santé
Domaine Abonnez vous au flux RSS associé Archive RSS
Actu législation
- Manon Vincent

Marguerite Brac de la Perrière et Nicolas Dubospertus du Cabinet Bensoussan font le point sur le dossier médical sur clé USB. Il semble que le projet de décret soit toujours incomplet.

 

Contexte de l’expérimentation

- L’article 30 de la loi du 10 août 2011, dite « loi Fourcade » (1), intégrée à l’article L.1111-20 du Code de la santé publique, prévoit l’adoption d’un décret fixant les modalités de mise en oeuvre d’ « un dossier médical implanté sur un support portable numérique sécurisé » remis, à titre expérimental, à un échantillon de bénéficiaires de l'assurance maladie.

- C’est à l’issue de la séance plénière du 29 mars 2012 que la Cnil a adopté une délibération portant avis sur le projet de décret d’application qui lui a été communiqué.

- Alors que d’autres Etats, comme le Japon, ont d’ores et déjà déployé un dossier médical sur clé USB, cette ambition est confrontée en France à de nombreux obstacles politiques, techniques, économiques et juridiques.

- Appelée par l’ASIP Santé, en charge de cette expérimentation, à se prononcer sur le volet Informatique et libertés, la Cnil exprime de nombreuses réserves et souligne le manque de précision de ce texte dont la publication est pourtant d’autant attendue qu’une date butoir de réalisation de l’expérimentation a été fixée au 31 décembre 2013.

 

Imprécision du décret

- La Cnil relève que de nombreux aspects techniques sont subordonnés aux réponses qu’apporteront les candidats à l’appel d’offres de l’ASIP Santé en vue de la mise en oeuvre de cette expérimentation. La Cnil déplore en conséquence le fait de n’être pas en mesure de vérifier la conformité du projet de décret avec la règlementation applicable à la protection des données à caractère personnel.

- La Cnil relève que les mesures visant à garantir la sécurité et la confidentialité des données de santé conservées dans la clé USB ne sont pas précisées.

- En effet, le projet de décret prévoit que l’accès aux données stockées sera subordonné à l’utilisation par le patient d’un dispositif, non décrit en l’état, dont il aura le contrôle exclusif.

- Il pourrait notamment consister en l’utilisation d’un mot de passe, d’un logiciel de cryptage ou de reconnaissance vocale.

- S’agissant du contrôle de l’intégrité, la Cnil souligne en outre l’existence de risques de détérioration des données et de saturation de la mémoire liés aux limites techniques d’une clé USB.

- La Cnil relève par ailleurs que le projet de décret ne comporte pas d’indication tenant à la durée de conservation des données.

- La Cnil s’interroge en outre sur le contenu de la clé USB qui sera remise aux patients candidats à l’expérimentation : s’agira-t-il d’un support vide faisant alors fi des dispositions légales en vigueur ?

- Le risque de propagation de virus informatiques induit par la circulation des fichiers sur les différents postes informatiques du patient et des médecins est également relevé.

- Enfin, la libre réécriture par le patient des informations contenues dans la clé est susceptible d’affecter la confiance des médecins à l’égard de ce dossier dématérialisé.

 

(1) Loi n° 2011-940 du 10 août 2011.

 

Source : Marguerite Brac de la Perrière et Nicolas Dubospertus, Lettre Juristendance Informatique et télécoms, n°124, Juin 2012.

http://www.alain-bensoussan.com/avocats/juristendance-informatique-et-telecoms-juin-2012/2012/06/06


Actu marché
- Elise Garet

L'open data trouve son utilité dans de multiples domaines, dont celui de la santé. Sur son blog "usages d'entreprise", Marc Ribes le montre avec l'exemple d'une application britannique, UK Dentists, développée par Elbatrop grâce aux données publiques. Cette application de géolocalisation des dentistes s'appuie sur les données publiées par la National Health Service (NHS). Une telle application serait possible en France, notamment grâce aux données disponibles sur le site ameli.fr, mais après un lourd travail de mise en forme pour permettre leur réutilisation. Dans la même idée, un service de localisation des dentistes de garde de la région nantaise a été développé. L'application UK Dentists utilise un modèle économique direct, étant disponible en téléchargement sur l'AppStore pour 0,79€. Marc Ribes imagine tout le potentiel d'une telle application et de sa monétisation, comme la création de bouquets de services (généralistes, spécialistes, pharmacies...) adaptés à différentes catégories de réutilisateurs par exemple, ou encore la prise de rendez-vous en ligne avec la recherche de créneaux disponibles. Marc Ribes y voit aussi un outil de transparence qui permettra aux établissements de santé de s'améliorer constamment, grâce à des applications permettant de les évaluer selon certains critères.

