Projet de loi visant à sécuriser et réguler l’espace numérique (2024-05-23)
Version précédente : 0d9a542d
📋 Dossier : Voir le dossier
Résumé IA
Ces changements suppriment l'ensemble du cadre réglementaire spécifique régissant l'hébergement des données de santé, y compris les obligations de certification, d'agrément et de secret professionnel imposées aux hébergeurs. Par conséquent, les droits des citoyens à une protection stricte de leurs données médicales via ce dispositif légal disparaissent, tout comme les garanties contractuelles et les contrôles administratifs prévus pour assurer la confidentialité et la sécurité de ces informations. L'impact pour les usagers est une perte de sécurité juridique immédiate concernant le stockage de leurs données de santé, qui ne sont plus soumises aux exigences de conformité et de traçabilité établies par cet ancien article.
Informations
- Objet
- Projet de loi visant à sécuriser et réguler l’espace numérique
- Type
- Projet de loi
- Rapporteurs
- Anne Le Hénanff HOR
- Denis Masséglia LAREM
- Louise Morel DEM
- Loïc Hervé
- Mireille Clapot LAREM
- Patrick Chaize
- Paul Midy RE
- Gouvernement
- Attal
- Publication
- 2024-05-22
- NOR
- ECOI2309270L
- Source
- Légifrance ↗
Ce qui a changé 1 fichier +30 -30
| Article LEGIARTI000033862549 L9445→9445 | ||
| 9445 | 9445 | |
| 9446 | 9446 | Ces manquements sont passibles d'une amende administrative dont le montant ne peut excéder 3 000 € pour une personne physique et 15 000 € pour une personne morale. L'amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V du code de la consommation. |
| 9447 | 9447 | |
| 9448 | **Article LEGIARTI000033862549** | |
| 9449 | ||
| 9450 | I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. | |
| 9451 | ||
| 9452 | L'hébergement, quel qu'en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. | |
| 9453 | ||
| 9454 | La prestation d'hébergement de données de santé à caractère personnel fait l'objet d'un contrat. | |
| 9455 | ||
| 9456 | II.-L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. S'il conserve des données dans le cadre d'un service d'archivage électronique, il est soumis aux dispositions du III. | |
| 9457 | ||
| 9458 | Ce certificat est délivré par des organismes de certification accrédités par l'instance française d'accréditation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne mentionnée à l'article 137 de la loi n° [2008-776 ](/affichTexteArticle.do?cidTexte=JORFTEXT000019283050&idArticle=JORFARTI000019284119&categorieLien=cid)du 4 août 2008 de modernisation de l'économie. | |
| 9459 | ||
| 9460 | Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé. | |
| 9461 | ||
| 9462 | III.-L'hébergeur de données mentionnées au premier alinéa du I est agréé par le ministre chargé de la culture pour la conservation de ces données sur support papier ou sur support numérique dans le cadre d'un service d'archivage électronique. | |
| 9463 | ||
| 9464 | Les conditions d'agrément sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé. | |
| 9465 | ||
| 9466 | L'agrément peut être retiré, dans les conditions prévues par les articles [L. 121-1](/affichCodeArticle.do?cidTexte=LEGITEXT000031366350&idArticle=LEGIARTI000031367424&dateTexte=&categorieLien=cid), [L. 121-2 ](/affichCodeArticle.do?cidTexte=LEGITEXT000031366350&idArticle=LEGIARTI000031367426&dateTexte=&categorieLien=cid)et [L. 122-1 ](/affichCodeArticle.do?cidTexte=LEGITEXT000031366350&idArticle=LEGIARTI000031367431&dateTexte=&categorieLien=cid)du code des relations entre le public et l'administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément. | |
| 9467 | ||
| 9468 | IV.-La nature des prestations d'hébergement mentionnées aux II et III, les rôles et responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées, ainsi que les stipulations devant figurer dans le contrat mentionné au I sont précisés par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé. | |
| 9469 | ||
| 9470 | V.-L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat dans le respect des articles [L. 1110-4 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685745&dateTexte=&categorieLien=cid)et [L. 1111-7](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685776&dateTexte=&categorieLien=cid). | |
| 9471 | ||
| 9472 | Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d'autres fins que l'exécution de la prestation d'hébergement. Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l'article [226-13 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417944&dateTexte=&categorieLien=cid)du code pénal. | |
| 9473 | ||
| 9474 | VI.-Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles [L. 1421-2 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006687048&dateTexte=&categorieLien=cid)et [L. 1421-3](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006687051&dateTexte=&categorieLien=cid), au contrôle de l'inspection générale des affaires sociales et des agents mentionnés aux articles [L. 1421-1 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006687045&dateTexte=&categorieLien=cid)et [L. 1435-7](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000020891685&dateTexte=&categorieLien=cid), à l'exception des hébergeurs certifiés dans les conditions définies au II. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé. | |
| 9475 | ||
| 9476 | VII.-Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article [226-21](/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417978&dateTexte=&categorieLien=cid) du code pénal. | |
| 9477 | ||
| 9478 | 9448 | **Article LEGIARTI000041721051** |
| 9479 | 9449 | |
