Les positions d'Orange La certification et les données d'hébergement en France Leçons et précédents Le régime de l’hébergement des données de santé en France apparaît comme l’une des premières tentatives des États membres de l’Union européenne pour réglementer et assurer un traitement efficace et sécurisé des données de santé. La législation tient pour acquis que les données de santé possède un haut degré de sensibilité pour beaucoup, voire la plupart des personnes concernées. Contexte Le système français actuel a été défini par le Décret 2006-6. L’application de la loi et le processus formel d'accréditation sont supervisées par le «comité d'agrément des hébergeurs», faisant partie de l’«Agence des Systèmes d'Information Partagés de santé» (ASIP). Orange a été le premier fournisseur de télécommunications à obtenir l'accréditation, conformément à la «procédure d'agrément des hébergeurs de données de santé à caractère personnel». Il s'agit d'un processus long et très détaillé de vérification qui couvre un large éventail de sujets, parmi lesquels figurent l'accès aux données, l'évaluation des risques, l'autorisation et le contrôle des lieux d’hébergement des données. La certification et les données d'hébergement en France – Juin 2013 www.orange.com/politiqueeuropeenne [email protected] Le processus européen d'accréditation Pour créer un marché européen du stockage des données des patients, il sera nécessaire de mettre en place un régime harmonisé qui protège le patient et gagne sa confiance, tout en permettant aux entreprises établies dans l’Union européenne de proposer leurs services dans l’État membre de leur choix. L'article 39 de la proposition de règlement (qui remplace la directive 95/46/CE) introduit une telle possibilité et pourrait être le fondement par lequel l'industrie européenne pourra développer un processus de certification pragmatique. Il est assurément indispensable que l'UE lutte contre une approche nationale de l’hébergement de données, le tout, dans un environnement juridique fragmenté. Dans ces conditions, en effet, le marché serait incapable d’encourager l’émergence d’acteurs susceptibles de rivaliser avec les gestionnaires de données établis à l'étranger. Afin d'encourager les Etats membres à accepter les propositions formulées par les autorités européennes, tout nouveau système de certification devra comporter des garde-fous de la part des autorités publiques et dont l’effet est comparable à ceux existant dans les régimes les plus exigeants, comme le régime français. Un «guichet unique» A l’image de la récente proposition de règlement sur la protection des données personnelles, toute mesure qui aurait une large vocation et qui serait mise en place à l'échelle européenne devrait inclure un processus d'autorisation fondé sur le principe du «guichet unique». Dans le même temps, des efforts devraient être consentis pour éviter que le processus d'accréditation au niveau européen ne soit pas trop onéreux et ne fasse pas obstacle à l’entrée d’entreprises, petites mais innovantes sur le marché. Eléments du processus français particulièrement interessants De nombreux éléments composent la procédure actuelle et rencontrent tout notre soutien ceux-ci ayant, à nos yeux, toute leur place dans un processus d'accréditation à l'échelle européenne. En particulier, certains éléments du code français sont à mettre en évidence comme : La nécessité pour le personnel d’être nommément inclus dans le processus d'accréditation. La certification et les données d'hébergement en France – Juin 2013 www.orange.com/politiqueeuropeenne [email protected] Une description complète de la nature du service technique doit figurer dans tout contrat ainsi qu’une description des personnes autorisées à y avoir accès et des conditions à cet accès. Les contrats doivent contenir des indicateurs de performance ayant fait l’objet d’un accord (SLA Service Level Agreement). Les contrats doivent comporter toutes les mentions nécessaires à l’assurance d’un consentement éclairé à la prise en charge des données. Une description de la façon dont les données seront prise en charge dans un contexte d’évolution des technologies et des systèmes de stockage. Un système de signalement des violations de données personnelles . La nécessité d’enregistrer de manière permanente toute personne ayant accédé aux données du patient et le droit de ce dernier de voir ce journal. Conclusion D'autres aspects de la gestion des données à caractère personnel peuvent être envisagés en plus de ceux énumérés ci-dessus. En tout état de cause, l'objectif principal qu’un système pan-européen doit poursuivre est d'atteindre un niveau approprié de protection pour les données à caractère personnel tant aux niveaux public que privé, tout en ayant recours le moins possible à l’intervention de l’autorité règlementaire. Il est évident que l'augmentation des obligations relatives à la protection des données à caractère personnel s’accompagne d’une augmentation des coûts et du fardeau administratif. Étant donné que les personnes atteintes de maladies de moindre gravité peuvent ne pas percevoir les données de santé comme étant aussi sensibles que d’autres catégories de données telles que l’affiliation politique ou les documents d’ordre financier, par exemple, il semble judicieux d'envisager un système où les patients soient à même de décider du niveau de sécurité – mais aussi des coûts – correspondant à leurs besoins. La certification et les données d'hébergement en France – Juin 2013 www.orange.com/politiqueeuropeenne [email protected]