Le rôle de l’Agence des systèmes d’information partagés de santé dans la procédure d’agrément

Repères Juridiques | 23 nov. 2011
  
A RETENIR : L’ASIP Santé a défini le référentiel de constitution des dossiers de demande d’agrément pour l’hébergement des données de santé à caractère personnel. Chargée par le ministère en charge de la santé de la pré instruction des dossiers de candidature et du secrétariat du comité d’agrément des hébergeurs, elle joue un rôle central pour assurer l’application des dispositions du décret du 4 janvier 2006, pour observer et mesurer les évolutions de l’activité d’hébergement des données de santé et les évolutions possibles de la procédure.


INTRODUCTION


Le législateur a souhaité en 2002 encadrer le développement de l’activité de conservation sur internet des bases de données de santé à caractère personnel. L’article L. 1111-8 du code de la santé publique issu de la loi n° 2002-303 du 4 mars 2002 relative aux droits des patients prévoit l’organisation du dépôt, de la conservation et de la restitution des données de santé à caractère personnel dans des conditions de nature à garantir leur confidentialité et leur sécurité.

La procédure d’agrément des hébergeurs de données de santé à caractère personnel dont l’organisation et la gestion ont été confiées par le ministère en charge de la santé à l’ASIP Santé, est nécessaire pour apporter aux patients les garanties indispensables à l’hébergement de leurs données de santé personnelles. Elle représente également pour les prestataires de services d’hébergement une reconnaissance de savoir-faire de nature à favoriser le développement de leurs activités.

Le rôle central tenu par l’ASIP Santé dans cette procédure lui permet en tant qu’autorité chargée de la définition des référentiels d’échanges de données de santé d’apporter son expertise au développement d’une activité qui reste en évolution constante.

Textes de référence
  • Art. L.1111-8 du code de la santé publique.
  • Loi n°78-17 du 6 janvier 1978 modifiée relative à l’Informatique, aux fichiers et aux libertés.
  • Art. R.1111-9 à R.1111-15 du code de la santé publique.

I- Une procédure réactivée par l’ASIP Santé en 2009

  1. Les travaux d’élaboration du référentiel de constitution des dossiers de demandes d’agrément des hébergeurs de donnés de santé ont été relancés fin 2008 à la demande de la Mission pour l’informatisation du secteur santé social (ex MISS) placée auprès du ministère en charge de la santé et confiés au GIP DMP (aujourd’hui ASIP Santé).

    A- La concertation

    Les travaux d’élaboration du référentiel de constitution des dossiers de demande d’agrément des hébergeurs ont été réalisés en concertation avec les opérateurs, les industriels et les maîtrises d’ouvrage régionales du secteur de la santé. Les industriels étaient présents à travers leurs organisations représentatives : LESISS, SNITEM, SYNTEC …

    Les participants se sont accordés pour considérer qu’un candidat à l’agrément doit démontrer aux pouvoirs publics qu’il mobilise des moyens conséquents et adaptés permettant de satisfaire à la sécurité et à la confidentialité des données de santé. L’objectif est clairement d’élever le niveau de sécurité des bases de données de santé à caractère personnel. Il est également de traduire de façon concrète les exigences d’un texte réglementaire long et compliqué.

    Le consensus obtenu avec les acteurs du secteur a débouché sur d’une part, l’obligation de réaliser et d’argumenter une analyse de risques sécurité du système d’information (SSI) sur le périmètre de la prestation d’hébergement, d’autre part sur l’obligation de démontrer la couverture de l’ensemble des exigences de sécurité définies dans le décret.

    Cinq réunions ont permis d’octobre 2008 à février 2009 de définir les conditions du traitement d’une demande d’agrément qui se fonde sur le dépôt d’un dossier conforme au référentiel de constitution des dossiers.

    La mise en place de ce référentiel assure aux candidats un traitement équitable et efficace de leurs candidatures car il normalise une formalisation stricte du contenu du dossier de demande d’agrément.

    B- La composition du dossier de demande d’agrément

    Pour répondre aux exigences du décret du 4 janvier 2006, les opérateurs du secteur de la santé doivent élaborer des « contrats-types » conformes aux obligations légales.

