Le projet de loi de modernisation de notre système de santé tend à réformer l’article L1111-8 du Code de la Santé Publique relatif à l’hébergement de données de santé. La réforme touchera non seulement l’agrément – le terme demeure, mais il devrait s’agir à l’avenir d’une certification –, mais également les conditions de recours à un hébergeur agréé.

 

Concernant les conditions de recours, actuellement, le texte précise :

« Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée. »

En l’état actuel du projet de loi Santé, il disposerait :

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. »

Quel impact ?

 

On note à la fois un rétrécissement et un élargissement du champ d’application.

Voyons d’abord l’extension du périmètre. La notion de donnée de santé inclurait désormais les données « de suivi social et médico-social ». Le champ d’application personnel s’étendrait alors à la sphère du médico-social.

Pourquoi pas ?

Mais dans ce cas, peut-être faudrait-il nettoyer le texte et arrêter de parler de données « de santé » :

« Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d’eux à la disposition de ceux qui les leur ont confiées. » 6ème al. de la version du projet de loi

De la même façon, il faut alors arrêté de parler de « patient ». les établissements médico-sociaux n’ont pas de patients. Sur ce point, une harmonisation de la terminologie serait d’ailleurs utile, le patient devenant au fil des alinéas la « personne concernée ».

Au passage, pourquoi une disposition sur le médico-social se retrouve dans le Code de la Santé Publique et non dans le Code de l’Action Sociale et des Familles ? A titre de comparaison, le premier comporte des dispositions sur les Groupements de Coopération Sanitaire (GCS), auxquels le second renvoie, après quelques précisions, en ce qui concerne le Groupement de Coopération Social et Médico Social (GCSMS).

 

Et pourquoi parler d’une restriction du périmètre ? Parce que seules les données « recueillies » à l’occasion d’une activité de prévention, de diagnostic, de soins ou de suivi social et médico-social. Les données produites à l’occasion de telles activités ne sont plus concernées.

Etonnant, non ?

Voici le texte sans les fioritures : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités (…) doit être agréée à cet effet. »

De la sorte, les données qu’un professionnel de santé produirait n’auraient pas à être hébergées par un prestataire agréé ?

Vraisemblablement un oubli, car la notion de production se retrouve quelques mots plus loin. Mais il faudrait le corriger rapidement…

 

Restriction encore parce que le prestataire ne devra être agréé que lorsqu’il hébergera pour le compte du patient ou de personnes physiques ou morales à l’origine de la production ou du recueil desdites données.

Quid s’il héberge pour le compte d’une personne n’étant pas à l’origine de la production ou du recueil desdites données ? Le législateur semble oublier ici tout l’écosystème de l’e-santé et de sa petite sœur, la m-santé.

Est-ce une omission ou une tentative d’interdire aux hébergeurs agréés de proposer leurs services à des personnes n’intervenant pas dans les activités sanitaires et médico-sociales ?

Paranoïa, me répondrez-vous.

Pas du tout, n’oubliez pas qu’avec la circulaire relative au guide méthodologique relatif à la circulation, au sein des centres et des maisons de santé, des informations concernant la santé des patients, le Ministère avait tenté de faire des hébergeurs des monopsones, dont les seuls clients pourraient être les professionnels et établissements de santé :

« Si les informations sont hébergées chez un tiers le patient doit en être informé et son consentement recueilli sur ce point (cf. le 1er alinéa de l’article L. 1111-8). Il est souligné que la législation en vigueur n’autorise que les établissements de santé, les professionnels de santé et la personne concernée à déposer chez un tiers les données de santé à caractère personnel. Les centres de santé et les maisons de santé, en tant que personnes morales, ne sont pas mentionnés par le texte et ne peuvent donc externaliser des données de santé. Or, selon l’article D. 6323-7, « Les centres de santé sont responsables de la conservation et de la confidentialité des informations de santé à caractère personnel constituées en leur sein. » Dans ces conditions, les professionnels de santé exerçant au sein des centres de santé ne sont pas autorisés à déposer des informations médicales recueillies dans le cadre de leur fonction au sein du centre chez un hébergeur. »

Quid encore si le prestataire héberge pour son propre compte « des données de santé à caractère personnel recueillies à l’occasion d’activités (…) » transmises par des « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ? On peut ici penser à la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAM-TS) qui héberge déjà le Système National d’Information Inter-Régimes de l’Assurance Maladie (SNIIRAM) et devrait bientôt accueillir le Système National des Données de Santé (SNDS) et le Dossier Médical Partagé (DMP). Elle hébergera ainsi des données recueillies à l’occasion d’activité de soins, de prévention, de diagnostic et de suivi social et médico-social. En revanche, ce ne sera ni pour le compte des professionnels et établissements, ni pour celui du patient.

 

Voilà donc une réforme sensée simplifier le cadre de l’hébergement de données de santé, et qui finalement ne règle pas certaines questions et en soulève d’autres.

Voilà donc un texte dont on peut se demander s’il n’est pas tout simplement trop verbeux…