2016-05-25 ASIP Santé Ateliers PHW16 "Apports de la loi de santé (N°2016-41 du 26 janvier 2016) : focus sur la législation relative à l’hébergement des données de santé"
Atelier Paris Healthcare Week 2016
Apports de la loi de santé (N°2016-41 du 26 janvier 2016) : focus sur la législation relative à l’hébergement des données de santé
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
Similaire à 2016-05-25 ASIP Santé Ateliers PHW16 "Apports de la loi de santé (N°2016-41 du 26 janvier 2016) : focus sur la législation relative à l’hébergement des données de santé"
2013-05-28 ASIP Santé HIT "Actualité juridique de la e-santé"ASIP Santé
Similaire à 2016-05-25 ASIP Santé Ateliers PHW16 "Apports de la loi de santé (N°2016-41 du 26 janvier 2016) : focus sur la législation relative à l’hébergement des données de santé" (20)
CAT devant une Thrombose veineuse superficielle .pptx
2016-05-25 ASIP Santé Ateliers PHW16 "Apports de la loi de santé (N°2016-41 du 26 janvier 2016) : focus sur la législation relative à l’hébergement des données de santé"
1. Le cadre juridique de la santé
numérique
Florence EON, Directrice juridique, ASIP Santé
Kahina HADDAD, juriste, ASIP Santé
PARIS HEALTHCARE WEEK
25 MAI 2016
2. I - Un environnement juridique dense et en mutation
II – Le cadrage juridique d’un projet de e-santé
III - Les principaux apports du projet de loi de santé relatifs à la
production à l’échange et au partage des données de santé
dématérialisées…
…et leur déclinaison pratique du point de vue des porteurs de
projets de e-santé!
25 mai 2016PARIS HEALTHCARE WEEK 2
3. I - Un environnement juridique dense et en mutation
►Loi n° 2016-41 du 26 janvier 2016 de
modernisation de notre système de santé
- Référentiels de sécurité et d’interopérabilité – Art.
L1110-4-1 CSP
- Valeur probante- Art. 204 loi de santé
► Cadre de sécurité et fonctionnel
(PGSSI-S, CI-SIS,…)
►Projet de loi pour une République
numérique n°3318
►Loi n° 2015-1779 du 28 décembre 2015
relative à la gratuité et aux modalités de la
réutilisation des informations du secteur
public des informations du secteur public
►Règlement (UE) 2016/679 du 27 avril 2016
relatif à la protection des personnes physiques à
l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données,
et abrogeant la directive 95/46/CE
► Loi n°78-17 du 6 janvier 1978 modifiée relative à
l’informatique , aux fichiers et aux libertés
► Outils de labellisation, pack de conformité
►Règlement (UE) n°910/2014 du 23 juillet 2014
sur l’identification électronique et les services
de confiance pour les transactions
électroniques au sein du marché intérieur et
abrogeant la directive 1999/93/CE.
►Ordonnance du 10/02/2016 portant réforme
du droit des contrats (code civil)
PARIS HEALTHCARE WEEK 25 mai 2016 3
4. I- Un environnement juridique dense et en mutation
Les enjeux du cadre juridique de la santé numérique
• Les nouvelles technologies appliquées à la santé constituent un atout majeur
pour améliorer la qualité de la prise en charge des patients et pallier certaines
carences de l’offre de soins.
Contribue à l’égalité d’accès aux soins
• Elles influent sur la relation professionnel de santé / patient.
• Acte de télémédecine, acte médical réalisé à distance
• Surveillance v/ responsabilisation
• Elles constituent concomitamment une opportunité économique.
• Nouveaux modèles de prise en charge par les assurances
• Big data
25 mai 2016PARIS HEALTHCARE WEEK 4
5. I- Un environnement juridique dense et en mutation
Les enjeux du cadre juridique de la santé numérique
• Comment porter un projet numérique de e-santé en ayant recours aux nouvelles
technologies appliquées à la santé tout en veillant à la protection des droits
fondamentaux des personnes concernées et en particulier du droit au respect de
la vie privée ?
