Accueil > Publications > Nos articles
Publications - Nos articles
L’assurance et la recherche médicale sont exclues du champ d’application des textes sur l’hébergement des données de santé
Hélène Lebon

Article d'Hélène LEBON, associée du département protection des données personnelles.

 

L’assurance et la recherche médicale sont exclues du champ d’application des textes sur l’hébergement des données de santé

 

A l’occasion d’une réunion qui s’est tenue le 21 décembre 2017, l’ASIP Santé avait indiqué que des précisions sur le champ d’application de l’article L.1111-8 du code de la santé publique seraient communiquées ultérieurement.

En effet, à l’occasion de cette réunion, les acteurs présents avaient souhaité disposer d’informations claires sur le champ d’application du texte, notamment au secteur de l’assurance ou à la recherche médicale.

Dans ce cadre, le site de l’ASIP Santé a diffusé, le 17 juillet dernier, une Foire aux Questions du Ministère des solidarités et de la santé, indiquant expressément que sont exclues du champ d’application :

-        les organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé,

-        les organismes de recherche dans le domaine de la santé,

-        les fabricants/fournisseurs/distributeurs de dispositifs médicaux en dehors du cas où ils interviennent dans des activités de télésurveillance,

-        les associations qui proposent des activités sportives à des personnes handicapées.

Il convient bien entendu de comprendre que les activités listées constituent simplement des exemples ayant un caractère non exhaustif.

Cette Foire aux Questions rappelle également les activités explicitement exclues par les textes, à savoir :

-        « (…) le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. » (article R. 1111-8-8. du code de la santé publique)

-        les « copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises » (article 4 de la loi Informatique et libertés)

Pour mémoire, l’arrêté portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel a été adopté le 11 juin dernier.

 

Voici le texte intégral de la Question 2 et de sa réponse :

 

« Question 2 : Quel est le champ d’application de la législation sur l’hébergement de données de santé à caractère personnel ?

Le ministère chargé de la santé apporte les explications suivantes sur le champ d’application de l’hébergement de données de santé à caractère personnel

L’obligation de disposer d’un agrément ou d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement de données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social.

Par conséquent, les personnes physiques ou morales tenues de recourir à un hébergeur agréé ou certifié pour l’hébergement de données de santé sont d’une part, les patients qui confient l’hébergement de leurs données de santé à un tiers, et d’autre part les responsables de traitements de données de santé à caractère personnel ayant pour finalité la prévention, la prise en charge sanitaire (soins et diagnostic) ou la prise en charge sociale et médico-sociale de personnes.

A contrario, à titre d’exemple, sont exclues de l’obligation de recourir à un prestataire agréé ou certifié HDS : les organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé, les organismes de recherche dans le domaine de la santé, les fabricants/fournisseurs/distributeurs de dispositifs médicaux en dehors du cas où ils interviennent dans des activités de télésurveillance, les associations qui proposent des activités sportives à des personnes handicapées, etc. »

Le texte intégral de cette FAQ est disponible sur le site de l’ASIP Santé :

http://esante.gouv.fr/sites/default/files/asset/document/nouvelle_faq_hds_12_07_2018_v0_10.pdf

Retrouvez notre A LA UNE sur le décret hébergeurs de données de santé :

https://www.pdgb.com/images/lettres/le-decret-relatif-a-l-hebergement-de-donnees-de-sante-a-caractere-personnel-a-ete-publie-le-26-fevrier-2018-mars-2018-.pdf

Viadeo Partager
PDGB avocats - 174 avenue Victor Hugo - 75116 Paris - Tél. : 33 (0)1 44 05 21 21 - Fax : 33 (0)1 44 05 21 00 - Plan du site