Présenté en conseil des ministres le 15 octobre 2014, le texte du projet de loi de modernisation de notre système de vient d’être adopté en première lecture à l’Assemblée nationale. Plusieurs articles changent la donne en matière de dématérialisation des données de santé. Revue des principales nouveautés avant l’examen au sénat.
Apports du projet de loi de santé en matière de dématérialisation des données de santé
1. Apports du projet de loi de santé en
matière de dématérialisation des
données de santé
Florence EON, Directrice juridique, ASIP Santé
24/04/2015
2. I. Le cadre juridique de l’échange et du partage de données
médicales personnelles entre professionnels (art 25);
II. L’identification des patients: l’INS = NIR (art 47);
III. La simplification du cadre juridique de l’hébergement des
données de santé: de l’agrément à la certification (art 51);
IV. La clarification de la base juridique des référentiels opposables:
sécurité et interopérabilité (art 25);
V. L’accès aux données de santé (art 47)
VI. Le repositionnement du DMP (art 25);
VII. Un cadre juridique pour la destruction des dossiers médicaux
numérisés (art 51) ;
[Présentation faite sous réserve des modifications qui seront
apportées lors des débats parlementaires]
24/04/2015
3. I - Le cadre juridique de l’échange et du partage
de données médicales personnelles entre
professionnels
Le régime actuel de l’échange et du partage de données de santé :
Art. L 1110-4 du CSP
« Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout
autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret
des informations la concernant. »
Trois régimes d’échange et de partage des données personnelles de santé:
24/04/2015
Partage de données de
santé entre professionnels
de santé exerçant au sein
d’un même établissement
de santé
L’équipe de soins –
Information – droit
d’opposition
Partage de données de
santé entre professionnels
de santé exerçant au sein
d’un même établissement
de santé
L’équipe de soins –
Information – droit
d’opposition
Echange de données de
santé entre professionnels
de santé en dehors d’un
établissement de santé
Continuité des soins -
Information – droit
d’opposition
Echange de données de
santé entre professionnels
de santé en dehors d’un
établissement de santé
Continuité des soins -
Information – droit
d’opposition
Partage de données de santé
entre professionnels de santé au
sein d’une maison ou d’un centre
de santé
PS adhérent au projet de santé –
consentement exprès
Partage de données de santé
entre professionnels de santé au
sein d’une maison ou d’un centre
de santé
PS adhérent au projet de santé –
consentement exprès
4. I - Le cadre juridique de l’échange et du partage
de données médicales personnelles entre
professionnels
Apports du projet de loi de santé – modification de l’article L1110-4
1)Réaffirmation du principe du secret
2)Mise à plat du régime d’échange et de partage des données personnelles de
santé en l’articulant autour de la notion d’équipe de soins:
Partage de données de santé entre professionnels
exerçant au sein de la même équipe de soins
Continuité des soins/ coordination / suivi médico-social –
Information – droit d’opposition
Partage de données de santé entre professionnels
exerçant au sein de la même équipe de soins
Continuité des soins/ coordination / suivi médico-social –
Information – droit d’opposition Echange de données de santé entre
professionnels identifiés participant à
la coordination, continuité des soins /
suivi médico-social –
Information – droit d’opposition
Echange de données de santé entre
professionnels identifiés participant à
la coordination, continuité des soins /
suivi médico-social –
Information – droit d’opposition
Partage de données de santé entre professionnels ne
faisant pas partie de la même équipe de soins
Continuité des soins/ coordination / suivi médico-social –
– consentement exprès (par tout moyen) – droit
d’opposition
Partage de données de santé entre professionnels ne
faisant pas partie de la même équipe de soins
Continuité des soins/ coordination / suivi médico-social –
– consentement exprès (par tout moyen) – droit
d’opposition
24/04/2015
5. I - Le cadre juridique de l’échange et du partage
de données médicales personnelles entre
professionnels
3) Définition de l’équipe de soins – nouvel article L1110-12 CSP
•Ensemble de professionnels qui participent directement au profit d’un même patient
à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap
ou de prévention de perte d’autonomie, ou aux actions nécessaires à leur
coordination, et qui :
1° Soit exercent dans le même établissement de santé, ou dans le même
établissement ou service social ou médico-social mentionné au I de l’article L. 312-
1 du code de l’action sociale et des familles, ou dans le cadre d’une structure de
coopération, d’exercice partagé ou de coordination sanitaire ou médico-sociale
figurant sur une liste fixée par décret ;
2° Soit se sont vu reconnaître comme ayant la qualité de membre de l’équipe de
soins par un médecin auquel le patient a confié la responsabilité de la coordination
de sa prise en charge;
3° Soit exercent dans un ensemble, comprenant au moins un professionnel de
santé, présentant une organisation formalisée et des pratiques conformes à un
cahier des charges fixé par un arrêté du ministre chargé de la santé. » ;
24/04/2015
6. I - Le cadre juridique de l’échange et du partage de
données médicales personnelles entre
professionnels
24/04/2015
4) Les textes d’application attendus
•Définition des conditions de d’expression du consentement du patient (y compris
dématérialisé) pour le partage d’informations entre des professionnels de santé ne
faisant pas partie de la même équipe de soins.