| 9480 | 9450 | I. - Toute personne a le droit d'être informée sur son état de santé. Cette information porte sur les différentes investigations, traitements ou actions de prévention qui sont proposés, leur utilité, leur urgence éventuelle, leurs conséquences, les risques fréquents ou graves normalement prévisibles qu'ils comportent ainsi que sur les autres solutions possibles et sur les conséquences prévisibles en cas de refus. Elle est également informée de la possibilité de recevoir, lorsque son état de santé le permet, notamment lorsqu'elle relève de soins palliatifs au sens de l'article [L. 1110-10](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685753&dateTexte=&categorieLien=cid), les soins sous forme ambulatoire ou à domicile. Il est tenu compte de la volonté de la personne de bénéficier de l'une de ces formes de prise en charge. Lorsque, postérieurement à l'exécution des investigations, traitements ou actions de prévention, des risques nouveaux sont identifiés, la personne concernée doit en être informée, sauf en cas d'impossibilité de la retrouver. |
| Article LEGIARTI000049571347 L9599→9569 | ||
| 9599 | 9569 | |
| 9600 | 9570 | II. - Dans le cadre du suivi de son patient, le médecin traitant s'assure que celui-ci est informé de la possibilité de désigner une personne de confiance et, le cas échéant, l'invite à procéder à une telle désignation. |
| 9601 | 9571 | |
| 9572 | **Article LEGIARTI000049571347** | |
| 9573 | ||
| 9574 | I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. | |
| 9575 | ||
| 9576 | L'hébergement, quel qu'en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. | |
| 9577 | ||
| 9578 | La prestation d'hébergement de données de santé à caractère personnel fait l'objet d'un contrat. | |
| 9579 | ||
| 9580 | II.-L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. | |
| 9581 | ||
| 9582 | Ce certificat est délivré par des organismes de certification accrédités par l'instance française d'accréditation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne mentionnée à l'article 137 de la loi n° [2008-776 ](/affichTexteArticle.do?cidTexte=JORFTEXT000019283050&idArticle=JORFARTI000019284119&categorieLien=cid)du 4 août 2008 de modernisation de l'économie. | |
| 9583 | ||
| 9584 | Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé. | |
| 9585 | ||
| 9586 | III.-L'hébergeur de données mentionnées au premier alinéa du I est agréé par le ministre chargé de la culture pour la conservation de ces données sur support papier ou sur support numérique dans le cadre d'un service d'archivage électronique. | |
| 9587 | ||
| 9588 | Les conditions d'agrément sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé. | |
| 9589 | ||
| 9590 | L'agrément peut être retiré, dans les conditions prévues par les articles [L. 121-1](/affichCodeArticle.do?cidTexte=LEGITEXT000031366350&idArticle=LEGIARTI000031367424&dateTexte=&categorieLien=cid), [L. 121-2 ](/affichCodeArticle.do?cidTexte=LEGITEXT000031366350&idArticle=LEGIARTI000031367426&dateTexte=&categorieLien=cid)et [L. 122-1 ](/affichCodeArticle.do?cidTexte=LEGITEXT000031366350&idArticle=LEGIARTI000031367431&dateTexte=&categorieLien=cid)du code des relations entre le public et l'administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément. | |
| 9591 | ||
| 9592 | IV.-La nature des prestations d'hébergement mentionnées aux II et III du présent article, les rôles et les responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées, les obligations de l'hébergeur en matière de stockage de ces données sur le territoire d'un Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen ainsi que les stipulations devant figurer dans le contrat mentionné au I, y compris concernant les mesures prises face aux risques de transfert de ces données ou d'accès non autorisé à celles-ci par des Etats tiers à l'Union européenne ou à l'Espace économique européen, sont précisés par un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux des ordres des professions de santé. | |
| 9593 | ||
| 9594 | V.-L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat dans le respect des articles [L. 1110-4 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685745&dateTexte=&categorieLien=cid)et [L. 1111-7](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685776&dateTexte=&categorieLien=cid). | |
| 9595 | ||
| 9596 | Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d'autres fins que l'exécution de la prestation d'hébergement. Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l'article [226-13 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417944&dateTexte=&categorieLien=cid)du code pénal. | |
| 9597 | ||
| 9598 | VI.-Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles [L. 1421-2 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006687048&dateTexte=&categorieLien=cid)et [L. 1421-3](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006687051&dateTexte=&categorieLien=cid), au contrôle de l'inspection générale des affaires sociales et des agents mentionnés aux articles [L. 1421-1 ](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006687045&dateTexte=&categorieLien=cid)et [L. 1435-7](/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000020891685&dateTexte=&categorieLien=cid), à l'exception des hébergeurs certifiés dans les conditions définies au II. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé. | |
| 9599 | ||
| 9600 | VII.-Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article [226-21](/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417978&dateTexte=&categorieLien=cid) du code pénal. | |
| 9601 | ||
| 9602 | 9602 | ## Section 2 : Expression de la volonté des malades refusant un traitement et des malades en fin de vie |
| 9603 | 9603 | |
| 9604 | 9604 | **Article LEGIARTI000006685790** |