    Un hébergeur de données de santé à caractère personnel doit établir un contrat avec le « déposant » : un établissement de santé, un professionnel de santé ou la personne concernée par les données. Un candidat doit différencier explicitement les prestations qui relèvent des obligations de l’activité d’hébergeur de données de santé :
    - Il peut répondre lui-même à l’ensemble des obligations du décret.
    - Il peut choisir de reporter la couverture de certaines d’entre-elles sur ses clients par des clauses contractuelles spécifiques dans ses contrats types ou sur ses sous-traitants au travers des termes des contrats qu’il passe avec ces derniers.

    Le référentiel de constitution de dossier se compose de six formulaires standards à renseigner par le candidat. Ces formulaires couvrent l’ensemble du recueil d’informations exigées par le décret (P1, P2, P3, P4, P5, P6). Deux formulaires d’engagement à signer par le candidat (C1, C2) et un guide détaillé pour assister les candidats dans l’exploitation des formulaires.
     
  2. La gestion de la procédure d’instruction des dossiers de demande d’agrément

    A- Le suivi du déroulement de la procédure

    L'article R.1111-10 du code de la santé publique issu du décret n°2006-6 du 4 janvier 2006 décrit le processus global de traitement d'une demande d'agrément.

    a) La réception du dossier de demande d’agrément

    Le candidat envoie, en recommandé avec accusé de réception, son dossier de demande d'agrément au format électronique sur CD-ROM ou DVD-ROM ainsi que deux exemplaires sous format papier au secrétariat du comité d’agrément assuré par l’ASIP Santé.

    Dès réception, le candidat reçoit un courrier du comité d’agrément lui indiquant la bonne réception de son dossier. Si le dossier est incomplet, par exemple s’il manque un des formulaires auxquels le candidat doit répondre, un courrier lui est adressé afin qu’il complète sa demande.

    Le dossier de demande d’agrément reçu est transmis le jour même à la Commission nationale de l'informatique et des libertés.

    b) L’instruction du dossier par l’ASIP Santé et la CNIL

    Dès réception des dossiers et en fonction de leur ordre d’arrivée, les chargés d’analyse désignés au sein de l’ASIP Santé instruisent les dossiers de demande d’agrément sous trois angles : éthique et juridique, sécurité et technique et économique et financier.
    Des rapports d’instruction sont rédigés et présentés lors du comité d’instruction interne et permet aux chargés d’analyse d’échanger leurs points de vue sur le dossier et de dégager les points positifs et les points sensibles du dossier. Les rapports d’instruction doivent être validés par le responsable de ce comité.

    C’est alors que les chargés d’analyse rencontrent un des membres du Comité d’agrément « rapporteur » du dossier et lui présentent le dossier.

    Parallèlement, la CNIL instruit également le dossier de demande d’agrément dans un délai de deux mois, renouvelable une fois, sur décision motivée de son président. La CNIL émet un avis qu’elle transmet au Comité d’agrément.

    c) L’avis du comité d’agrément des hébergeurs institué à l’article R 1111-10 du code de la santé publique

    Dans un délai d’un mois suivant la réception de l’avis de la CNIL (délai renouvelable une fois), le comité d’agrément se réunit. Chaque « rapporteur » présente le dossier pour lequel il a été désigné aux autres membres du comité d’agrément.

    Les chargés d’analyse et le responsable du comité d’instruction interne de l’ASIP Santé, ainsi que des membres de la CNIL assistent aux séances du Comité d’agrément afin d’apporter, si nécessaire, des précisions supplémentaires aux membres du comité d’agrément.

    Le comité d’agrément se prononce sur tous les aspects du dossier, en particulier sur les garanties d’ordre éthique, déontologiques, technique, financier et économique qu’offre le candidat, et rend un avis.

