Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2016-10-13 JNI - "Le cadre juridique de la santé numérique"

1,730 views

Published on

Le cadre juridique de la santé numérique - généralités - actualités à destination des acteurs industriels du numérique en santé

Published in: Law
  • Be the first to comment

  • Be the first to like this

2016-10-13 JNI - "Le cadre juridique de la santé numérique"

  1. 1. 1 Le cadre juridique de la santé numérique Journée nationale des industriels – 13 octobre 2016 Kahina HADDAD, juriste
  2. 2. 1- Un cadre juridique dense et en mutation 2
  3. 3. 2 - Le Règlement européen « protection des données » 3 • Directive 95/46, concerne les traitements de données à caractère personnel • Transposée en France en 2004 dans la loi Informatique et Libertés • Un texte qui remplace la directive 95/46 et va impacter la loi Informatique et Libertés • Un texte européen, commun à tous les EM et directement applicable en France (pas de transposition nécessaire) • Un texte applicable dès le 25 mai 2018 • Un texte qui concerne toutes les entreprises ainsi que le secteur public Avant le Règlement Règlement UE 2016/679 du 27 avril 2016
  4. 4. 2 - Le Règlement européen « protection des données » 4 • Renforcement des droits des personnes Nouveaux devoirs pour les RT : transparence, informations supplémentaires Nouveaux droits : droit à l’oubli, portabilité des données, limitation • Modification du statut du sous-traitant Régime, obligations et clauses du contrat de ST Requalification Chaine de sous-traitance • Obligation générale de notification des failles de sécurité Tous les RT Dans les meilleurs délais > 72h Information des personnes concernées dans certains cas • Renforcement des pouvoirs des autorités de contrôle et des sanctions Montant graduel des amendes administratives Max 20 M ou 4% CA annuel mondial
  5. 5. 3- Focus sur quelques dispositions de la Loi de Santé 5 • Supprime la référence à la CPS (carte de professionnel de santé). • Prévoit que les référentiels visant à garantir la qualité et la sécurité des données: • sont élaborés et maintenus par l’ASIP Santé • sont approuvés par voie d’arrêtés pris par le ministre chargé de la santé après avis de la CNIL. • Le processus d’élaboration de la PGSSI-S et le statut juridique des différentes composantes du corpus documentaire doivent permettre une prise en compte rapide et efficace des évolutions industrielles et technologiques (accès en mobilité, tablettes, offres en mode SaaS, etc.) et faciliter l’appropriation par les acteurs directement concernés. • Tout responsable de traitement de données de santé à caractère personnel recueillies à l’occasion des activités de prévention, de diagnostic, de soins ou de suivi médico-social doit recourir à un hébergeur agréé dès lors qu’il souhaite externaliser des données de santé • Suppression de l’obligation de recueil du consentement exprès – mais l’obligation d’information claire de la personne concernée par les données de santé hébergées demeure avec une possibilité pour celle-ci de s’opposer à cet hébergement. • Réforme par voie d’ordonnance • Habilitation du Gouvernement à agir par voie d’ordonnance pour remplacer l’agrément par une évaluation de conformité technique délivrée par un organisme certificateur accrédité (article 204-I-5°) • Phase transitoire indispensable • Consécration d’une assise législative unique pour les référentiels de sécurité et d’interopérabilité : nouvel article L.1110-4-1 CSP Conditions d’hébergement de données de santé à caractère personnel données de santé à caractère personnel. Modification de l’article L.1111-8 du code de la santé publique Remplacement de la procédure d’agrément sur support électronique par une procédure de certification
  6. 6. 3- Focus sur quelques dispositions de la Loi de Santé 6 • AUJOURD’HUI : Les établissements et professionnels de santé conservent actuellement les documents sur support papier jusqu’à l’expiration des délais réglementaires de conservation (notamment celui des dossiers patients prévu à l’art. R1112-7 du code de la santé publique), afin de ne pas encourir de risques juridiques du fait de l’absence d’exigences techniques garantissant la valeur probante des données produites par le secteur de la santé. • DEMAIN : L’article 204–5– d) habilite le gouvernement à agir par voie d’ordonnance afin de fixer un cadre juridique et technique pour la destruction des dossiers sur support papier après numérisation. Nécessité de prévoir concomitamment les règles consacrant la valeur probante des dossiers dès lors que l’original conservé sur support autre que numérique pourra désormais être détruit. Objectifs : • Déterminer les conditions reconnaissance de la valeur probante des documents nativement numériques ou des copies électroniques • Clarifier dans le code de la santé publique l’articulation entre les textes applicables aux acteurs de la santé sans distinction de leur statut (privé, public – code civil, RGS, EIDAS, etc.) • Un cadre juridique pour reconnaître la valeur probante des dossiers médicaux numérisés
  7. 7. 4- La signature électronique dans le règlement EIDAS 7 Signature électronique (SE) Signature électronique avancée (SEA) Signature électronique qualifiée (SEQ) La SE est définie comme un ensemble de données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer. Le signataire est défini par le règlement eIDAS comme « la personne physique qui crée une signature électronique ». Ainsi, la signature électronique au sens du règlement eIDAS est nécessairement la signature d’une personne physique, par opposition à la notion de cachet électronique, dont le créateur est une personne morale. Préc. art. 3-10 Préc. art. 3-9 et 3-24 La SEA est liée au signataire de manière univoque. Elle permet de l’identifier. Elle est créée à l’aide de données de création de SE sous le contrôle exclusif du signataire. Elle est liée aux données associées à cette signature de sorte que toute modification ultérieure est détectable La SEQ est créée avec un dispositif de création de SE qualifié. La SEQ repose sur un certificat qualifié de SE. Aucun acte d’exécution n’est prévu concernant l’effet juridique attaché par le règlement eIDAS à la signature électronique Rappel
  8. 8. 4- La signature électronique dans le règlement EIDAS 8 • Les signatures électroniques non qualifiées ne se voient pas dénier toute valeur juridique mais elles ne bénéficient pas a priori de l’équivalence avec la signature manuscrite. Les modalités d’application du Règlement EIDAS sont précisées par plusieurs actes d’éxecution L’ANSSI (organe de contrôle du Règlement pour la France) va accompagner les acteurs ( FAQ, référentiels, guides,etc.)
  9. 9. 5- En synthèse 9  Dans cet environnement juridique dense et nécessairement évolutif, il est de la responsabilité de chaque acteur participant à l’exploitation, l’échange et le partage des données de santé, de prendre des mesures spécifiques pour garantir le respect du cadre juridique de la santé numérique  Il relève de la mission de l’ASIP Santé de contribuer à créer les conditions d’un « espace national de confiance » : o en facilitant l’orientation et le parcours des patients dans le cadre des grands chantiers nationaux qui lui sont confiés (MSSanté, SI-Samu, PSIG, etc.), o mais également au travers de son rôle dans la définition des prérequis au développement des systèmes d’information partagés de santé (cadre fonctionnel d’interopérabilité et de sécurité, infrastructures techniques, confidentialité et usages).
  10. 10. Merci de votre attention 10

×