⇒Décret pris après avis de la CNIL
•Conditions d’échange et partage d’information entre professionnels de santé et
non professionnels de santé du champ social et médico-social.
⇒Décret en CE pris après avis de la CNIL
•Cahier des charges d’organisation d’une équipe de soins dans le cadre d’un
parcours de soins
⇒Arrêté du ministre chargé de la santé
7. II - Le NIR comme identifiant national de santé
• Le développement de la coordination des soins à travers la médecine de
parcours implique de mettre à la disposition des professionnels de santé des
outils d’échange et de partage de l’information.
• La mise en place d’une messagerie sécurisée santé (MSS), le déploiement du
dossier médical personnel (DMP), ne pourront pas être réalisés sans s’appuyer
sur un identifiant fiable des patients. Cela impose donc de dépasser la situation
actuelle de coexistence d’INS « calculés », mis en œuvre provisoirement avec
l’accord de la CNIL dans l’attente du choix d’un système cible (l’INS prévu par la
loi 2007-127 du 30 janvier 2007), et de définir le contenu et les caractéristiques
d’un identifiant unique et fiable.
• L’objectif de la réforme est de permettre l’utilisation d’un identifiant unique par les
professionnels et établissements de santé pour indexer les dossiers des patients
qu’ils prennent en charge. L’adoption d’un dispositif unique et commun
d’identification des patients est une condition nécessaire de l’interopérabilité des
systèmes d’information des professionnels et établissements de santé et donc de
leur capacité à échanger et partager facilement et de façon sécurisée (absence
d’erreur sur le patient) les données médicales nécessaires à la prise en charge
des patients.
24/04/2015
8. II - Le NIR comme identifiant national de santé –
Article L1111-8 du CSP modifié
• Le numéro d’inscription au répertoire national d’identification des personnes
physiques est utilisé comme identifiant de santé des personnes pour leur prise en
charge à des fins sanitaires et médico-sociales dans les conditions prévues à
l’article L. 1110-4.
• Les données de santé rattachées à l’identifiant de santé sont collectées,
transmises et conservées dans le respect du secret professionnel et des
référentiels de sécurité et d’interopérabilité mentionnés à l’article L. 1110-4-1.
• Précisions apportées par amendement adopté par l’AN:
• Les dispositions de la loi Informatique et Libertés prescrivant une procédure particulière
d’autorisation à raison de l’utilisation du NIR dans un traitement de données personnelles
ne sont pas applicables aux traitements qui utilisent le ce numéro exclusivement dans les
conditions prévues au présent I.
• Par dérogation au I, le traitement de l’identifiant de santé peut être autorisé à des fins de
recherche dans le domaine de la santé, dans les conditions prévues au chapitre IX de la
loi n° 78-17 du 6 janvier 1978 précitée.
• Un décret en Conseil d’État pris après avis de la Commission nationale de
l’informatique et des libertés fixe les modalités qui autorisent l’utilisation de cet
identifiant et qui en empêchent l’utilisation à des fins autres que sanitaires et
médico-sociales.
24/04/2015
9. III - L’hébergement des données de santé
• Le principe de l’agrément des hébergeurs de données de santé à
caractère personnel est prévu par la loi (article L1111-8 du code de la
santé publique)
• Les professionnels de santé, les établissements de santé ou la personne
concernée peuvent déposer de telles données chez un hébergeur agréé.
• Les données concernées sont celles recueillies ou produites à l’occasion des
activités de prévention, de diagnostic ou de soins.
• L’hébergement exige le consentement exprès de la personne concernée et les
traitements nécessaires à l’hébergement sont réalisés dans le respect des
dispositions de la loi Informatique et Libertés.
• Les hébergeurs et les personnes placées sous leur autorité qui ont accès aux
données déposées sont astreintes au secret professionnel dans les conditions
et sous les peines prévues à l’article 226-13 du code pénal.