    Cet avis est transmis par le secrétariat du comité d’agrément au ministre en charge de la santé.

    d) La décision du ministre en charge de la santé
    Le ministre chargé de la santé dispose d’un délai de deux mois suivant la réception de l’avis du Comité d’agrément pour prendre sa décision. A l’issue de ce délai, son silence vaut décision de rejet.
    Le candidat reçoit un courrier lui notifiant la décision d’agrément ou le refus d’agrément. Les décisions d’agrément son publiées au Bulletin officiel du ministère de la santé.

    L’agrément est délivré pour une durée de trois ans. Toute demande de renouvellement de l’agrément doit être déposée au plus tard six mois avant le terme de la période d’agrément.

    B- La mise en place d’un comité d’instruction interne à l’ASIP Santé

    Le Secrétaire Général du ministère chargé des affaires sociales a confié depuis mars 2009 à l’ASIP Santé la mission d’instruire les dossiers de demande d’agrément à l’hébergement de données de santé à caractère personnel, afin d’assister le Comité d’agrément et lui permettre de traiter efficacement dans des délais raisonnables les dossiers.

    Pour mener à bien cette mission, un comité d’instruction interne à l’ASIP Santé a été mis en place.

    Ce comité d’instruction pré-instruit les dossiers de demande d’agrément sous trois volets :
    • un volet éthique et juridique, correspondant à l'examen de la demande suivant des considérations de garanties d'ordre éthique et déontologique en relation avec la pratique et les finalités médicales de l'hébergement de données de santé à caractère personnel et le respect des droits du patient ;
    • un volet sécurité et technique, présentant les résultats de l'analyse du dossier sur les garanties apportées en terme de politique de sécurité des systèmes d'information et de confidentialité des données de santé, en considérant les aspects techniques mais également organisationnels ;
    • un volet économique et financier, exprimant une analyse de la demande sur des considérations en relation avec le modèle économique et la structure financière du candidat.

    L’Agence des systèmes d’information partagés de santé (ASIP Santé) est également en charge depuis le 1er mars 2010 du secrétariat du comité d’agrément. Cette mission lui a été confiée par la Délégation à la stratégie des systèmes d’information de santé.

    A ce titre l’ASIP Santé est responsable de la retranscription par écrit des avis du Comité d’agrément et de l’envoi de ces avis au ministre chargé de la santé.

    Le secrétariat du comité d’agrément rédige également les courriers envoyés aux candidats (lettre de refus motivée, proposition de décision d’agrément…).


     

II- Une procédure révélatrice de nouveaux enjeux juridiques et techniques

  1. Un premier bilan globalement positif

    A- Les chiffres, la construction d’une doctrine

    Depuis 2009, 27 organismes ont été agréés par le ministre en charge de la santé en qualité d’hébergeur de données de santé à caractère personnel. 75 dossiers ont été déposés et 16 dossiers ont fait l’objet d’un refus d’agrément.15 rapports d’auto-évaluation ont été reçus.

    Ces chiffres attestent de la montée en charge d’une procédure qui devient désormais une étape essentielle pour les organismes qui proposent un service d’hébergement de données de santé à caractère personnel. Le temps de la procédure reste long (entre 5 à 8 mois) mais se positionner comme candidat à l’hébergement est aujourd’hui une condition posée par les professionnels de santé, les établissements de santé et les patients eux-mêmes pour confier à de tels organismes leurs données.

    Une foire aux questions a été construite et enrichie au fur et à mesure des interrogations remontées par les candidats hébergeurs et des discussions du comité d’agrément des hébergeurs qui se prononce sur les dossiers de candidature. Elle est accessible sur le site de l’ASIP Santé et comporte plus d’une vingtaine de questions.

    L’agrément porte sur une prestation particulière, objet du contrat soumis au contrôle de la CNIL et du CAH : aucun organisme n’est agréé en général. Plusieurs organismes peuvent donc être agréés autant de fois qu’ils proposent une prestation d’hébergement particulière.

    Une mutualisation des moyens d’hébergement est possible. Plusieurs établissements de soins peuvent décider de faire héberger chez l’un d’entre eux ou chez un organisme tiers agréé les données de leurs patients. La condition : obtenir l’agrément. La loi exclut toutefois de l’obligation de l’agrément l’établissement de soins qui héberge les données de ses propres patients.

