« Quand on ne sait pas où l`on va, il faut y aller... Et le plus vite
1
Édito •••
Yves Hémery
Psychiatre chef de service
CH Morlaix
Directeur de la publication
André Lestienne
Rédactrice en chef
Isabelle Génot-Pok
Secrétariat de rédaction
Brigitte de Lard
Assistante
Nadia Hassani
Communication
Constance Mathieu
Comité de rédaction
Patrick Chiche, Directeur des affaires juridiques,
CHU de Nice ; Annabel Croquette, Directrice
adjointe de l’hôpital local de Beaujeu ; Lin
Daubech, Directeur des affaires juridiques, CHU
de Bordeaux ; Cécile de Boisset, Chargée
d’administration, Centre départemental de
repos et de so
ins de Colmar
;
Robert Haas,
A
ffaires juridiques, Fondation Hôpital Saint-
Joseph ; Philippe Jean, Directeur des affaires
médicales et des droits des patients, Centre
h
ospitalier de Pau
;
Sanaa Marzoug, Magistrate
administrative, TA Marseille
; Eric Rossini, Direc-
teur Général adjoint, Centre de lutte contre le
cancer Paul-Strauss de Strasbourg ; Christian
Vallar, Professeur, Doyen de la faculté de droit
et science politique de Nice, Avocat au barreau
de Nice ; Claudine Bergoignan-Esper, Profes-
seur des Universités ; Hervé Tanguy, directeur
d’hôpital.
Conception et impression
Imprimerie Compédit Beauregard S.A.
Tél. : 02 33 37 08 33
Dépôt légal : 2etrimestre 2011 – N° 48389
N° ISSN 1257-3116
N° AIP 000 1458
Coordonnées du CNEH
CNEH – Centre de droit JuriSanté
3, rue Danton – 92240 Malakoff
Tél. : 01 41 17 15 56
Fax : 01 41 17 15 31
Tarifs à compter du 1
er
septembre 2007
Abonnement (4 numéros par an)
Institutionnel : 95 €TTC
Individuel : 75 €TTC
Étudiant : 55 €TTC
Vente au numéro
35 €TTC
ire qu’une loi doit être réformée est une chose, mais proposer une révision aussi illi-
sible, confuse, alambiquée, et, simultanément, porteuse d’autant de menaces à l’encontre
des droits des patients, de l’indépendance professionnelle des psychiatres, de l’organisation
du travail dans les établissements en est une autre.
Ceci invite à se pencher sur la genèse de ce texte et sur son élaboration, qui paraissent
l’une comme l’autre des défis à la raison… et une sérieuse remise en cause de l’esprit des
Lumières, qui jusqu’à une époque récente, accompagnait le travail législatif !
Nous devons malheureusement faire le constat d’une rupture épistémologique, car la
réflexion n’a plus sa place, et « l’agir à tout prix » l’emporte sur le temps nécessairement
long de la construction de projets durables.
On se prépare ainsi à garder dans les hôpitaux des patients considérés stabilisés ou amé-
liorés, sinon guéris, par les psychiatres, mais considérés comme encore dangereux par le
préfet. C’est la rétention de sûreté à l’hôpital, et la négation de tout travail thérapeutique.
Ainsi que le signale le Contrôleur général des lieux de détention (2), il conviendrait pour-
tant de se référer à l’état actuel du patient, et non à celui qui prévalait au moment des faits
qui ont entraîné l’hospitalisation.
Il faut bien souligner que la vigilance du législateur, et du ministère de l’Intérieur, s’exerce
particulièrement sur une population de patients dont le nombre n’excède guère le millier
chaque année (irresponsabilité pénale et séjours en UMD), et que les hospitalisations
d’office représentent moins de 2 % des hospitalisations annuelles en psychiatrie.
Par ricochet, l’ensemble des patients souffrira, peu ou prou, de ce climat de suspicion, alors
qu’à l’inverse, les patients qui auraient le plus besoin de soins auront spontanément ten-
dance à s’y soustraire, par peur, et à éviter le contact avec les équipes soignantes.
Coup du hasard, ici nommé QPC, le Conseil Constitutionnel (3), par sa décision du 26
novembre 2010, chamboule le dispositif. Il en résulte que l’intervention judiciaire s’impose,
comme principe constitutionnel, non pas nécessairement à l’initiation de l’hospitalisation,
mais avant le terme des deux premières semaines.