24/04/2015
10. La procédure d’agrément est fixée par le décret du 4 janvier 2006 pris après
avis de la CNIL et des ordres professionnels
• La procédure d’agrément s’applique à toute base de données recueillies ou produites à
l’occasion des activités de prévention, de diagnostic ou de soins: le champ de la
recherche et le secteur assurantiel sont donc concernés.
• La prestation d’hébergement est un contrat dont le contenu est fixé précisément par
l’article R1111-13 du code de la santé publique : sont ainsi évalués la capacité financière
du candidat, le niveau de sécurité proposée et les conditions du respect des principes de
la protection des données personnelles.
• L’agrément est délivré pour trois ans par le ministre en charge de la santé après avis de
la CNIL et du comité d’agrément des hébergeurs (CAH).
• Le texte exige la présence chez l’hébergeur d’un médecin, garant du secret
professionnel.
• Un référentiel de constitution des dossiers de demande établi en concertation (six
formulaires, auto-évaluation et contrôles)
• Les contrôles: audits de la CNIL ( Loi Informatique et Libertés) et de l’IGAS (art. L1111-8
CSP)
24/04/2015
III - L’hébergement des données de santé
Le projet de loi de santé prévoit de substituer à cette procédure une
procédure de certification.
Le projet de loi de santé prévoit de substituer à cette procédure une
procédure de certification.
11. III - L’hébergement des données de santé
• Apports de la loi de santé
1. Elargir le champ d’application de l’article L.1111-8 du code de la santé publique
• L’alinéa 1 de l’article L 1111-8 dispose que peuvent déposer des données de santé à caractère
personnel auprès de prestataires agréés « les professionnels de santé ou les établissements de
santé ou la personne concernée ».
• Novelle rédaction: « Toute personne qui héberge des données de santé à caractère personnel,
recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et
médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou
du recueil desdites données ou pour le compte du patient lui-même doit être agréée à cet effet. Cet
hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne
prise en charge en a été dûment informée et sauf opposition pour un motif légitime. » ;
1. Supprimer l’obligation de recueil du consentement
2. Des amendements à l’article 25-I 4° ont été proposés
3. Une réforme par voie d’ordonnance : article 51 du PLS (Titre V, mesures de
simplification)
• Harmonisation avec la procédure du code du patrimoine relatives aux archives publiques (art.
L.212-4)
• Médecin de l’hébergeur – reconnaissance du droit d’accès aux données personnelles
• Remplacer l’agrément par une évaluation de conformité technique par un organisme certificateur
accrédité par le COFRAC
– Amendement adopté par AN : Cette certification de conformité porte notamment sur le contrôle des procédures,
de l’organisation et des moyens matériels et humains ainsi que sur les modalités de qualification des
applications hébergées ;24/04/2015
12. IV - La consécration d’une assise législative
unique pour les référentiels de sécurité et
d’interopérabilité
• En l’état actuel des textes, les responsables des systèmes d’information de santé
sont tenus de respecter deux grandes catégories de référentiels, dont les
champs d’application (catégories de personnes visées et activités couvertes) se
recoupent sans pour autant se superposer.
• Les référentiels visés aux articles R1110-1 et R1110-2 dans leur rédaction issue du
décret n°2007-960 du 15 mai 2007 (dit décret confidentialité) pris en application de
l’article L1110-4 dans sa rédaction antérieure à la loi n° 2009-879 du 21 juillet 2009 dite «
HPST » (qui ne mentionne pas expressément la notion de référentiels) et à l’article
L1111-8 alinéa 4 introduit par la loi du 21 juillet 2009 précitée.
• Le nouvel article L1110-4-1 consacre une assise législative unique aux
référentiels de sécurité et d’interopérabilité.
• Il supprime en outre la référence à la CPS (carte de professionnel de santé).
• Il prévoit que les référentiels visant à garantir la qualité et la sécurité des
données sont élaborés et maintenus par l’ASIP Santé. Ils sont approuvés par
voie d’arrêtés pris le ministre chargé de la santé après avis de la CNIL et publiés
au JORF.