Source: Orange Business Blog

- Manon Vincent

Le cabinet Bensoussan examine la sanction prononcée à l'encontre d'un hébergeur de données de santé, "la confidentialité des données hébergées n’étant pas garantie".

Première sanction à l’encontre d’un hébergeur

Dans un communiqué publié le 9 janvier 2012, la Commission informatique et libertés (Cnil) a indiqué avoir adressé un avertissement à un hébergeur agréé de données de santé pour « déclaration mensongère » contenue dans son dossier de demande d’agrément.
L’article L. 1111-8 du Code de la santé publique (CSP), issu de la loi du 4 mars 2002 (1), impose aux prestataires qui hébergent des données de santé d’être agréés par le Ministre chargé de la santé.
Les conditions de délivrance de l’agrément sont fixées par décret (2) qui prévoit au préalable, un avis de la Cnil se prononçant notamment sur les garanties offertes par le prestataire en matière de sécurité et de confidentialité.
En l’espèce, l’hébergeur incriminé avait déclaré dans son dossier d’agrément utiliser un procédé de chiffrement « fort » des données de santé à caractère personnel. Cette mesure de sécurité constituait un atout pour l’obtention de l’agrément.
Un an plus tard, lors d’un contrôle effectué sur place, la Cnil s’est aperçue que les données, protégées pour certaines par un codage interne, n’étaient donc pas chiffrées et restaient « accessibles aux administrateurs informatiques de la société et non pas exclusivement au personnel de santé habilité ».
Ce constat a conduit l’Autorité à prononcer un avertissement à l’encontre de l’hébergeur.


Une sanction mesurée

En 2011, la Cnil a inscrit le contrôle des hébergeurs de données de santé comme l’un des axes prioritaires de son programme annuel de contrôle.
En mars 2011, la Cnil a effectué cinq contrôles sur place qui lui ont permis de déceler des manquements en matière de traçabilité des accès, chiffrement des données et non-conformité avec les déclarations, sans pour autant prononcer de sanction, des mesures correctives ayant été mises en place par les hébergeurs.
En l’espèce, la confidentialité des données hébergées n’étant pas garantie, la Cnil a sanctionné cette faute de l’hébergeur par un avertissement. Cette sanction qui peut paraître légère s’explique par un double constat :
- les données de santé ne sont aujourd’hui chiffrées ni par les logiciels les plus utilisés du marché ni par les cartes CPS ou dispositifs équivalents, et ne sont donc en conséquence pas confiées chiffrées aux hébergeurs contraints de multiplier les mesures de sécurité pour pallier à cette carence ;
- l’hébergeur avait cependant pris soin de mettre en place un codage pour les données les plus sensibles.
En outre, il est probable que la Cnil n’ait pas voulu se montrer trop sévère à l’égard d’un hébergeur agréé, quand de nombreux prestataires exercent aujourd’hui de telles activités en dehors de tout agrément. En effet, au 12 janvier 2012, seuls 30 hébergeurs étaient agréés.

 

(1) Loi 2002-303 du 4-3-2002.
(2) Décret 2006-6 du 4-1-2006.

(3) CSP, art. R. 1110-3, Décr. 2007-960 du 15-5-2007.

 

Source : Marguerite Brac de la Perriere et Tiphaine Delannoy, Lettre JurisTendance Informatique et télécoms, n° 120, février 2012.

http://www.alain-bensoussan.com/avocats/juristendance-informatique-et-telecoms-fevrier-2012/2012/02/09

 



- Manon Vincent

Les pratiques liées aux TIC (Technologies de l'Information et de la Communication) en matière de santé sont strictement encadrées par la loi, comme le soulignent Jean-François Forgeron et Marie-Charlotte Grasset-Illouz du cabinet Bensoussan.

 

Les nouvelles technologies de l’information au profit de la santé

La loi « Hôpital, Patients, Santé et Territoires » du 21 juillet 2009 (1) avait consacré la télémédecine, en la définissant comme :
« une pratique médicale à distance utilisant les technologies de l'information et de la communication. Elle met en rapport, entre eux ou avec un patient, un ou plusieurs professionnels de santé, parmi lesquels figure nécessairement un professionnel médical et, le cas échéant, d'autres professionnels apportant leurs soins au patient ». (2)
Le décret « relatif à la télémédecine » publié au journal officiel le 21 octobre 2010 (3) vient préciser les actes de télémédecine ainsi que leurs conditions de mise en oeuvre et de prise en charge financière.
Ce décret était très attendu des professionnels de santé, en ce qu’il leur offre de nouvelles perspectives. Ainsi, pourront désormais être pratiquées à distance par les professionnels de santé :
- la téléconsultation
- la téléexpertise
- la télésurveillance médicale
- la télé-assistance médicale
- la réponse médicale


