Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Présentation

  • : Actualités du droit et de la santé ...
  • Actualités du droit et de la santé ...
  • : Ce site fait un lien entre le droit et la santé. Accessible à tout public, des informations juridiques, médicales, de droit médical et des actualités générales sont présentes. Les informations fournies sur [droit-medecine.over-blog.com] sont destinées à améliorer, non à remplacer, la relation qui existe entre le patient (ou visiteur du site) et son médecin.
  • Contact

Certification HON Code

Ce site respecte les principes de la charte HONcode de HON Ce site respecte les principes de la charte HONcode.
Site certifié en partenariat avec la Haute Autorité de Santé (HAS).
Vérifiez ici.

Recherche

Visiteurs uniques

   visiteurs uniques

 

Votre empreinte écologique

18 questions entre alimentation, logement, transport et  consommation
L'empreinte écologique moyenne d'un Français est de 56 400 m²/an. Et vous?
13 janvier 2017 5 13 /01 /janvier /2017 08:08

L'ordonnance 2017-27 relative à l'hébergement des données de santé à caractère personnel est prise au visa de la loi 2016-41 de modernisation de notre système de santé.

Les personnes prises en charge sont informées d'un hébergement de leurs données, par un hébergeur titulaire d'un certificat de conformité délivré par un organisme et agréé par le ministère de la culture.
L'entrée en vigueur est au 1er janvier 2019 au plus tard.

JORF n°0011 du 13 janvier 2017 texte n° 17

Ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel

NOR: AFSZ1626575R

ELI: https://www.legifrance.gouv.fr/eli/ordonnance/2017/1/12/AFSZ1626575R/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/ordonnance/2017/1/12/2017-27/jo/texte


Le Président de la République,
Sur le rapport du Premier ministre et de la ministre des affaires sociales et de la santé,
Vu la Constitution, notamment son article 38 ;
Vu le code du patrimoine, notamment son article L. 212-4 ;
Vu le code pénal, notamment ses articles 226-13 et 226-21 ;
Vu le code des relations entre le public et l'administration, notamment ses articles L. 121-1, L. 121-2 et L. 122-1 ;
Vu le code de la santé publique ;
Vu le code de justice administrative, notamment son article R. 123-20 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie, notamment son article 137 ;
Vu la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, notamment son article 204 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 15 décembre 2016 ;
Le Conseil d'Etat (section sociale) entendu ;
Le conseil des ministres entendu,
Ordonne :

 

Article 1 I.-L'article L. 1111-8 du code de la santé publique est remplacé par les dispositions suivantes :

« Art. L. 1111-8.-I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article.
« L'hébergement, quel qu'en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.
« La prestation d'hébergement de données de santé à caractère personnel fait l'objet d'un contrat.
« II.-L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. S'il conserve des données dans le cadre d'un service d'archivage électronique, il est soumis aux dispositions du III.
« Ce certificat est délivré par des organismes de certification accrédités par l'instance française d'accréditation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne mentionnée à l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie.
« Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
« III.-L'hébergeur de données mentionnées au premier alinéa du I est agréé par le ministre chargé de la culture pour la conservation de ces données sur support papier ou sur support numérique dans le cadre d'un service d'archivage électronique.
« Les conditions d'agrément sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
« L'agrément peut être retiré, dans les conditions prévues par les articles L. 121-1, L. 121-2 et L. 122-1 du code des relations entre le public et l'administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.
« IV.-La nature des prestations d'hébergement mentionnées aux II et III, les rôles et responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées, ainsi que les stipulations devant figurer dans le contrat mentionné au I sont précisés par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
« V.-L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat dans le respect des articles L. 1110-4 et L. 1111-7.
« Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d'autres fins que l'exécution de la prestation d'hébergement. Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.
« VI.-Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7, à l'exception des hébergeurs certifiés dans les conditions définies au II. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.
« VII.-Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal. »
II.-A l'article L. 1115-1 du même code, après le mot : « agrément » sont insérés les mots : « ou du certificat de conformité ».