    Une auto-évaluation doit être adressée tous les ans par les organismes agréés en qualité d’hébergeurs. Elle a pour objet d’informer des changements intervenus au cours de l’année écoulée. Si l’auto-évaluation remet en cause le périmètre de l’agrément initial l’organisme devra déposer une nouvelle demande d’agrément.

    Une association créée en 2010 par les premiers organismes agréés hébergeurs de données de santé à caractère personnel (AFHADS) se réunit régulièrement pour partager leurs expériences et parvenir à des interprétations communes tout en réfléchissant aux évolutions possibles de la procédure. Au-delà de la simple défense des intérêts de ces organismes, cette association travaille en concertation avec l’ASIP Santé pour intégrer la réflexion dans le champ plus large de la politique de sécurité des systèmes information de santé.

    B- Le médecin de l’hébergeur : une nouvelle fonction

    La mise en œuvre de la procédure prévue par le décret du 4 janvier 2006 impose la désignation par chaque candidat à l’hébergement d’un médecin (article R1111-9 du code de la santé publique) dont le contrat doit être soumis au contrôle de l’ordre des médecins. L’ASIP Santé a travaillé avec le CNOM et la CNIL pour définir les missions de ce médecin de l’hébergeur.

    Il veille à la confidentialité des données de santé à caractère personnel hébergées et au respect des conditions d’accès à celles-ci telles que définies dans la (les) prestation(s) d’hébergement. A cette fin, il peut faire toute recommandation utile.

    Il veille, en accord avec la personne physique ou morale à l’origine de l’hébergement et le correspondant Informatique et Libertés s’il existe au sein de la structure d’hébergement, au respect des droits de la personne dont les données de santé à caractère personnel sont hébergées, en particulier en s’assurant de l’exercice effectif des droits ouverts au titre de la loi du 6 janvier 1978 modifiée relative à l’Informatique, aux fichiers et aux libertés. A cet effet, il peut élaborer des règles de bonnes pratiques.

    Il peut être saisi de toute demande du responsable du traitement ou de toute personne habilitée visant à procéder aux vérifications de cohérence en cas de soupçons de collision ou de doublon au sein des dossiers médicaux. Il accède à cet effet aux données de santé à caractère personnel hébergées. Ces missions s’exercent sans préjudice de celles qui peuvent être exercées directement par le professionnel de santé saisi par le patient et dûment autorisé à cet effet.

    Ces missions s’exercent sous réserve de l’organisation prévue dans le contrat de prestation qui lie l’hébergeur au responsable du traitement à l’exception des missions qui imposent l’accès aux données de santé à caractère personnel qui seules peuvent être satisfaites par le médecin de l’hébergeur.

    Il est encore trop tôt pour mesurer la réalité de l’exercice de cette nouvelle mission mais la constitution récente d’un groupement rassemblant plusieurs médecins d’hébergeurs montre l’intérêt porté à cette fonction dont les missions mériteront d’être précisées à la lumière de l’expérience.


  2. Une évolution nécessaire

    A- L’interprétation du champ d’application de la loi

    La loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé qui a souhaité encadrer l’activité d’hébergement de données de santé à caractère personnel a défini de façon a priori très large le champ d’application de l’agrément. En effet, l’article L 1111-8 du code de la santé publique dispose que « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée ».

    Jusqu’à présent, les dossiers de candidature déposés ont principalement concerné des projets d’hébergement de dossiers médicaux. Mais le comité d’agrément, saisi récemment de dossiers de candidatures présentés par des sociétés spécialisées dans la conduite de recherches biomédicales pour le compte d’établissements de soins ou de laboratoires pharmaceutiques, s’interroge sur l’application à de telles bases de la procédure du décret du 4 janvier 2006.

    Au-delà du cas d’espèce rencontré, la question de l’application des dispositions de l’article L1111-8 du code de la santé publique à l’ensemble des bases de données de santé à caractère personnel se pose dès lors que les données concernées sont recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins (bases de données de recherche, d’assurance, bases médico-sociales …).

