Hébergement des données de santé : le retour de la foire ?
29 octobre 2013
Hébergement des données de santé : le retour de la foire ?
Un dispositif d’agrément a priori rassurant
Les données de santé, depuis longtemps dématérialisées, constituent un trésor. Les professionnels susceptibles de présenter des conflits d’intérêt sur le plan éthique et les sociétés au modèle économique incertain doivent être impérativement écartés de la conservation électronique de ces données dont le caractère sensible ne sera jamais assez rappelé.
Un décret du 4 janvier 2006 a défini les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support informatique et créé un Comité d’agrément des hébergeurs de données de santé à caractère personnel (CAH). L’agrément est délivré après une évaluation des capacités des candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.
Avant ce dispositif, c’était la foire à qui veut héberger des données de santé. Rappelons-nous du temps où à peu près tout le monde pouvait se proclamer « hébergeur de données de santé ». Ca fait froid dans le dos ! Aujourd’hui encore, près de la moitié des agréments sont refusés. Preuve que le monde de l’hébergement des données a besoin d’être contrôlé.
Des failles dans la régulation, brève revue de nos étonnements :
- Pour un hébergeur agréé, combien exercent sans agrément ? Juste un exemple, seul 1 des 44 sites autorisés pour la vente en ligne de médicaments dispose d’un agrément !
- Tous les hébergeurs ne sont pas soumis à l’obligation d’agrément puisque si un établissement de santé héberge lui-même les dossiers hospitaliers, il peut s’en passer. Après ce que l’on vient de découvrir sur le codage des actes par les hôpitaux, on peut s’inquiéter…
- Quant à la sauvegarde locale des données dans les cabinets libéraux, quelle sécurité ?
- Les prérequis technologiques et le niveau de « certification » doivent être précisés car, en deçà d’un certain seuil, on ne peut plus parler de sécurité de conservation des données…
- Le comité d’agrément doit être informé des incidents et dysfonctionnements survenus chez les hébergeurs ou constatés lors de contrôles. Il doit être en mesure de participer aux contrôles que la CNIL diligente. La régulation c’est aussi la coordination et la coopération des organes de contrôles !
- Aucune sanction n’est prévue contre les opérateurs qui se prévalent d’un agrément alors qu’ils ne l’ont ni obtenu, ni même demandé par l’introduction d’un dossier d’agrément.
- Il n’existe pas d’agrément européen, tout au plus une directive communautaire de 1995 qui établit un cadre de protection des données à caractère personnel équivalent pour l’ensemble des pays membres de l’Union européenne. De quoi s’étonner dans un contexte où nombre d’hébergeurs sont extra nationaux ?
Depuis la mise en place de l’agrément, l’informatique s’est fortement développée, notamment en nuage. Pour tenir compte de ces évolutions technologiques, mais aussi en réponse aux imperfections citées plus haut, il est nécessaire de faire évoluer le décret « hébergeur ».
A télécharger :
"Hébergement des données de santé : le retour de la foire ?", communiqué du CISS du 29.10.2013
- Lancement d'un site gouvernemental d'information sur l'IVG
- Démocratie sanitaire : la FHP et le CISS signent une convention sur la mise en place d’outils communs
- Hospitalidée, enfin un site grand public d’évaluation des établissements de santé… par le grand public !