pérennité des données hébergées, le ministre chargé de la santé peut, à titre conservatoire, dans l'attente qu'il soit statué définitivement sur le projet de retrait d'agrément, prononcer la suspension de l'activité d'hébergement. | |
| 20971 | ||
| 20972 | La décision de retrait est notifiée à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception. Elle met fin de plein droit à l'hébergement des données confiées à l'hébergeur et entraîne la restitution de ces données aux personnes ayant contracté avec l'hébergeur. | |
| 20973 | ||
| 20974 | Les décisions de suspension et de retrait font l'objet de la mesure de publicité prévue à l'article R. 1111-15. Elles sont transmises pour information au comité d'agrément mentionné à l'article R. 1111-10 ainsi qu'à la Commission nationale de l'informatique et des libertés. | |
| 20975 | ||
| 20976 | 20932 | **Article LEGIARTI000021989426** |
| 20977 | 20933 | |
| 20978 | 20934 | I.-Le comité d'agrément mentionné à l'article R. 1111-10 comprend : |
| Article LEGIARTI000023664518 L21011→20967 | ||
| 21011 | 20967 | |
| 21012 | 20968 | IV.-Le comité d'agrément peut être saisi par le ministre chargé de la santé de tout sujet entrant dans son domaine de compétence. |
| 21013 | 20969 | |
| 20970 | **Article LEGIARTI000023664518** | |
| 20971 | ||
| 20972 | Le ministre chargé de la santé, lorsqu'il envisage de procéder au retrait d'un agrément en application du quatrième alinéa de [l'article L. 1111-8](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685779&dateTexte=&categorieLien=cid), communique à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception, les motifs de ce projet de retrait et l'appelle à formuler ses observations, écrites ou, à sa demande, orales, dans un délai de deux mois. | |
| 20973 | ||
| 20974 | En cas de divulgation non autorisée de données de santé à caractère personnel sur support informatique ou de manquements graves de l'hébergeur à ses obligations mettant notamment en cause l'intégrité, la sécurité et la pérennité des données hébergées, le ministre chargé de la santé peut, à titre conservatoire, dans l'attente qu'il soit statué définitivement sur le projet de retrait d'agrément, prononcer la suspension de l'activité d'hébergement. | |
| 20975 | ||
| 20976 | La décision de retrait est notifiée à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception. Elle met fin de plein droit à l'hébergement des données confiées à l'hébergeur et entraîne la restitution de ces données aux personnes ayant contracté avec l'hébergeur. | |
| 20977 | ||
| 20978 | Les décisions de suspension et de retrait font l'objet de la mesure de publicité prévue à [l'article R. 1111-15](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000023676893&dateTexte=&categorieLien=id "Code de la santé publique - art. R1111-15 \(VT\)"). Elles sont transmises pour information au comité d'agrément mentionné à [l'article R. 1111-10](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006908147&dateTexte=&categorieLien=cid) ainsi qu'à la Commission nationale de l'informatique et des libertés. | |
| 20979 | ||
| 20980 | **Article LEGIARTI000023676881** | |
| 20981 | ||
| 20982 | Toute personne physique ou morale souhaitant assurer l'hébergement de données de santé à caractère personnel sur support informatique, mentionné à l'article [L. 1111-8](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685779&dateTexte=&categorieLien=cid), et bénéficier d'un agrément à ce titre doit remplir les conditions suivantes : | |
| 20983 | ||
| 20984 | 1° Offrir toutes les garanties pour l'exercice de cette activité, notamment par le recours à des personnels qualifiés en matière de sécurité et d'archivage des données et par la mise en oeuvre de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données confiées, ainsi qu'un usage conforme à la loi ; | |
| 20985 | ||
| 20986 | 2° Définir et mettre en oeuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret prévues par les [articles L. 1110-4 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685745&dateTexte=&categorieLien=cid)et [L. 1111-7](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685776&dateTexte=&categorieLien=cid), la protection contre les accès non autorisés ainsi que la pérennité des données, et dont la description doit être jointe au dossier d'agrément dans les conditions fixées par [l'article R. 1111-14 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006908151&dateTexte=&categorieLien=cid); | |
