Hébergement des données de santé : certification prévue pour janvier 2018

Informatique de santé

Biologiste infos
Crédit photo :timkaekler-fotolia

Un décret précisant les modalités de la future certification des hébergeurs de données de santé est en cours de rédaction. « Il devrait s’inspirer de normes existantes », a indiqué Kahina Haddad, juriste à l'Agence des systèmes d'information partagés de santé (Asip santé), lors des 17èmes journées de l'informatique en biologie médicale organisées par la SFIL (Société française d'informatique des laboratoires), à Chambéry.

Kahina Haddad est revenue sur le remplacement de la procédure d'agrément pour l'hébergement des données de santé à caractère personnel par une procédure de certification menée par le Comité français d'accréditation (Cofrac). Ce transfert est prévu dans la loi du 26 janvier 2016 de modernisation de notre système de santé et a fait l'objet d'une ordonnance publiée au Journal officiel du 13 janvier 2017. Ses dates d’entrée en vigueur seront connues « courant 2017 », selon la juriste. L'ensemble des mesures décrites s'appliqueront à tous les hébergeurs au plus tard le 1er janvier 2019.

La nouvelle certification

« La future certification se fondera sur des normes internationales », a déclaré Kahina Haddad. Elle a notamment cité la norme ISO 27001 "système de gestion de la sécurité des systèmes d'information", la norme ISO 20000 "système de gestion de la qualité des services", la norme ISO 27017 "code de pratique pour les contrôles de sécurité de l'information pour les services du nuage" et la norme ISO 27018 "protection des données à caractère personnel".

La procédure en elle-même tient du processus décrit dans la norme ISO/CEI 17021. L'hébergeur choisira un organisme accrédité par le Cofrac (ou équivalent au niveau européen) et un audit en deux étapes sera effectué : un audit documentaire puis un audit sur site. Le cas échéant, l'organisme certificateur vérifiera l'équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l'hébergeur.

Kahina Haddad a rappelé que l'agrément est obligatoire pour l'externalisation des données de santé, qu'elles soient sur support électronique ou support papier. En cas d'hébergement sur support papier, c'est la procédure définie dans le décret du 4 mars 2011 qui s'applique. Contrairement à l'hébergement sur support électronique, aucun changement n'est prévu.

Numérisation : vers un cadre juridique homogène

« Aujourd'hui, les règles de numérisation et de destruction des données ne sont pas claires pour les acteurs de santé, qui s'inquiètent de savoir si leurs procédures seraient valables en cas de contentieux », a déclaré la juriste.

L'ordonnance 2017-29 du 12 janvier 2017 répondra à ces inquiétudes en créant un « cadre juridique homogène » commun à l'ensemble des acteurs qui produisent, échangent et partagent des données de santé. Elle fixera les conditions dans lesquelles une copie numérique de donnée de santé est reconnue comme ayant une force probante, en renvoyant à l'article 1379 du code civil.

Cet article présume fiable jusqu'à preuve du contraire toute copie résultant soit d'un procédé de reproduction qui entraîne une modification irréversible du support de la copie (en particulier la technique du microfilm), soit, en cas de reproduction par voie électronique, d'un procédé qui répond aux conditions prévues par le décret du 5 décembre 2016 relatif à la fiabilité des copies. En vertu de cet article, le document original peut être détruit.

Quant à l'article 1366 du code civil, désormais également applicable aux données de santé, il viendra compléter les conditions de reconnaissance de la force probante des documents créés de façon numérique, notamment la signature électronique, en créant une équivalence entre l'écrit électronique et l'écrit sur support papier.

La rédaction avec Morgan Bourven