Des pratiques médicales à distance strictement encadrées

Ces pratiques sont bien entendu encadrées :

- Les actes doivent être pratiqués par des professionnels de santé disposant de la compétence et de la formation requises pour utiliser les dispositifs.
- L’usage des technologies (logiciels…) nécessaires à la télémédecine et l’hébergement associé ainsi que l’échange des informations doivent se faire dans le respect de la vie privée et du secret des informations médicales (4) [sécurité et confidentialité des données de santé : authentification forte des professionnels de santé, identification du patient, sécurisé, traçabilité des accès, usage des référentiels d’interopérabilité et de sécurité publiés par l’Agence des systèmes d’information partagés de santé (ASIP Santé) ….]
- Le consentement libre et éclairé du patient préalablement à la mise en oeuvre du traitement doit être recueilli, et lorsqu’il est recouru à l’hébergement des données le consentement exprès du patient peut être « exprimé par voie électronique ».
- L’ensemble des actes de télémédecine (leurs dates et heures) et des actes prescrits, ainsi que l’identité des professionnels de santé doivent être inscrits dans la fiche d’observation et le dossier du patient lesquels devront être informatisés.
- Les organismes et les professionnels de santé qui organisent entre eux une activité de télémédecine doivent conclure des conventions organisant leurs relations dans le respect des prescriptions légales et réglementaires (et notamment dans le respect des programmes annuels ou contrats pluriannuels ou conclus avec l’ARS).

 

(1) Décret 2010-1229 du 19-10-2010
(2) Loi 2009-879 du 21-07-2009

 

Source : Jean-François Forgeron et Marie-Charlotte Grasset-Illouz, Lettre Juristendance Informatique et Télécoms, n° 106, Novembre 2010.

http://www.alain-bensoussan.com/avocats/juristendance-informatique-telecoms-novembre-2010/2010/11/15

 

- Manon Vincent

Jean-François Forgeron et Marie-Charlotte Grasset-Illouz du cabinet Bensoussan font le point sur le cadre législatif de l'hébergement de données de santé.

 

Le cadre législatif de l’activité d’hébergement de données de santé

Le cadre législatif applicable en matière d'agrément des hébergeurs de données de santé à caractère personnel est fixé par l’article L.1111-8 du code de la santé publique, introduit par la loi du 4 mars 2002, dite loi « Kouchner ».
Les conditions d'agrément des hébergeurs sont fixées par le décret n°2006-6 du 4 janvier 2006. L'agrément est délivré pour une durée de trois ans par le ministre chargé de la santé, après avis motivé d'un Comité d'agrément et de la Cnil.
Après deux ans de suspension, la procédure d’agrément a été réintroduite en février 2009. L’agrément est ainsi obligatoire pour toute entité qui héberge des données de santé à caractère personnel recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, déposées par des professionnels de santé ou des établissements de santé ou par le patient lui-même.
A la date du 11 juillet 2010, douze sociétés d’hébergement de données de santé ont obtenu l’agrément du ministère de la Santé (1). L’agrément constitue ainsi une condition essentielle au «développement des systèmes d’informations partagés de santé ».


Les conditions de délivrance de l’agrément

Pour obtenir son agrément, l’hébergeur doit notamment démontrer qu’il assure un niveau élevé de protection des données des patients, en présentant des garanties en termes :
- de sécurité/confidentialité (personnel qualifié, désignation d’un médecin, politique de confidentialité et de sécurité, individualisation de l’activité d’hébergement des autres activités, utilisation d’un système d’information conforme aux référentiels d'interopérabilité et de sécurité tels que mis à jour par l’ASIP santé …) ;
- contractuel (hébergement de données comprenant les clauses requises par le code…) (2) ;
- de respect des droits des patients concernés par le traitement (…).
Le ministère de la Santé a, dans ce cadre, subordonné l’agrément d’une société (3) aux quatre recommandations suivantes :
- « l’hébergeur doit définir des procédures et mettre en place des mécanismes documentés permettant d’assurer l’intégrité des traces des opérations des administrateurs sur la plate-forme d’hébergement » ;
- « le contrat liant l’hébergeur à son client doit mentionner les mesures de sécurisation mises en oeuvre pour extraire des données de santé et les remettre s’il en est fait la demande » ;
- « l’hébergeur doit disposer des contrats organisant sa relation et la répartition des responsabilités avec ses prestataires participant à l’hébergement » ;
- « l’hébergeur s’est engagé à utiliser la carte de professionnel de santé pour l’accès à la plate-forme à compter du 1er juillet 2010 ».
Toute constitution de dossier de demande d’agrément et en particulier la rédaction des contrats types et la politique de sécurité doit se faire à la lumière des référentiels et des recommandations de l’ASIP santé et le cas échéant du ministère de la santé, en outre des dispositions légales et réglementaires applicables.