| 20987 | ||
| 20988 | 3° Le cas échéant, identifier son représentant sur le territoire national au sens de [l'article 5 de la loi du 6 janvier 1978](/affichTexteArticle.do?cidTexte=JORFTEXT000000886460&idArticle=LEGIARTI000006528066&dateTexte=&categorieLien=cid) ; | |
| 20989 | ||
| 20990 | 4° Individualiser dans son organisation l'activité d'hébergement et les moyens qui lui sont dédiés, ainsi que la gestion des stocks et des flux de données ; | |
| 20991 | ||
| 20992 | 5° Définir et mettre en place des dispositifs d'information sur l'activité d'hébergement à destination des personnes à l'origine du dépôt, notamment en cas de modification substantielle des conditions de réalisation de cette activité ; | |
| 20993 | ||
| 20994 | 6° Identifier les personnes en charge de l'activité d'hébergement, dont un médecin, en précisant le lien contractuel qui les lie à l'hébergeur. | |
| 20995 | ||
| 20996 | **Article LEGIARTI000023676889** | |
| 20997 | ||
| 20998 | L'agrément nécessaire à l'activité d'hébergement de données de santé à caractère personnel sur support informatique est délivré par le ministre chargé de la santé, qui se prononce après avis de la Commission nationale de l'informatique et des libertés et d'un comité d'agrément placé auprès de lui. | |
| 20999 | ||
| 21000 | A cet effet, la personne intéressée adresse au ministre chargé de la santé un dossier de demande d'agrément comprenant les éléments mentionnés à l'article [R. 1111-12.](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006908149&dateTexte=&categorieLien=cid) Le ministre transmet le dossier à la Commission nationale de l'informatique et des libertés, qui apprécie les garanties présentées par le candidat à l'agrément en matière de protection des personnes à l'égard des traitements de données de santé à caractère personnel et de sécurité de ces données. La commission rend son avis dans un délai de deux mois à compter de la réception du dossier, délai pouvant être renouvelé une fois sur décision motivée de son président. | |
| 21001 | ||
| 21002 | Dès que la commission s'est prononcée ou à l'expiration du délai qui lui était imparti, elle transmet la demande d'agrément, accompagnée, le cas échéant, de son avis, au comité d'agrément mentionné au premier alinéa. Ce comité se prononce sur tous les aspects du dossier, en particulier sur les garanties d'ordre éthique, déontologique, technique, financier et économique qu'offre le candidat. Il émet son avis dans le mois qui suit la réception du dossier transmis par la Commission nationale de l'informatique et des libertés. Il peut toutefois demander un délai supplémentaire d'un mois. | |
| 21003 | ||
| 21004 | Le ministre chargé de la santé dispose, pour prendre sa décision, d'un délai de deux mois suivant l'avis du comité d'agrément.A l'issue de ce délai, son silence vaut décision de rejet. | |
| 21005 | ||
| 21006 | **Article LEGIARTI000023676893** | |
| 21007 | ||
| 21008 | L'agrément est délivré aux hébergeurs de données de santé à caractère personnel sur support informatique pour une durée de trois ans. | |
| 21009 | ||
| 21010 | La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d'agrément. Elle comprend les documents mentionnés au 8° de [l'article R. 1111-12 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006908149&dateTexte=&categorieLien=cid)et un récapitulatif des modifications intervenues depuis la dernière demande d'agrément en ce qui concerne les autres documents mentionnés à cet article, ainsi qu'un audit externe réalisé aux frais de l'hébergeur, attestant de la mise en oeuvre de la politique de confidentialité et de sécurité mentionnée à [l'article R. 1111-14](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006908151&dateTexte=&categorieLien=cid). Elle est instruite selon la même procédure que celle applicable à la demande initiale. | |
| 21011 | ||
| 21012 | Les décisions d'agrément, ainsi que le renouvellement de cet agrément, sont publiées au Bulletin officiel du ministère de la santé. | |
| 21013 | ||
| 21014 | ## Sous-section 3 : Hébergement des données de santé à caractère personnel sur support papier | |
| 21015 | ||
| 21016 | **Article LEGIARTI000023664603** | |
| 21017 | ||