24/04/2015
13. V - L’accès aux données de santé
• Création d’un système national des données de santé (SNDS) qui
centralise les données des bases existantes en matière sanitaire et
médico-sociale
• Données relative au suivi de l’activité des établissements de santé
• Données du système national d’information inter régimes de la CNAM
• Données de la statistique nationale relatives aux causes de décès
• Données médico-sociales (SI CNSA)
• Echantillon représentatif des données de remboursement par bénéficiaires
venant des organismes d’assurance maladie complémentaire
• La gouvernance du système
• Création de l'institut national des données de santé réunissant l’Etat,
organismes assurant une représentation des malades et usagers, producteurs
de données de santé et des utilisateurs publics et privés de données de santé y
compris de organismes de recherche en santé au sein d’un groupement
d’intérêt public.
• Dans le cadre d’orientations fixées par l’État, la gestion opérationnelle de la
base de données sera confiée pour l’essentiel à la Caisse nationale de
l’assurance maladie des travailleurs salariés, responsable de traitement.24/04/2015
14. V - L’accès aux données de santé
• Un «open data santé» avec des spécificités pour les données avec
risque de ré-identification
• Des règles d’accès garantissant un niveau de protection des données adapté à
leur nature.
• D’une part, les données pour lesquelles aucune identification n’est possible
seront accessibles et réutilisables par tous, en open data.
• D’autre part, les données potentiellement identifiantes comme les données
hospitalières (bien qu’elles ne comportent ni les noms et prénoms ni le numéro
de sécurité sociale), pourront être utilisées par
•des organismes chargés d’une mission de service public (InVS, ARS,
service statistique du ministère chargé de la santé,…) dans des conditions
fixées par décret en Conseil d’État après avis de la CNIL pour
l’accomplissement des missions de service public, à des conditions
rigoureuses assurant la protection de ces données sensibles.
•sur autorisation de la CNIL à des fins de recherche, d’étude ou
d’évaluation d’intérêt public dans le domaine de la santé après avis du comité
d’expertise et le cas échéant de l’Institut National des Données de Santé
24/04/2015
15. • Favoriser la prévention, la coordination, la
qualité et la continuité des soins
• Un dossier médical dématérialisé pour les
bénéficiaires de l’AM
• Pas d’obligation pour le patient («peuvent
disposer»)
• Consentement exprès pour la création et droit
d’opposition ensuite pour lecture et alimentation
• Accès direct du patient au DMP
• Les PS reportent les informations utiles à la
coordination des soins dans le DMP à
l’occasion de chaque acte, séjour ou
consultation
• Droit au masquage d’informations par le titulaire
du DMP – amendement adopté par AN relatif à
la responsabilité du médecin qui ne peut être
engagée
• Une place particulière pour le médecin traitant
• Amendement adopté par AN relatif à la création
d’un identifiant pour l’ensemble des
bénéficiares de l’AM (pré-création)
VI - Le repositionnement du DMP (dossier médical
personnel dossier médical partagé)
Finalité et modalités de mise en
oeuvre
• La CNAMTS assure la mise en
oeuvre du DMP.
24/04/2015
Précisions par
décret
Précisions par
décret
16. VII- Un cadre juridique pour la destruction des
dossiers médicaux numérisés
• Les établissements et professionnels de santé conservent actuellement
les documents sur support papier jusqu’à l’expiration des délais
réglementaires de conservation (notamment celui des dossiers patients
prévu à l’art. R1112-7 du Code de la Santé publique), afin de ne pas
encourir de risques juridiques du fait de l’absence d’exigences
techniques garantissant la valeur probante des données produites par le
secteur de la santé.
• L’article 51 habilite le gouvernement à agir par voie d’ordonnance afin de
fixer un cadre juridique et technique pour la destruction des dossiers sur
support papier après numérisation.
• Nécessité de prévoir concomitamment les règles consacrant la valeur probante
des dossiers dès lors que l’original conservé sur support autre que numérique
pourra désormais être détruit.
• En l’état de sa rédaction, cette habilitation législative risque de neutraliser les
effets de la simplification recherchée
• Amendement adopté par l’AN: donner une valeur probante aux
documents comportant des données de santé nativement numériques
24/04/2015
Les informations sont réputées confiées à l’ensemble de l’équipe de soins
Recueil par tout moyen y compris de façon dématérialisée du consentement (dans des conditions définies par décret pris après avis de la CNIL)
Remplacer l’agrément prévu au même article L. 1111-8 par une
évaluation de conformité technique réalisée par un organisme certificateur
accrédité par l’instance nationale d’accréditation mentionnée à l’article 137
de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie ou
par l’organisme compétent d’un autre État membre de l’Union européenne.
Cette certification de conformité porte notamment sur le contrôle des
procédures, de l’organisation et des moyens matériels et humains ainsi que
sur les modalités de qualification des applications hébergées ;