Exemple: la construction d’outils technologiques proposant des services
d’échange et de partage de données de santé destinées aux professionnels de santé,
aux professionnels du secteur social et aux patients.
• La coordination des soins implique l’échange et le partage de documents
contenant des données de santé à caractère personnel tout au long du parcours
de soins du patient et dans le but d’améliorer la qualité de sa prise en charge.
L’échange de documents vise à communiquer des données de santé à un (des)
destinataire(s) clairement identifié(s) ;
Le partage des documents vise à mettre à disposition de plusieurs
professionnels fondés à les connaître des informations utiles à la coordination et à la
continuité des soins ou à l’intérêt du patient.
25 mai 2016PARIS HEALTHCARE WEEK 5
6. II- Cadrage juridique d’un projet de e-santé
Pré-requis:
Vérification de la qualité du porteur de projet
(Action pour son propre compte ou mandat ? Légitimité ?
Périmètre de son action?)
Identifier les différentes dimensions juridiques
du projet
Ex: commande publique? Concurrence? Propriété
intellectuelle? Données personnelles? Données
personnelles de santé?
Détermination des marqueurs stratégiques du
projet ( Initiative? Finalité? Quelles attentes ,
pour qui? Périmètre? Budget? etc.)
25 mai 2016PARIS HEALTHCARE WEEK 6
7. • Un régime d’échange et de partage désormais fondé sur la notion d’équipe
de soins et sur le couple information/droit d’opposition (art. L1110-4);
• L’identification des patients: l’INS = NIR (art. L1111-8-1)
• La réforme de l’agrément relatif à l’hébergement des données de santé
(art.L1111-8-1)
• Le fondement unité des référentiels de sécurité et d’interopérabilité (art.
L1110-4-1).
La loi comporte d’autres dispositions relatives au partage et à la
dématérialisation des données de santé:
• Le repositionnement du DMP (art. L1111-14 et suivants);
• La mise à disposition des données de santé ou open data (art 96)
• Vers un cadre juridique pour reconnaître la valeur probante des dossiers
médicaux numérisés (article 204)
III - Les principaux apports du projet de loi de
santé relatifs à la production, à l’échange et au
partage des données de santé dématérialisées
8. L’échange et le partage de données de santé dans le respect
de la vie privée des patients : la nouvelle notion d’équipe de
soins
Le code de la santé publique rappelle la nécessité de garantir le respect de la vie
privée du patient en encadrant notamment les conditions d’échange et de partage des
informations de santé le concernant
Les conditions d’échange et de partage avant la loi de modernisation de notre
système de santé du 26 janvier 2016
PARIS HEALTHCARE WEEK
Partage de données de
santé entre professionnels
de santé exerçant au sein
d’un même établissement
de santé
L’équipe de soins –
Information – droit
d’opposition
Echange de données de
santé entre professionnels de
santé en dehors d’un
établissement de santé
Continuité des soins -
Information – droit
d’opposition
Partage de données de santé
entre professionnels de santé au
sein d’une maison ou d’un centre
de santé
PS adhérent au projet de santé –
consentement exprès
25 mai 2016 8
9. Les règles d’échange et de partage de données de santé depuis l’adoption de la
loi de modernisation de notre système de santé :
Un régime d’échange et de partage désormais fondé sur la notion d’équipe de
soins et sur le couple information / droit d’opposition
PARIS HEALTHCARE WEEK
Partage de données de santé entre professionnels ne
faisant pas partie de la même équipe de soins
Continuité des soins/ coordination / suivi médico-social –
Information – droit d’opposition
Partage de données de santé entre professionnels ne
faisant pas partie de la même équipe de soins
Continuité des soins/ coordination / suivi médico-social –
– consentement exprès (par tout moyen) – droit
d’opposition
Echange de données de santé
entre professionnels identifiés
participant à la coordination,
continuité des soins / suivi
médico-social –
Information – droit d’opposition
25 mai 2016 9
L’échange et le partage de données de santé dans le respect
de la vie privée des patients : la nouvelle notion d’équipe de
soins
10. PARIS HEALTHCARE WEEK 25 mai 2016 10
CAS 1
Ces professionnels exercent dans
- le même établissement de santé,
- dans le même établissement ou service social ou médico-social
mentionné au I de l’article L. 312-1 CASF
- dans le cadre d’une structure de coopération, d’exercice
partagé ou de coordination sanitaire ou médico-sociale figurant
sur une liste fixée par décret ;
EXEMPLE (sous réserve texte d’application)
- En établissement de santé
- En EHPAD
- Ou dans une structure telle qu’un
groupement de coopération sanitaire ou une
plateforme territoriale d’appui, équipe
MDPH,…
CAS 2
Ces professionnels se sont vu reconnaître la qualité de membre de
l’équipe de soins par le patient qui s’adresse à eux pour la
réalisation des consultations et des actes prescrits par un médecin
auquel il a confié sa prise en charge;
EXEMPLE
Le patient est pris en charge par un spécialiste
sur les indications de son médecin traitant.
