La protection des données de santé

Sécurité des données de santé

L’article R.4235-5  du code de la santé publique (CSP) (article faisant partie du code de déontologie des pharmaciens ) dispose que « Le secret professionnel s’impose à tous les pharmaciens dans les conditions établies par la loi. Tout pharmacien doit en outre veiller à ce que ses collaborateurs soient informés de leurs obligations en matière de secret professionnel et à ce qu’ils s’y conforment ».

La loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, dite « loi Kouchner » définit notamment les conditions d’accès des patients à leurs données de santé. Ainsi, l’article L. 1111-7  du code de la santé publique dispose que « Toute personne a accès à l'ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels et établissements de santé, qui sont formalisées ou ont fait l'objet d'échanges écrits entre professionnels de santé, notamment des résultats d'examen, comptes rendus de consultation, d'intervention, d'exploration ou d'hospitalisation, des protocoles et prescriptions thérapeutiques mis en oeuvre, feuilles de surveillance, correspondances entre professionnels de santé (…). Elle peut accéder à ces informations directement ou par l'intermédiaire d'un médecin qu'elle désigne (…) ».

La loi définit également le cadre légal de l’enregistrement et de l’hébergement des données de santé. Ainsi, l’article L.1111-8  du CSP dispose que « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée ». L’hébergement des données de santé à caractère personnel nécessite un agrément dont les conditions sont précisées par le décret n°2006-6 du 4 janvier 2006 . « Les traitements de données de santé à caractère personnel que nécessite l'hébergement (…), quel qu'en soit le support, papier ou informatique, doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978  relative à l'informatique, aux fichiers et aux libertés ».

« La prestation d'hébergement, quel qu'en soit le support, fait l'objet d'un contrat. Lorsque cet hébergement est à l'initiative d'un professionnel de santé ou d'un établissement de santé, le contrat prévoit que l'hébergement des données, les modalités d'accès à celles-ci et leurs modalités de transmission sont subordonnées à l'accord de la personne concernée ».

« Les professionnels et établissements de santé peuvent, par dérogation (…), utiliser leurs propres systèmes ou des systèmes appartenant à des hébergeurs agréés, sans le consentement exprès de la personne concernée dès lors que l'accès aux données détenues est limité au professionnel de santé ou à l'établissement de santé qui les a déposées, ainsi qu'à la personne concernée dans les conditions prévues par l'article L.1111-7 ».

 

 

S'assurer contre la cybercriminalité

Une assurance contre la cybercriminalité couvre l'ensemble des données, les conséquences de leur diffusion, les dommages et intérêts pour des tiers qui portent réclamation et la remise en état du système informatique. Elle n'est pas obligatoire, mais peut s'avérer utile si les niveaux de garantie de l'assurance de responsabilité civile du prestataire informatique sont suffisants.
 

Date de mise à jour : 07/12/2015