 

Article 2 A l'article L. 212-4 du code du patrimoine, le deuxième alinéa du II est remplacé par un alinéa ainsi rédigé :
« Les données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social procédant de l'activité des personnes visées à l'article L. 211-4 qui n'ont pas encore fait l'objet de la sélection prévue à l'article L. 212-3 peuvent être confiées, après en avoir fait la déclaration à l'administration des archives, à des personnes physiques ou morales titulaires de l'agrément ou du certificat de conformité prévus à cet effet à l'article L. 1111-8 du code de la santé publique. »

 

Article 3 I. - La présente ordonnance entre en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019.
II. - Les agréments pour l'hébergement de données de santé sur support électronique pris sur le fondement de l'article L. 1111-8 avant l'entrée en vigueur de la présente ordonnance continuent à produire leurs effets jusqu'à leur terme.
L'hébergeur dont l'agrément mentionné à l'alinéa précédent arrive à échéance dans les douze mois suivant l'entrée en vigueur de l'article L. 1111-8 dans la rédaction issue de la présente ordonnance dispose d'un délai minimum fixé par décret pour se mettre en conformité avec l'obligation de disposer d'un certificat de conformité pour l'hébergement de données de santé à caractère personnel.
III. - Les dossiers de demande d'agrément ou de renouvellement d'agrément pour l'hébergement de données de santé à caractère personnel sur support électronique déposés avant l'entrée en vigueur de la présente ordonnance sont instruits dans les conditions prévues par l'article L. 1111-8 dans sa rédaction applicable à la date du dépôt de la demande. Lorsqu'il est délivré, l'agrément est régi par les dispositions applicables à la date de la demande.

 

Article 4 I.-L'article L. 1111-8 du code de la santé publique est applicable à Wallis-et-Futuna dans sa rédaction résultant de l'ordonnance n° 2017-27 du 12 janvier 2017.
II.-L'article L. 1531-3 est ainsi modifié :
1° Le 4° est remplacé par un alinéa ainsi rédigé :
« 4° L'article L. 1111-8 est applicable dans sa rédaction de l'ordonnance n° 2017-27 du 12 janvier 2017, à l'exception de la dernière phrase du 3e alinéa du I, et les références L. 1421-3 et L. 1435-7 mentionnées au VI sont supprimées ; » ;
2° Le 5° est supprimé.
III.-L'article L. 212-4 du code du patrimoine est applicable à Wallis-et-Futuna et aux Terres australes et antarctiques françaises dans sa rédaction résultant de l'ordonnance n° 2017-27 du 12 janvier 2017.
IV.-Les I à III de l'article 3 de la présente ordonnance sont applicables à Wallis-et-Futuna et aux Terres australes et antarctiques françaises.

 

Article 5 Le Premier ministre, la ministre des affaires sociales et de la santé, la ministre de la culture et de la communication et la ministre des outre-mer sont responsables, chacun en ce qui le concerne, de l'application de la présente ordonnance, qui sera publiée au Journal officiel de la République française.


Fait le 12 janvier 2017.


François Hollande

Par le Président de la République :


Le Premier ministre,

Bernard Cazeneuve


La ministre des affaires sociales et de la santé,
Marisol Touraine


La ministre de la culture et de la communication,
Audrey Azoulay


La ministre des outre-mer,
Ericka Bareigts

 

JORF n°0011 du 13 janvier 2017 texte n° 16

Rapport au Président de la République relatif à l'ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel

NOR: AFSZ1626575P

ELI: https://www.legifrance.gouv.fr/eli/rapport/2017/1/13/AFSZ1626575P/jo/texte


Monsieur le Président de la République,
La présente ordonnance est prise sur le fondement des a et c du 5° du I de l'article 204 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
Cet article habilite le Gouvernement à prendre par voie d'ordonnance, dans un délai de douze mois à compter de la promulgation de la loi, les mesures d'amélioration et de simplification du système de santé relevant du domaine de la loi et visant à simplifier la législation en matière de traitement des données de santé à caractère personnel.
L'ordonnance a ainsi pour objet :

- d'une part, de remplacer l'agrément pour l'hébergement de données de santé sur support électronique délivré par le ministre de la santé (après avis d'un comité d'agrément et de la Commission nationale de l'informatique et des libertés) par un certificat délivré par un organisme certificateur accrédité par le COFRAC ou un organisme européen équivalent ;
- d'autre part, d'harmoniser les dispositions du code du patrimoine et celles du code de la santé publique relatives aux conditions d'externalisation des données de santé à caractère personnel.