    Un tel élargissement du champ d’application de ces dispositions emporte des conséquences importantes qu’il convient de mesurer. Le nombre de dossiers à instruire tant par la CNIL que par le Comité d’agrément des hébergeurs sera démultiplié et nécessitera au moins une adaptation du référentiel actuellement utilisé pour apprécier la conformité des dossiers déposés aux dispositions du décret. A terme, la question de la nature de la procédure elle-même risque de se poser.

    B- L’évolution du métier d’hébergeur : vers une procédure de certification ? 

    Dès l’instruction des premiers dossiers, plusieurs constats ont été faits.

    Le modèle d’hébergement de données pris comme référence dans le décret pour définir des exigences pour les prestataires ne correspond pas toujours à la réalité opérationnelle des offres du marché. Certaines exigences sont inadaptées aux caractéristiques intrinsèques des technologies informatiques d’aujourd’hui (PGI/ERP, SAAS, virtualisation, cloud computing, grid, etc.).

    Un risque important existe d’instruire des demandes d’agréments pour des applications métiers manipulant des données de santé à caractère personnel alors que seuls les traitements d’hébergement sont soumis à l’agrément.

    Une certaine inadéquation de certains documents demandés dans le décret a également été constatée.

    Le décret rend obligatoire la présentation de documents économiques et financiers dans le but de vérifier la capacité financière de l’hébergeur à assumer sur le long terme ses engagements. Or la nature des documents demandés ne permet pas toujours d’avoir une vision claire et précise et surtout fiable de la situation financière du candidat à l’hébergement.

    Une énumération de documents économiques et financiers utiles à l’appréciation de la situation du candidat à l’agrément pourrait être fixée par le référentiel de constitution des demandes d’agrément. De la même manière l’énumération des documents techniques exigés à l’appui des demandes devrait pouvoir évoluer en fonction de l’évolution des techniques et trouverait davantage sa place dans un référentiel que dans le décret Hébergeur.

    A l’heure actuelle, le décret ne comporte pas de dispositions permettant de répondre aux questions soulevées par son application pratique : il indique davantage les objectifs que les moyens qui, eux, relèvent des référentiels. Il est donc procédé par voie d’interprétation et l’instruction des dossiers de candidature a permis de faire émerger une doctrine itérative du CAH.

    La révision du décret hébergeur ne peut être envisagée que si elle permet d’apporter effectivement une réponse stabilisée à l’ensemble des questions précédemment abordées dont certaines portent sur la notion même d’hébergement.

    Afin d’inscrire ce texte dans la durée et de ne pas conditionner l’agrément à des exigences qui pourraient devenir rapidement obsolètes, sa rédaction devrait être simplifiée et renvoyer, le plus systématiquement possible à des référentiels évolutifs.

    La substitution à la procédure actuelle d’une procédure de certification, menée par des organismes accrédités pourrait constituer une piste d’évolution mais qui devra être décidée de façon concertée comme l’a été l’élaboration du référentiel par l’ASIP Santé en 2008.

    Les contrôles que peut diligenter la CNIL auprès des hébergeurs de données de santé comme les audits qui peuvent être conduits par les membres du comité d’agrément des hébergeurs, seront également susceptibles d’apporter des éléments d’information utiles pour envisager une éventuelle refonte de la procédure.
     

CONCLUSION


La dématérialisation des données de santé connaît une évolution significative depuis quelques années et l’hébergement des données de santé sur internet en constitue une illustration importante.

Les pouvoirs publics se doivent d’assurer aux citoyens la sécurité et le respect de la confidentialité de leurs données : la procédure d’agrément est un moyen de contrôle a priori qui contribue à mettre en place un niveau de sécurité élevé dans le respect des principes de la protection des données posés par la loi Informatique et Libertés.

L’ASIP Santé, autorité chargée de définir les référentiels en matière d’échanges de données de santé contribue par son rôle central à maintenir une appréciation qui prenne également en compte le métier particulier d’hébergeur et qui permette déjà de réfléchir à l’évolution d’une procédure qui, pour être efficace, se doit de prévenir les évolutions technologiques au bénéfice du patient.
Services: