Hébergement des données de santé : le retour de la foire ?

Publié par jfl-seronet le 03.11.2013
5 025 lectures
Notez l'article : 
0
 
ChiffresDonnées de santé

"Hébergement des données de santé : le retour de la foire ?", interroge le Collectif interassociatif sur la santé (29 octobre) dans un communiqué. Explications par le CISS des enjeux concernant cette question.

Un dispositif d’agrément a priori rassurant

"Les données de santé, depuis longtemps dématérialisées, constituent un trésor. Les professionnels susceptibles de présenter des conflits d’intérêt sur le plan éthique et les sociétés au modèle économique incertain doivent être impérativement écartés de la conservation électronique de ces données dont le caractère sensible ne sera jamais assez rappelé", explique le CISS. "Un décret du 4 janvier 2006 a défini les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support informatique et créé un Comité d’agrément des hébergeurs de données de santé à caractère personnel (CAH). L’agrément est délivré après une évaluation des capacités des candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité", détaille le CISS. "Avant ce dispositif, c’était la foire à qui veut héberger des données de santé. Rappelons-nous du temps où à peu près tout le monde pouvait se proclamer "hébergeur de données de santé". Ça fait froid dans le dos ! Aujourd’hui encore, près de la moitié des agréments sont refusés. Preuve que le monde de l’hébergement des données a besoin d’être contrôlé", constate le Collectif.

Des failles dans la régulation, brève revue de nos étonnements

Pour un hébergeur agréé, combien exercent sans agrément ? Juste un exemple, seul 1 des 44 sitesautorisés pour la vente en ligne de médicaments dispose d’un agrément ;
Tous les hébergeurs ne sont pas soumis à l’obligation d’agrément puisque si un établissement de santé héberge lui-même les dossiers hospitaliers, il peut s’en passer. Après ce que l’on vient de découvrir sur le codage des actes par les hôpitaux, on peut s’inquiéter. Quant à la sauvegarde locale des données dans les cabinets libéraux, quelle sécurité ?
Les pré-requis technologiques et le niveau de "certification" doivent être précisés car, en deçà d’un certain seuil, on ne peut plus parler de sécurité de conservation des données.

Le comité d’agrément doit être informé des incidents et dysfonctionnements survenus chez les hébergeurs ou constatés lors de contrôles. Il doit être en mesure de participer aux contrôles que la CNIL [Commission nationale de l’informatique et des libertés, ndlr] diligente. La régulation c’est aussi la coordination et la coopération des organes de contrôles ! Aucune sanction n’est prévue contre les opérateurs qui se prévalent d’un agrément alors qu’ils ne l’ont ni obtenu, ni même demandé par l’introduction d’un dossier d’agrément. Il n’existe pas d’agrément européen, tout au plus une directive communautaire de 1995 qui établit un cadre de protection des données à caractère personnel équivalent pour l’ensemble des pays membres de l’Union européenne. De quoi s’étonner dans un contexte où nombre d’hébergeurs sont extra nationaux.

"Depuis la mise en place de l’agrément, l’informatique s’est fortement développée, notamment en nuage. Pour tenir compte de ces évolutions technologiques, mais aussi en réponse aux imperfections citées plus haut, il est nécessaire de faire évoluer le décret " hébergeur", demande le CISS.