CAS 3
Ces professionnels exercent dans un ensemble, comprenant au
moins un professionnel de santé, présentant une organisation
formalisée et des pratiques conformes à un cahier des charges fixé
par un arrêté du ministre chargé de la santé.
EXEMPLE ( sous réserve texte d’application)
Professionnelles respectant des protocoles
communs dans le cadre de réunions de
concertation pluridisciplinaires
« Equipe de soins »
L’échange et le partage de données de santé dans le respect de la vie privée
des patients : la nouvelle notion d’équipe de soins
Ensemble de professionnels qui participent directement au profit d’un même patient à la
réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap ou de
prévention de perte d’autonomie, ou aux actions nécessaires à leur coordination, et qui :
11. Résumons les conditions à respecter et dont la vérification est
placée sous la responsabilité de chaque professionnel:
1. Je participe directement à la réalisation d’un acte diagnostique,
thérapeutique, de compensation du handicap, de soulagement de la
douleur ou de prévention de perte d’autonomie, ou aux actions
nécessaires à la coordination de plusieurs de ces actes.
2. J’accède uniquement aux informations strictement nécessaires à la
réalisation de cet acte.
3. J’informe mon patient préalablement à la réalisation de l’acte sur les
conditions d’utilisation de ses données et de son droit d’opposition.
4. Je veille à choisir des outils dont les conditions techniques permettent
de respecter ces règles notamment en mettant en place des procédures
de gestion des habilitations, de prise en compte des droits des patients,
etc.
PARIS HEALTHCARE WEEK 25 mai 2016 11
12. • Cette obligation pèse sur tout professionnel visé à l’article L1110-4 , quel que soit son
mode d’exercice (libéral, en structure).
• Le partage (mais également l’échange) de données de santé nécessite de mettre en place
en place les moyens suffisants pour identifier les patients
• La nouvelle rédaction de l’article L. 1111-8-1 CSP dispose que
« Le numéro d’inscription au répertoire national d’identification des personnes physiques
est utilisé comme identifiant de santé des personnes pour leur prise en charge à des fins
sanitaires et médico-sociales dans les conditions prévues à l’article L. 1110-4.
Les données de santé rattachées à l’identifiant de santé sont collectées, transmises et
conservées dans le respect du secret professionnel et des référentiels de sécurité et
d’interopérabilité mentionnés à l’article L. 1110-4-1.
Les dispositions de la loi Informatique et Libertés prescrivant une procédure particulière
d'autorisation à raison de l'utilisation du NIR dans un traitement de données à caractère
personnel ne sont pas applicables aux traitements qui utilisent ce numéro
exclusivement dans les conditions prévues à l’article L.1111-8-1
Un décret en Conseil d’État pris après avis de la Commission nationale de l’informatique
et des libertés fixe les modalités qui autorisent l’utilisation de cet identifiant et qui en
empêchent l’utilisation à des fins autres que sanitaires et médico-sociales.
