Home / Publications / Les modifications récentes du régime juridique des...

Les modifications récentes du régime juridique des données de santé

27/02/2017

(Ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement des données de santé à caractère personnel, décret n° 2016-1871 du 26 décembre 2016 relatif au traitement de données à caractère personnel dénommé « système national des données de santé » et décret n° 2016-1872 du 26 décembre 2016 modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

Trois textes parus récemment sont directement relatifs aux données de santé. Il s’agit, d’une part, d’une ordonnance du 12 janvier 2017 qui, selon un calendrier particulièrement complexe, remplace le régime actuel de l’agrément des hébergeurs de données de santé par une accréditation délivrée par le COFRAC (I) et, d’autre part, de deux décrets du 26 décembre 2016 qui, après injonction du Conseil d’Etat, élargissent timidement, pour les personnes autres que les personnes publiques, l’accès aux données détenues par le SNIIRAM (II).

1. Les nouvelles dispositions applicables aux hébergeurs de données de santé (ordonnance n° 2017-27 du 12 janvier 2017)

L’article 204 de la loi du 26 janvier 2016 de modernisation de notre système de santé habilite notamment le Gouvernement à adopter par voie d’ordonnance les mesures relevant du domaine de la loi visant à « simplifier la législation en matière de traitement des données à caractère personnel et en particulier à remplacer l’agrément prévu à l’article L 1111-8 du code de la santé publique (CSP) par une évaluation de conformité technique réalisée par un organisme certificateur accrédité par l’instance nationale d’accréditation prévue à l’article 137 de la loi n° 2008-776 du 4 août 2008 ou par l’organisme compétent équivalent d’un autre État membre ».

Sur ce fondement, le Gouvernement a adopté l’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement des données de santé à caractère personnel (JORF du 13 janvier 2017, texte n° 17).

Comme indiqué ci-dessus, ce texte a pour objet principal de modifier l’article L 1111-8 du CSP. Dans sa nouvelle rédaction, cet article prévoit que :

  • l’hébergeur de données de santé sur support numérique est nécessairement titulaire d’un certificat de conformité (qui remplace donc l’agrément) délivré par l’instance française d’accréditation1 ou l’instance nationale équivalente d’un autre État membre de l’Union (article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie) ;
  • l’hébergeur de données de santé qui les conserve dans un système d’archivage est agréé à cette fin par le ministre de la culture ;
  • l’accès aux données se fait dans les conditions prévues aux articles L 1110-4 et L 1111-7 du CSP (sans changement).

Ces nouvelles dispositions entrent en vigueur à une date qui sera fixée par décret et au plus tard le 1er janvier 2019. Toutefois, les agréments délivrés antérieurement à cette date demeurent jusqu’à leur terme. Les hébergeurs dont l’agrément vient à échéance dans les douze mois suivant la date de l’entrée en vigueur de l’ordonnance du 12 janvier 2017 disposent d’un délai qui sera fixé par décret pour se mettre en conformité. Les dossiers de demande d’agrément ou de renouvellement d’agrément déposés à compter du 14 janvier 2017 sont instruits sur le fondement de la législation applicable à la date du dépôt. L’agrément est régi par la législation applicable à la date de la demande.

2. L'élargissement des droits d'accès aux informations détenues par le SNIIRAM (décrets n° 2016-1871 et n° 2016-1872 du 26 décembre 2016)

Le système national d’information interrégimes de l’assurance maladie (SNIIRAM) qui fonctionne entre les trois caisses centrales – CNAMTS, MSA et RSI – est prévu par la loi de financement de la sécurité sociale (LFSS) pour 1999. Il est actuellement organisé par les articles L 1461-1 à L 1461-7 du CSP.

Ce dernier article prévoit que les mesures d’application sont déterminées par décret en Conseil d’Etat, pris après consultation de la CNIL2 . Tel est l’objet du décret n° 2016-1871 du 26 décembre 2016. Ce décret insère dans le CSP les articles R 1461-1 à R 1461-19 qui sont relatifs respectivement à l’organisation du système (R 1461-1 à R 1461-10) et à l’accès de certains services publics au système (R 1451-11 à R 1461-19).

Le nouveau dispositif repose sur la distinction entre les titulaires d’un droit d’accès permanent, limitativement énumérés par le décret, et les demandeurs occasionnels.

Les titulaires d’un droit d’accès permanent sont des services de l’Etat, des établissements publics ou des organismes chargés d’une mission de service public. Les 25 personnes ou catégories de personnes concernées sont limitativement énumérées au nouvel article R 1461-12. Les personnes autres que celles énumérées à cet article ne peuvent accéder au système que pour des travaux de recherches et après autorisation de la CNIL (II de l’article L 1461-3), via l’Institut national des données de santé, créé par l’article L 1462-1 inséré dans le CSP par l’article 193 de la loi du 26 janvier 2016.

Rappelons sur ce point que, par un arrêt CELTIPHARM en date du 20 mai 2016, le Conseil d’Etat avait jugé que le ministre ne pouvait légalement interdire l’accès aux données détenues par le SNIIRAM aux centres de recherche à but lucratif et avait fait injonction à la ministre d’abroger les dispositions d’un arrêté ministériel du 19 juillet 2013 (auquel se réfère toujours AMELI) qui interdisent cet accès à ces centres. Le nouveau régime respecte donc cette décision.

Ce décret entre en vigueur le 1er avril 2017.

Pour les industriels :

Le régime des autorisations délivrées par la CNIL est organisé par un autre décret, n° 2016-1872 adopté le même jour et publié le même jour qui modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (JORF du 28 décembre 2016, texte n° 34), pris, lui aussi, après consultation de la CNIL3.

Ce dernier décret entre en vigueur à la date à laquelle seront intervenues tant l’approbation de la convention constitutive de l’Institut national des données de santé (INDS) que l’installation du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé.

Les demandes transmises à la CNIL avant cette date sont instruites selon la législation applicable antérieurement à l’entrée en vigueur de la loi du 26 janvier 2016.

Enfin, on signalera, sur le même sujet, que le rapport MORANGE, préparé par la commission des affaires sociales de l’Assemblée Nationale dans le cadre de sa mission de suivi des lois de financement, a été mis en ligne sur le site internet de l’Assemblée Nationale le 21 février 2017 (dans sa version provisoire).

1 En pratique, le COFRAC (décret n° 2008-1401 du 19 décembre 2008).

2 Délibération n° 2016-316 du 13 octobre 2016 portant avis sur un projet de décret en Conseil d’Etat relatif au Système national des données de santé (demande d’avis n° 160181114) (JORF du 28 décembre 2016, texte n° 147).

3 Délibération n° 2016-317 du 13 octobre 2016 portant avis sur un projet de décret en Conseil d’Etat modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (JORF du 28 décembre 2016, texte n° 148).

Auteurs

La photo de Bernard Geneste
Bernard Geneste