Détails de la notification

Décret relatif à l’hébergement de données de santé à caractère personnel et modifiant le code de la santé publique

Numéro de notification: 2017/343/F (France)
Date de réception: 20/07/2017
Fin de la période de statu quo: 23/10/2017

bg cs da de el en es et fi fr hr hu it lt lv mt nl pl pt ro sk sl sv
bg cs da de el en es et fi fr hr hu it lt lv mt nl pl pt ro sk sl sv


Message 001

Communication de la Commission - TRIS/(2017) 01922
Directive (UE) 2015/1535
Notificación - Oznámení - Notifikation - Notifizierung - Teavitamine - Γνωστοποίηση - Notification - Notification - Notifica - Pieteikums - Pranešimas - Bejelentés - Notifika - Kennisgeving - Zawiadomienie - Notificação - Hlásenie-Obvestilo - Ilmoitus - Anmälan - Нотификация : 2017/0343/F - Notificare.

No abre el plazo - Nezahajuje odklady - Fristerne indledes ikke - Kein Fristbeginn - Viivituste perioodi ei avata - Καμμία έναρξη προθεσμίας - Does not open the delays - N'ouvre pas de délais - Non fa decorrere la mora - Neietekmē atlikšanu - Atidėjimai nepradedami - Nem nyitja meg a késéseket - Ma’ jiftaħx il-perijodi ta’ dawmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Neotvorí oneskorenia - Ne uvaja zamud - Määräaika ei ala tästä - Inleder ingen frist - Не се предвижда период на прекъсване - Nu deschide perioadele de stagnare - Nu deschide perioadele de stagnare.

(MSG: 201701922.FR)

1. Ligne d'information structurée
MSG 001 IND 2017 0343 F FR 20-07-2017 F NOTIF


2. état membre
F


3. Service responsable
Direction générale des entreprises – SQUALPI – Bât. Sieyès -Teledoc 151 – 61, Bd Vincent Auriol - 75703 PARIS Cedex 13
d9834.france@finances.gouv.fr
tél : 01 44 97 24 55


3. Département d'origine
Délégation à la stratégie des systèmes d'information de santé
Secrétariat général
Ministère des affaires sociales et de la santé
14, avenue Duquesne,
75350 Paris 07 SP
philippe.cirre@sante.gouv.fr
01.40.56.59.11


4. Numéro de notification
2017/0343/F - SERV


5. Titre
Décret relatif à l’hébergement de données de santé à caractère personnel et modifiant le code de la santé publique


6. Produits concernés
Services d’hébergement de données de santé à caractère personnel recueillies à l’occasion d’activités de prévention de diagnostic, de soins ou de suivi social et médico-social


7. Notification en vertu d'une autre loi
- directive 2006/123/CE sur les services dans le marché intérieur
- 98/48/EC services de la société de l’information uniquement
- exigences qui réservent l’accès à des fournisseurs particuliers
- Le nouvel article R.1111-8-8 du code de la santé publique créé par le projet de décret définit l’activité d’hébergement des données de santé à caractère personnel et rappelle que l’hébergeur des données de santé doit être certifié.

L’article 3 du projet de décret définit pour sa part les modalités d’obtention de l’autorisation préalable à l’hébergement de données de santé à caractère personnel sur support numérique (sous-section 2 « Hébergement des données de santé à caractère personnel sur support numérique soumis à certification »).


8. Menu principal
Le présent projet de décret est pris en application de l’article L.1111-8 du code de la santé publique tel que modifié par l’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé. Il précise notamment que l’hébergement de données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social, doit être réalisé par un hébergeur certifié ou agréé.
Plus spécifiquement :
• Le II de l’article 1 définit le périmètre des activités d’hébergement soumises à certification ;
• L’article 3 définit :
- le périmètre de la certification pour l’hébergement de données de santé à caractère personnel sur support numérique ;
- les obligations de l’hébergeur, notamment celles devant figurer dans le contrat d’hébergement conclu avec son client ;
- les conditions de certification des hébergeurs de données de santé à caractère personnel : seuls les hébergeurs certifiés par un organisme de certification accrédité par le comité français d’accréditation ou l’instance nationale d’accréditation d’un autre Etat membre de l’Union européenne membre de la coopération européenne pour l'accréditation et ayant signé les accords de reconnaissance mutuelle multilatéraux couvrant la certification considérée, pourront proposer des services d’hébergement de données de santé à caractère personnel sur support numérique.
Les hébergeurs sont certifiés sur le fondement d’un référentiel de certification élaboré par le groupement d’intérêt public mentionné à l’article L.1111-24 du code de la santé publique (l’Agence des systèmes d’information partagés de santé) approuvé par arrêté du ministre chargé de la Santé pris après avis de la Commission nationale de l’informatique et des libertés.


9. Bref exposé des motifs
Au regard de la particulière sensibilité des données de santé, la procédure de certification a pour finalités de s’assurer que l’hébergeur dispose de garanties suffisantes pour la sécurité et la confidentialité des données de santé. Elle s’inscrit pleinement dans l’esprit du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, qui préconise la mise en place de mécanismes de certification.

Cette nouvelle procédure de certification est également une procédure bien connue du monde industriel. Elle est transparente et prédictible (basée sur un référentiel d’exigences public et donc auditable) et plus souple (avec un référentiel évolutif grâce à la mise en place d’un cycle de vie du référentiel), dans des conditions de délais réduits pour les hébergeurs. En outre, cette nouvelle procédure permet de prendre en compte le caractère potentiellement international de l’hébergement (prestataire d’hébergement de droit international, activité d’hébergement exercée en dehors du territoire national).

La certification est justifiée par la protection de droits fondamentaux reconnus par la Cour de Justice comme une raison impérieuse d’intérêt général en ce qui concerne le droit au respect de la vie privée et le droit à la protection des données à caractère personnel. Son mécanisme est mis en place en vue de garantir les obligations de sécurité et de confidentialité incombant aux hébergeurs de données à caractère personnel, notamment en application des dispositions de la loi 78-17 du 6 janvier 1978, modifiée relative à l’informatique aux fichiers et aux libertés et plus largement au Règlement européen n° 2016/679 sur la protection des données personnelles précité. Cette certification est ainsi établie en vue de garantir aux personnes physiques le respect de leur vie privée et du secret médical. Elle est de nature à diminuer le risque de violation des données à caractère personnel en renforçant les conditions de leur hébergement.

En conclusion, cette certification est adaptée, nécessaire et proportionnée au but poursuivi, dans la mesure où elle s’applique aux seuls hébergeurs de données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic de soins ou de suivi social et médico-sociale, qui sont des données particulièrement sensibles et inhérentes à la vie privée des individus.


10. Documents de Référence - Textes de base
Références aux textes de référence: Ordonnance n°2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à carcatère personnel


11. Invocation de la procédure d'urgence
Non


12. Motifs justifiant le recours à  la procédure d'urgence
-


13. Confidentialité
Non


14. Mesures fiscales
Non


15. évaluation d'impact
-


16. Aspects OTC et SPS
Aspect OTC

NON - Le projet n’a pas un effet notable sur le commerce international.

Aspect SPS

Non - Le projet n’est pas une mesure sanitaire ou phytosanitaire.



**********
Commission européenne

Point de contact Directive (UE) 2015/1535
Fax: +32 229 98043
email: grow-dir2015-1535-central@ec.europa.eu

Contributions des parties concernées

Le site Web TRIS vous permet, à vous et à votre organisation, de partager facilement votre opinion sur toute notification donnée.
Vous pouvez présenter votre contribution dans n’importe quelle langue officielle de l’UE. Cependant, veuillez noter que nous ne fournirons pas la traduction des contributions sur le site. De plus, nous vous rappelons que les contributions seront uniquement acceptées jusqu’à 23:59:59 CET de la date de fin de la période de statu quo.


Aucune contribution trouvée pour cette notification