2016-10-13 jni - "le cadre juridique de la santé numérique"
Post on 11-Jan-2017
1.340 Views
Preview:
TRANSCRIPT
1
Le cadre juridique de la santé numérique Journée nationale des industriels – 13 octobre 2016
Kahina HADDAD, juriste
2 - Le Règlement européen « protection des données »
3
• Directive 95/46, concerne les traitements de données à caractère personnel
• Transposée en France en 2004 dans la loi Informatique et Libertés
• Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et
Libertés
• Un texte européen, commun à tous les EM et directement applicable en France
(pas de transposition nécessaire)
• Un texte applicable dès le 25 mai 2018
• Un texte qui concerne toutes les entreprises ainsi que le secteur public
Avant le Règlement
Règlement UE 2016/679 du 27 avril 2016
2 - Le Règlement européen « protection des données »
4
• Renforcement des droits des personnes
Nouveaux devoirs pour les
RT : transparence,
informations supplémentaires
Nouveaux droits : droit à
l’oubli, portabilité des
données, limitation
• Modification du statut du sous-traitant
Régime, obligations
et clauses du contrat de ST Requalification Chaine de sous-traitance
• Obligation générale de notification des failles de sécurité
Tous les RT
Dans les
meilleurs délais
> 72h
Information des personnes concernées
dans certains cas
• Renforcement des pouvoirs des autorités de contrôle et des sanctions
Montant graduel des
amendes administratives Max 20 M ou 4% CA annuel mondial
3- Focus sur quelques dispositions de la Loi de Santé
5
• Supprime la référence à la CPS (carte de professionnel de santé). • Prévoit que les référentiels visant à garantir la qualité et la sécurité des données:
• sont élaborés et maintenus par l’ASIP Santé • sont approuvés par voie d’arrêtés pris par le ministre chargé de la santé après avis de la CNIL.
• Le processus d’élaboration de la PGSSI-S et le statut juridique des différentes composantes du corpus documentaire
doivent permettre une prise en compte rapide et efficace des évolutions industrielles et technologiques (accès en mobilité, tablettes, offres en mode SaaS, etc.) et faciliter l’appropriation par les acteurs directement concernés.
• Tout responsable de traitement de données de santé à caractère personnel recueillies à l’occasion des activités de prévention, de diagnostic, de soins ou de suivi médico-social doit recourir à un hébergeur agréé dès lors qu’il souhaite externaliser des données de santé
• Suppression de l’obligation de recueil du consentement exprès – mais l’obligation d’information claire de la personne concernée par les données de santé hébergées demeure avec une possibilité pour celle-ci de s’opposer à cet hébergement.
• Réforme par voie d’ordonnance • Habilitation du Gouvernement à agir par voie d’ordonnance pour remplacer l’agrément par une évaluation de
conformité technique délivrée par un organisme certificateur accrédité (article 204-I-5°) • Phase transitoire indispensable
• Consécration d’une assise législative unique pour les référentiels de sécurité et
d’interopérabilité : nouvel article L.1110-4-1 CSP
Conditions d’hébergement de données de santé à caractère personnel données de
santé à caractère personnel.
Modification de l’article L.1111-8 du code de la santé publique
Remplacement de la procédure d’agrément sur support électronique
par une procédure de certification
3- Focus sur quelques dispositions de la Loi de Santé
6
• AUJOURD’HUI : Les établissements et professionnels de santé conservent actuellement les documents sur support papier jusqu’à l’expiration des délais réglementaires de conservation (notamment celui des dossiers patients prévu à l’art. R1112-7 du code de la santé publique), afin de ne pas encourir de risques juridiques du fait de l’absence d’exigences techniques garantissant la valeur probante des données produites par le secteur de la santé. • DEMAIN :
L’article 204–5– d) habilite le gouvernement à agir par voie d’ordonnance afin de fixer un cadre juridique et technique pour la destruction des dossiers sur support papier après numérisation.
Nécessité de prévoir concomitamment les règles consacrant la valeur probante des dossiers dès lors que l’original conservé sur support autre que numérique pourra désormais être détruit. Objectifs :
• Déterminer les conditions reconnaissance de la valeur probante des documents nativement numériques ou des copies électroniques
• Clarifier dans le code de la santé publique l’articulation entre les textes applicables aux acteurs de la santé sans distinction de leur statut (privé, public – code civil, RGS, EIDAS, etc.)
• Un cadre juridique pour reconnaître la valeur probante des dossiers médicaux
numérisés
4- La signature électronique dans le règlement EIDAS
7
Signature électronique (SE) Signature électronique
avancée (SEA)
Signature électronique
qualifiée (SEQ)
La SE est définie comme un
ensemble de données sous
forme électronique, qui sont
jointes ou associées
logiquement à d’autres
données sous forme
électronique et que le
signataire utilise pour signer.
Le signataire est défini par le
règlement eIDAS comme « la
personne physique qui crée
une signature électronique ».
Ainsi, la signature électronique
au sens du règlement eIDAS
est nécessairement la signature
d’une personne physique, par
opposition à la notion de cachet
électronique, dont le créateur
est une personne morale.
Préc. art. 3-10
Préc. art. 3-9 et 3-24
La SEA est liée au signataire
de manière univoque.
Elle permet de l’identifier.
Elle est créée à l’aide de
données de création de SE
sous le contrôle exclusif du
signataire.
Elle est liée aux données
associées à cette signature de
sorte que toute modification
ultérieure est détectable
La SEQ est créée avec un
dispositif de création de SE
qualifié.
La SEQ repose sur un certificat
qualifié de SE.
Aucun acte d’exécution n’est prévu
concernant l’effet juridique attaché
par le règlement eIDAS à la
signature électronique
Rappel
4- La signature électronique dans le règlement EIDAS
8
• Les signatures électroniques non qualifiées ne se voient pas dénier toute valeur juridique
mais elles ne bénéficient pas a priori de l’équivalence avec la signature manuscrite.
Les modalités d’application du Règlement EIDAS sont précisées par plusieurs actes
d’éxecution
L’ANSSI (organe de contrôle du Règlement pour la France) va accompagner les acteurs ( FAQ,
référentiels, guides,etc.)
5- En synthèse
9
Dans cet environnement juridique dense et nécessairement évolutif, il est de
la responsabilité de chaque acteur participant à l’exploitation, l’échange et le
partage des données de santé, de prendre des mesures spécifiques pour
garantir le respect du cadre juridique de la santé numérique
Il relève de la mission de l’ASIP Santé de contribuer à créer les conditions
d’un « espace national de confiance » :
o en facilitant l’orientation et le parcours des patients dans le cadre des
grands chantiers nationaux qui lui sont confiés (MSSanté, SI-Samu, PSIG,
etc.),
o mais également au travers de son rôle dans la définition des prérequis au
développement des systèmes d’information partagés de santé (cadre
fonctionnel d’interopérabilité et de sécurité, infrastructures techniques,
confidentialité et usages).
top related