Devant ce coup de tonnerre, qui à lui seul bouleverse l’ensemble du dispositif des soins sans
consentement, on aurait pu s’attendre à un temps complémentaire de réflexion, voire une
refonte de l’ensemble du texte, déjà déposé à l’Assemblée. Que nenni, il faut avancer et
promouvoir un projet de loi qui rassure ses promoteurs.
Car pour le fond,
in cauda venenum
, la possibilité accordée au préfet ou au directeur de
l’établissement d’interjeter un appel suspensif de la décision du juge démontre, s’il le fal-
lait, la dimension exclusivement sécuritaire de ce texte. Force doit rester au pouvoir
pré(fec)torien, et il ne faut en aucun cas accorder de légitimité aux magistrats ni aux psy-
chiatres.
« On n'est jamais aussi bien battu que par soi-même »
Une fois de plus, le sursis provient du Conseil Constitutionnel, puisque saisi d’une QPC sur
l’hospitalisation d’office par le Conseil d’État le 7 avril 2011, il rend le 9 juin une décision
(4) qui rend inconstitutionnelle les dispositions essentielles de l’hospitalisation d’office :
d’une part, il instaure dans son considérant 13, le contrôle du Juge des Libertés avant le
quinzième jour, à l’instar de l’ex-HDT, et surtout, il restitue au psychiatre le dernier mot en
matière de maintien de la mesure contraignante (considérant 10), un second avis médical
peut désormais imposer au Préfet la levée de l’hospitalisation, en dépit d’un refus initial. Le
texte définitif n’en devient que plus confus et complexe, au grand dam de ses initiateurs !
Désormais, les inspirateurs de cette révision de la loi du 27 juin 1990 sont démasqués ! Il
est fort probable que les annales parlementaires ne révèlent aucun texte aussi mal ficelé,
aussi illisible, aussi délétère dans sa finalité, aussi ouvertement discriminatoire à l’égard des
patients et des psychiatres…
Les plus anciens auront bien sûr reconnu quelque chose de la culture Shadok, en pire. Le
destin de ces constructions était de s’autodétruire, souhaitons donc la même fin à cet édi-
fice incompatible avec une conception digne et moderne de la psychiatrie et du traitement
des malades les plus préoccupants.
D
« Quand on ne sait pas où l'on va, il faut y aller...
Et le plus vite possible » (1) :
Actualités JuriSanté n° 74 – Juillet 2011
(1) Les intertitres sont issus de : « Les Shadoks », Jacques Rouxel, Édition Circonflexe, 1999.
(2) Avis du 15 février 2011 du Contrôleur général des lieux de privation de liberté relatif à certaines
modalités de l'hospitalisation d'office, JO du 20 mars 2011.
(3) Décision n° 2010-71 QPC du 26 novembre 2010, JO du 27 novembre 2010.
(4) Décision n° 2011-135/140 QPC du 09 juin 2011, JO du 10 juin 2011.
Sommaire •••
4
Dossier : L’hébergement des données personnelles de santé :
principes et limites
4 L’hébergement des données de santé à caractère personnel des établissements de santé :
quelques repères juridiques
Sanaa Marzoug
6 Hébergement de données et coopération
Brigitte de Lard
9 Le rôle de l’Agence des systèmes d’information partagés de santé dans la procédure d’agrément
Jeanne Bossi
14 L’externalisation des dossiers médicaux de l’Assistance publique – hôpitaux de Paris (AP-HP)
Stéphane Rodriguez
16 Bloc-notes
18 Actualités
21 Petites notes de jurisprudence
29 Panorama des derniers mois
L’équipe du Centre de droit JuriSanté
•••
Hervé
TANGUY
Claudine
BERGOIGNAN-
ESPER
Stéphanie
SÉGUI-
SAULNIER
Jean-Yves
COPIN
Isabelle
GÉNOT-POK
Brigitte
de LARD
Clothilde
POPPE
Guillem
CASANOVAS
Sanaa
MARZOUG
Lydie
BRECQ-
COUTANT
Rodolphe
RAYSSAC
Actualités JuriSanté n° 74 – Juillet 2011 3
l’occasion de la proposition de la loi « Fourcade (1) » actuellement étudiée par le
Parlement et le Sénat…… et notamment celle de son article 12 :
« Pour l’application de l’article L. 1111-8 du code de la santé publique, le consentement
exprès des personnes concernées est, à compter de la promulgation de la présente loi,
réputé accordé pour ce qui concerne le transfert des données de santé à caractère
personnel actuellement hébergées par les établissements publics de santé et par les
établissements de santé privés. »,
il est apparu nécessaire de faire, sinon de refaire, le point sur l’hébergement des don-
nées de santé à caractère personnel qui demeure une notion mal maîtrisée et dont les
conséquences juridiques dans nombre de situations ne semblent pas avoir été bien
appréhendées par les hospitaliers notamment les décideurs.