La nouvelle procédure de certification des hébergeurs de données de santé permettra d'accroître la sécurité des données de santé hébergées en complétant les audits documentaires par des audits sur site, de réduire les délais d'instruction des demandes des hébergeurs, aujourd'hui trop importants, et de faire bénéficier les acteurs concernés de la visibilité du dispositif à l'international par une référence à des certifications ISO largement répandues à l'échelle européenne et mondiale.
L'ordonnance vise également à garantir une meilleure articulation entre les dispositions du code du patrimoine et du code de la santé publique relatives aux modalités d'externalisation des données de santé. Elle permettra d'assurer une protection équivalente des données de santé quel que soit leur statut (données privées ou données publiques), aussi bien dans le cadre de prestations permettant leur traitement quotidien par les professionnels, les établissements et les organismes de santé ou sociaux et médico-sociaux, que s'agissant de prestations d'archivage.
Ces mesures s'appliqueront aux hébergeurs au plus tard le 1er janvier 2019 selon des modalités qui permettront une continuité d'exploitation pour les opérateurs titulaires d'un agrément ou dont l'agrément arriverait à échéance peu de temps après la date d'entrée en vigueur de l'ordonnance.
Le 1° de l'article 1er détermine les différents régimes d'autorisation préalable qui encadrent l'hébergement de données de santé, en tenant compte, d'une part, de la nouvelle procédure de certification et, d'autre part, de la clarification de l'articulation du code de la santé publique avec le code du patrimoine.
Le I précise, comme cela est déjà le cas actuellement, que l'activité d'hébergement papier ou numérique doit donner lieu à un contrat entre l'hébergeur et la personne qui lui confie les données. Lorsque cette personne est un professionnel de santé exerçant une profession médicale, le contrat est soumis à l'ordre dont il dépend.
Le II soumet à agrément l'activité d'hébergement sur support papier ainsi que l'activité d'archivage électronique. Un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils des ordres des professions de santé en fixe les modalités. L'agrément peut être retiré en cas de manquement aux obligations relatives à cette activité.
Le III soumet à une obligation de certification l'activité d'hébergement de données de santé sur support numérique. Un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils des ordres des professions de santé en fixe les modalités.
Le IV renvoie à un décret en Conseil d'Etat la définition précise des différentes prestations d'hébergement, des responsabilités respectives de l'hébergeur - papier ou numérique - et des personnes physiques ou morales pour le compte desquelles les données sont conservées, ainsi que les mentions obligatoires figurant au contrat prévu au I.
Le V rappelle les différentes obligations qui pèsent sur l'hébergeur - papier ou numérique - notamment l'interdiction d'utiliser les données à d'autres fins que l'exécution de la prestation d'hébergement, ainsi que l'obligation de les restituer en fin de contrat.
Le VI confie à l'inspection générale des affaires sociales un pouvoir de contrôle sur les hébergeurs agréés.
Le VII définit une interdiction générale de céder à un tiers les données de santé y compris avec l'accord de la personne concernée.
Les 2° et 3° de l'article 1er mettent à jour l'article L. 1115-1 du code de la santé publique relatif aux sanctions pénales encourues par les hébergeurs qui hébergeraient des données de santé sans agrément ou « sans certificat de conformité technique ».
L'article 2 de l'ordonnance clarifie l'articulation entre le code de la santé publique et le code du patrimoine en précisant que l'externalisation des données de santé à caractère personnel ayant le statut d'archives publiques doit être confiée à un hébergeur agréé et/ou certifié dans les conditions de l'article L. 1111-8 du code de la santé publique.
L'article 3 définit les dispositions transitoires et finales nécessaires pour garantir une sécurité juridique aux hébergeurs de données de santé, en différant l'entrée en vigueur du nouvel article L. 1111-8 du code de la santé publique en fonction de la situation de l'hébergeur ou du candidat à l'hébergement de données de santé au moment de la publication et de l'entrée en vigueur de l'ordonnance.
L'article 4 précise les conditions d'application de l'ordonnance en outre-mer.
Tel est l'objet de la présente ordonnance que nous avons l'honneur de soumettre à votre approbation.
Veuillez agréer, Monsieur le Président, l'assurance de notre profond respect.

Partager cet article

Repost 0
publié par Olivier SIGMAN - dans -> Textes légaux
commenter cet article

commentaires

Michel 11/03/2017 10:22

Bonjour,
A noter que même si la certification est confiée à des organismes extérieurs, le contrôle du ministère et des professionnels de santé reste très présent ; le pouvoir de contrôle et de sanction est assuré à l’Inspection générale des affaires sociales (IGAS). Reste à voir si celui-ci aura les moyens de sa mission, mais il est théoriquement mis en place. Cordialement - Michel

Traduction

Traduction en 9 langues disponibles