| 21018 | Les [articles 20-1 à 20-3](/affichTexteArticle.do?cidTexte=JORFTEXT000000501017&idArticle=LEGIARTI000021048398&dateTexte=&categorieLien=cid "Décret n°79-1037 du 3 décembre 1979 - art. 20-1 \(Ab\)") du décret n° 79-1037 du 3 décembre 1979 relatif à la compétence des services d'archives publics et à la coopération entre les administrations pour la collecte, la conservation et la communication des archives publiques sont applicables au dépôt de données de santé à caractère personnel sur support papier revêtant le statut d'archives publiques. | |
| 21019 | ||
| 21020 | **Article LEGIARTI000023676900** | |
| 21021 | ||
| 21022 | S'il est mis en œuvre, l'hébergement des données de santé à caractère personnel sur support papier mentionné à [l'article L. 1111-8 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685779&dateTexte=&categorieLien=cid)est confié à une personne physique ou morale bénéficiant d'un agrément accordé par le ministre chargé de la culture dans les conditions définies par les [articles 20-5 à 20-8 ](/affichTexteArticle.do?cidTexte=JORFTEXT000000501017&idArticle=LEGIARTI000021048406&dateTexte=&categorieLien=cid "Décret n°79-1037 du 3 décembre 1979 - art. 20-5 \(Ab\)")et [20-10 à 20-13 ](/affichTexteArticle.do?cidTexte=JORFTEXT000000501017&idArticle=LEGIARTI000021048416&dateTexte=&categorieLien=cid "Décret n°79-1037 du 3 décembre 1979 - art. 20-10 \(Ab\)")du décret n° 79-1037 du 3 décembre 1979 relatif à la compétence des services d'archives publics et à la coopération entre les administrations pour la collecte, la conservation et la communication des archives publiques et sous réserve des dispositions de [l'article R. 1111-16-1](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000023664585&dateTexte=&categorieLien=cid "Code de la santé publique - art. R1111-16-1 \(V\)"). | |
| 21023 | ||
| 21024 | Le contrat de prestation d'hébergement cité au deuxième alinéa de l'article L. 1111-8 contient au moins les clauses suivantes : | |
| 21025 | ||
| 21026 | 1° La description des prestations réalisées : contenu des services, nature et volume des données, caractère d'archives publiques ou non des données hébergées, résultats attendus ; | |
| 21027 | ||
| 21028 | 2° La description des moyens mis en œuvre par le dépositaire pour la fourniture des services ; | |
| 21029 | ||
| 21030 | 3° La description des moyens mis en œuvre par le dépositaire pour mettre les données hébergées à disposition des professionnels ou établissement de santé ayant souscrit le contrat ; | |
| 21031 | ||
| 21032 | 4° Les modalités retenues pour que l'accès aux données de santé à caractère personnel et leur transmission éventuelle n'aient lieu qu'avec l'accord des personnes concernées et par les personnes désignées par elles ainsi que les dispositifs permettant d'assurer cet accès et cette éventuelle transmission ; | |
| 21033 | ||
| 21034 | 5° Les obligations à l'égard du déposant si le dépositaire procède à des modifications ou des évolutions des conditions d'hébergement ; | |
| 21035 | ||
| 21036 | 6° Une information sur les garanties permettant de couvrir toute défaillance du dépositaire ; | |
| 21037 | ||
| 21038 | 7° Les dispositifs de restitution des archives déposées à la fin du contrat de dépôt dans les conditions définies au quatrième alinéa du [R. 1112-7](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006908166&dateTexte=&categorieLien=cid), assortis d'un engagement de destruction intégrale des copies que le dépositaire aurait pu effectuer pendant la durée du dépôt ; | |
| 21039 | ||
| 21040 | 8° Une information sur les conditions de recours à des prestataires externes ainsi que les engagements du dépositaire pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l'activité de conservation ; | |
| 21041 | ||
| 21042 | 9° Les moyens mis en œuvre pour assurer le respect des dispositions de l'article [L. 1111-7 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685776&dateTexte=&categorieLien=cid)relatif à l'accès des personnes à leurs informations de santé, notamment en termes de délais et de modalités de consultation ; | |
| 21043 | ||
| 21044 | 10° La mention des polices d'assurance que le dépositaire souscrit pour couvrir les dommages et pertes que pourraient subir les données déposées, faisant apparaître que celles-ci excluent expressément les archives déposées du champ d'application de la clause de délaissement. | |
| 21045 | ||
| 21046 | Est réputée non écrite toute clause tendant à appliquer le droit de rétention aux données de santé à caractère personnel sur support papier. | |
| 21047 | ||
| 21014 | 21048 | ## Section 2 : Expression de la volonté relative à la fin de vie |
| 21015 | 21049 | |
| 21016 | 21050 | **Article LEGIARTI000006908155** |