Ce constat a été effectué suite à de nombreuses analyses juridiques et des missions de
conseils réalisées par le Centre de droit JuriSanté.
Qu’est-ce que l’hébergement des données de santé ? Qui sont les hébergeurs ? Un éta-
blissement de santé peut-il être hébergeur de données de santé au regard de ses mis-
sions de service public et du principe de spécialité ? Comment envisager l’hébergement
de données de santé dans le cadre de la coopération ? Comment organiser et mettre en
œuvre l’hébergement de données de santé dans un établissement qui ne souhaite plus
conserver chez lui ces données ?...
Ce dossier présente 4 articles qui permettront sans doute d’apporter un éclairage et les
réponses nécessaires sur ces questionnements et de prévenir les difficultés juridiques qui
se poseront.
L’hébergement des données
personnelles de santé :
principes et limites
À
Introduction •••
Isabelle Génot-Pôk
Juriste, Consultante au Centre
de droit JuriSanté du CNEH
(1) PROPOSITION DE LOI modifiant certaines dispositions de la loi n° 2009-879 du 21 juillet 2009 portant
réforme de l’hôpital et relative aux patients, à la santé et aux territoires, PRÉSENTÉE par M. Jean-Pierre
FOURCADE, Sénateur.
Informations aux lecteurs : la revue Actualités Jurisanté évolue !
Pour revenir à son format d’origine : 32 pages en conservant les rubriques les plus
essentielles sur le support papier (dossier, actualités, petites notes de jurispru-
dence), il a été décidé qu’une partie des articles ne seront disponibles qu’en support
électronique.
Les lecteurs pourront retrouver sur le site du CNEH des articles (bloc notes, notes de
lecture, chronique de jurisprudence, …) pour aller plus loin dans leur lecture.
Ce nouveau dispositif sera opérationnel dès la rentée 2011 sur le site www.cneh.fr
Actualités JuriSanté n° 74 – Juillet 2011
4
Dossier •••
L’hébergement des données personnelles de santé :
principes et limites
Les règles à observer pour faire héberger les données de
santé détenues par un établissement sont très précises et
strictes.
Un établissement de santé n’a pas besoin d’obtenir un
agrément pour héberger les données qu’il produit et gère
concernant les patients en charge.
Un établissement de santé public n’a pas vocation, au
regard du principe de spécialité, à être hébergeur (pres-
tataire) d’une autre structure ou organisation.
Textes de référence
⇒Articles L. 1111-8 et R. 1111-9 à 16-1 du code de la
santé publique
⇒Articles du code de la santé publique
⇒Loi n° 78-17 du 6 janvier 1978 relative à l’informatique,
aux fichiers et aux libertés
⇒Décret n° 79-1037 du 3 décembre 1979 relatif à la
compétence des services d'archives publics et à la
coopération entre les administrations pour la collecte,
la conservation et la communication des archives
publiques (hébergement des données de santé à carac-
tère personnel sur support papier)
Les définitions
Données à caractère personnel : toute information re-
lative à une personne physique identifiée ou qui peut
être identifiée, directement ou indirectement, par réfé-
rence à un numéro d'identification ou à un ou plusieurs
éléments qui lui sont propres.
Hébergement des données de santé à caractère per-
sonnel : conservation sur support papier ou informa-
tique des données de santé à caractère personnel,
recueillies ou produites à l’occasion des activités de
prévention, de diagnostic ou de soins, assurée par des
personnes physiques ou morales agréées à cet effet, ou
traitement et conservation de ces données ou mise à
disposition d’un site de sauvegarde.