PARIS HEALTHCARE WEEK
« Identification du patient »
L’identifiant national de santé (article L1111-8-1 du CSP)
25 mai 2016 12
13. « Sécurisation des SI et des données de santé »
• Le responsable du traitement de données de santé à caractère personnel doit
s’assurer de mettre en œuvre (lui-même ou en ayant recourt à des sous-
traitants) les mesures de sécurité adaptées à la sensibilité des données.
Le règlement européen maintient le régime de protection renforcée de la donnée de
santé, qu’il définit en consacrant une approche large.
Il consacre d’autres obligations générales à l’égard du responsable de traitement, qui
concourent à garantir le respect de la vie privée des personnes : protection des données
dès la conception « Privacy by design », réalisation d’une « analyse d'impact relative à la
protection des données », obligation de notification d'une violation de données à
caractère personnel.
• La loi de modernisation de notre système de santé consacre une assise
législative unique pour les référentiels de sécurité et d’interopérabilité : nouvel
article L.1110-4-1 CSP
Il supprime la référence à la CPS (carte de professionnel de santé).
Il prévoit que les référentiels visant à garantir la qualité et la sécurité des données sont
élaborés et maintenus par l’ASIP Santé. Ils sont approuvés par voie d’arrêtés pris le
ministre chargé de la santé après avis de la CNIL et publiés au JORF.
PARIS HEALTHCARE WEEK 25 mai 2016 13
14. « Sécurisation des SI et des données de santé »
• L’encadrement des conditions de conservation des données de santé : le
principe de l’agrément pour l’hébergement de données de santé à caractère
personnel.
La loi de santé a élargi le champ d’application de l’article L.1111-8:
Tout responsable de traitement de données de santé à caractère personnel recueillies à
l’occasion des activités de prévention, de diagnostic, de soins ou de suivi médico-social
doit recourir à un hébergeur agréé dès lors qu’il souhaite externaliser des données de
santé
La loi de santé a supprimé l’obligation de recueil du consentement exprès.
L’hébergement exige une information claire de la personne concernée par les données de
santé hébergées et une possibilité pour celle-ci de s’y opposer.
• La procédure d’agrément pour l’hébergement de données de santé sur
support électronique fixée par le décret 2006-6 du 4 janvier 2006 a vocation à
être remplacée par une procédure de certification
Une réforme par voie d’ordonnance
L’article 204-I-5° de la loi de santé habilite le Gouvernement à agir par voie d’ordonnance
pour remplacer l’agrément par une évaluation de conformité technique délivrée par un
organisme certificateur accrédité
PARIS HEALTHCARE WEEK 25 mai 2016 14
15. Résumons les conditions à respecter dont la vérification est
placée sous la responsabilité de chaque porteur de projet
1. Je dois connaître les différents outils techniques utilisés pour permettre la collecte,
l’échange et le partage de données de santé et définir les moyens de sécurité à mettre
en œuvre au regard de la sensibilité de mon traitement.
2. Je dois préciser les rôles et responsabilités de chaque acteur qui intervient sur le SI
(administrateurs internes, sous-traitants, utilisateurs, etc.):
Le rôle de chacun doit me permettre de gérer les habilitations de chacun
Les moyens d’accès au SI doivent être définis dans le respect des règles existantes: exemple:
référentiel d’authentification des acteurs de santé de la PGSSI-S pour les PS
3. Mon SI doit me permettre d’identifier clairement la personne prise en charge et
d’utiliser l’INS pour échanger et partager des données de santé la concernant avec
d’autres professionnels.
4. Je dois m’interroger sur les conditions de conservation des données de santé : suis-je
soumis à l’agrément HDS?
Qui conserve… ( Identifier les différents acteurs)
…Quoi ? (Lister de façon exhaustive les catégories de données collectées)
....Pourquoi …? (Finalité d’utilisation des données)
…Pour qui ?
PARIS HEALTHCARE WEEK
25 mai 2016 15