 

(1) Liste des hébergeurs au 11-07-2010
(2) Code de la santé publique, art. R.1111-13
(3) Décis. du 28-06-2010

Source : Jean-François Forgeron et Marie-Charlotte Grasset-Illouz, Lettre Juristendance Informatique et Télécoms, n° 105, Octobre 2010.

http://www.alain-bensoussan.com/avocats/juristendance-informatique-telecoms-octobre-2010/2010/10/15

- Manon Vincent

Suite à l'ordonnance du 11 mars 2010, tous les logiciels médicaux utilisés à des fins diagnostiques ou thérapeutiques relèvent désormais du régime légal des dispositifs médicaux, d'après le cabinet Bensoussan.

 

L’harmonisation du dispositif légal applicable aux logiciels médicaux

Un dispositif médical est tout sauf un médicament. Ce terme désigne aussi bien une seringue qu'une prothèse, un stérilisateur qu'un imageur par résonance magnétique, un stéthoscope qu'un stimulateur cardiaque et depuis le 21 mars, certains logiciels médicaux.
Tous les logiciels médicaux utilisés spécifiquement à des fins diagnostiques ou thérapeutiques relèvent désormais du régime légal des dispositifs médicaux et sont notamment soumis à une appréciation stricte des exigences essentielles concernant la sécurité et la santé des patients.
Le 21 mars 2010 est entrée en vigueur l?ordonnance du 11 mars 2010 (1), transposant en droit français les dispositions de la directive n°2007/47/CE du Parlement européen et du Conseil du 5 septembre 2007.
Ce texte prévoit en effet que « Constitue également un dispositif médical le logiciel destiné par le fabricant à être utilisé spécifiquement à des fins diagnostiques ou thérapeutiques » (art. L. 5211-1 CSP).
L?article 2, 1° de l?ordonnance élargit le champs des dispositifs médicaux à tous les logiciels utilisés en médecine (« ceux destinés par le fabricant à être utilisés spécifiquement à des fins diagnostiques ou thérapeutiques ») et non plus aux seuls logiciels qui interviennent en association avec un dispositif médical.
L?article 2 2° insère un nouvel article L. 5211-3-2 dans le Code de la santé publique, selon lequel « l’appréciation des exigences essentielles (concernant la sécurité et la santé des patients) ainsi que l’évaluation des effets indésirables et du caractère acceptable du rapport entre les bénéfices et les risques » s'effectuent par l'intermédiaire de données cliniques ou d'investigations cliniques pour les dispositifs médicaux qui présentent le plus de risques.


La définition par voie réglementaire des exigences essentielles

Ces exigences essentielles sont précisées par les dispositions du décret du 15 mars 2010 (2), codifiées aux articles R. 5211-36 et suivants du Code de la santé publique.
Ainsi, les éditeurs et fabricants de logiciels utilisés à des fins de diagnostics ou thérapeutiques (y compris, s?ils ne sont pas associés à un dispositif médical) doivent, depuis le 21 mars 2010, effectuer les formalités suivantes :
- déclaration auprès de l'Agence française de sécurité sanitaire des produits de santé par le fabricant (art. L.5211-3 du Code de la santé publique et suivants) ;
- certification de conformité aux exigences essentielles via une appréciation stricte des exigences essentielles concernant la sécurité et la santé des patients (art. L.5211-3-2 du Code de la santé publique et article L.5211-3 du Code de la santé publique).
Enfin, l'article 4 de l'ordonnance prévoit, conformément aux termes de la directive 2007/47/CE, l'entrée en vigueur des dispositions de transposition au 21 mars 2010.

 

(1) Ordonnance 2010-250 du 11-3-2010

(2) Décr. 2010-270 du 15-3-2010

 

Source : Jean-François Forgeron et Marie-Charlotte Grasset-Illouz, Lettre Juristendance Informatique et Télécoms, n° 99, Avril 2010.

http://www.alain-bensoussan.com/avocats/juristendance-informatique-telecoms-avril-2010/2010/04/15

Catégories : Droit de l'information
Powered by KB Crawl