Les établissements de santé ne sont pas tenus
d’être agréés pour assurer l’hébergement de leurs
propres données de santé à caractère personnel
Dès lors qu’ils décident de conserver en leur sein les
dossiers médicaux et autres documents comportant des
informations de santé à caractère personnel, que ce soit
sur support papier ou informatique, les établissements de
santé n’ont pas à solliciter un agrément ministériel.
Ce n’est que lorsque ces données sont confiées à un
tiers que l’établissement doit s’assurer que celui-ci
est bien agréé pour cette activité d’hébergement
spécifique.
L’agrément pour une activité d’hébergement de données
de santé à caractère personnel sur support informatique
est délivré par le ministre en charge de la santé, après
avis de la CNIL et d’un comité d’agrément. L’agrément est
délivré pour une durée de trois ans, laquelle peut être
renouvelée après présentation d’une nouvelle demande.
Le ministre de la santé peut décider le retrait de l’agré-
ment d’un hébergeur si des manquements graves à ses
obligations sont constatés.
Une vingtaine d’opérateurs ont été agréés en tant qu’héber-
geurs de données de santé à caractère personnel sur
support informatique.
L’agrément pour l’hébergement des données de santé à
caractère personnel sur support papier est, quant à lui,
accordé par le ministre chargé de la culture.
L’hébergeur de données de santé à caractère
personnel doit remplir des obligations en matière de
secret professionnel
L’hébergeur et les personnes qu’il emploie et qui ont accès
aux données déposées sont astreints au secret profes-
sionnel dans les conditions et sous les peines prévues à
l’article 226-13 du code pénal.
Il est également tenu d’assurer la confidentialité, la sécu-
rité, l’intégrité et la disponibilité des données de santé qui
lui sont confiées par un établissement de santé.
En principe, il ne peut obtenir son agrément que s’il
démontre sa capacité à mettre en œuvre une politique de
sécurité et de confidentialité renforcée.
En principe, un établissement de santé ne peut
recourir aux services d’un hébergeur agréé qu’après
avoir obtenu l’accord de tous les patients concernés
par les données de santé
L’hébergement des données de santé à caractère person-
nel, quel qu'en soit le support, papier ou informatique, ne
peut avoir lieu qu’avec le consentement exprès de la per-
L’hébergement des données de santé à caractère personnel des établisse-
ments de santé : quelques repères juridiques
Sanaa Marzoug
Directeur d’hôpital
Détachée en qualité
de magistrat administratif
Expert CNEH
Actualités JuriSanté n° 74 – Juillet 2011 5
Dossier •••
L’hébergement des données personnelles de santé :
principes et limites
sonne concernée. Le contrat conclu entre l’établissement
de santé et l’hébergeur prévoit que l’hébergement des
données, les modalités d’accès à celles-ci et leurs modali-
tés de transmission sont subordonnés à l’accord de la per-
sonne concernée.
Cependant, à titre dérogatoire, les établissements de
santé peuvent confier les données de santé créées à
l’occasion de leurs activités à des hébergeurs agréés
sans le consentement exprès du patient, dès lors que
l’accès aux données hébergées est limité à l’établisse-
ment de santé qui les a déposées et au patient. Mais,
même dans cette hypothèse, le patient conserve un
droit d’opposition et de rectification.
La proposition de loi dite Fourcade, actuellement en cours
de discussion parlementaire, comporte un article 12 aux
termes duquel : « Pour l’application de l’article L. 1111-8
du code de la santé publique, le consentement exprès des
personnes concernées est, à compter de la promulgation
de la présente loi, réputé accordé pour ce qui concerne le
transfert des données de santé à caractère personnel
actuellement hébergées par les établissements publics de
santé et par les établissements de santé privés. ». Si elle
était votée, cette disposition permettrait de dispenser les
établissements de santé souhaitant confier l’hébergement
de leurs données de santé à caractère personnel à un
prestataire, ou l’ayant déjà fait, de recueillir le consente-
ment des patients pour lesquels les données de santé à
caractère personnel, et notamment les dossiers médicaux,
ont été constitués avant la promulgation du texte précité.
Les établissements publics de santé sont tenus de
se soumettre au code des marchés publics avant de
conclure un contrat d’hébergement de données de
santé à caractère personnel
Un contrat est obligatoirement passé entre l’établissement
public de santé et l’hébergeur agréé. Ce contrat conclu à
titre onéreux entre un pouvoir adjudicateur et un opéra-
teur économique de services a le caractère d’un marché
public (voir article 1er du code des marchés publics). Ce
marché bénéficie, pour sa passation, d’un régime dit
« allégé » en matière de publicité et de mise en concur-
rence, aménagé par les dispositions de l’article 30 du code
des marchés publics.
Un établissement public de santé peut être agréé en
vue d’assurer l’hébergement des données de santé à
caractère personnel d’autres acteurs de santé
Dès lors qu’une entité héberge des données de santé de
patients dont elle n’assure pas la prise en charge, elle est
considérée comme hébergeur et elle doit donc, en cette
qualité, obtenir un agrément ministériel pour pouvoir
exercer cette activité. Ainsi, un établissement public de
santé, qui est amené à conserver les données de santé
d’autres établissements de santé ou structures de soins,
doit être agréé.
Une telle hypothèse pose des difficultés juridiques, dès
lors que les hôpitaux publics sont, en principe, tenus de
se limiter à l’exercice des missions qui leur ont été dévo-
lues par la loi et qui sont définies dans des termes précis
et exhaustifs. Autrement dit, ils sont soumis, au même
titre que tous les établissements publics, au principe
de spécialité, qui leur interdit de sortir du champ de
compétences attribuées par les textes.
Les missions des établissements de santé sont énoncées
par les articles L. 6111-1 et suivants du code de la santé
publique, lesquels ne mentionnent pas l’activité d’héberge-
ment de données de santé à caractère personnel pour
le compte de tiers. Cependant, les hôpitaux publics sont
autorisés à effectuer des prestations subsidiaires dans le
cadre des dispositions de l’article L. 6145-7 du code de la
santé publique selon les termes duquel : « Sans porter
préjudice à l’exercice de leurs missions, les établissements
publics de santé peuvent, à titre subsidiaire, assurer des
prestations de service, valoriser les activités de recherche
et leurs résultats et exploiter des brevets et des licences
dans le cadre de services industriels et commerciaux (…) ».
Le juge administratif est venu préciser les conditions de
mise en œuvre de cet article dans une décision de la Cour
administrative d’appel de Nantes (voir CAA de Nantes, du
29 mars 2000, Centre hospitalier de Morlaix,
n° 97NT00451). En l’espèce, il a considéré qu’une presta-
tion de traitement de linge assurée par un établissement
public de santé au profit d’une clinique ne pouvait pas être
regardée comme relevant des prestations de service pou-
vant être effectuées, à titre subsidiaire, dans le respect des
missions dévolues aux hôpitaux publics, dès lors que
l’activité en cause était sans rapport avec ses missions
principales. Ainsi, l’activité subsidiaire doit nécessairement
constituer le prolongement de l’activité principale que
l’hôpital réalise dans le cadre de sa spécialité et des mis-
sions de service public qui lui ont été confiées par la loi.
Eu égard à cette interprétation restrictive du principe de
spécialité applicable aux établissements publics de santé
retenue par le juge administratif, il semble qu’un hôpital
public ne pourrait pas, sans outrepasser l’objet en vue
duquel il a été créé, assurer des prestations d’héberge-
ment de données de santé à caractère personnel pour
d’autres acteurs de santé, lesquelles relèvent plutôt du
secteur commercial et des sociétés de services informa-
tiques à but lucratif.
Conclusion :
La loi du 4 mars 2002 dans ses articles L. 1111-8 et
R. 1111-9 à 16-1 du code de la santé publique, a voulu
permettre aux établissements de santé d’externaliser
leurs données personnelles de santé dès lors que leur pro-
pre système informatique ne pouvait les maintenir en état
et conserver ces données. Mais les conditions sont
strictes, encadrées et garanties par la procédure d’agré-
ment maîtrisée par la CNIL.
Cette disposition n’avait en aucun cas pour but d’ouvrir un
potentiel d’activité commerciale aux établissements de
santé publics eux-mêmes. Aussi il est pertinent de se
poser la question de l’agrément reçu par un centre hospi-
talier pour héberger les données de santé d’une autre
structure quelle qu’en soit la forme et l’objet.
Pour aller plus loin :
⇒Les sources d’information :
⇒www.cnil.fr
⇒www.esante.gouv.fr
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
1
/
32
100%
