La certification et les données d`hébergement en
La certification et les données d'hébergement en France – Juin 2013
www.orange.com/politiqueeuropeenne[email protected]
Les positions d'Orange
La certification et les données d'hébergement en France
Leçons et précédents
Le régime de l’hébergement des données de santé en France apparaît
comme l’une des premières tentatives des États membres de l’Union
européenne pour réglementer et assurer un traitement efficace et sécurisé
des données de santé. La législation tient pour acquis que les données de
santé possède un haut degré de sensibilité pour beaucoup, voire la plupart
des personnes concernées.
Contexte
Le système français actuel a été défini par le Décret 2006-6. L’application de
la loi et le processus formel d'accréditation sont supervisées par le «comité
d'agrément des hébergeurs», faisant partie de l’«Agence des Systèmes
d'Information Partagés de santé» (ASIP).
Orange a été le premier fournisseur de télécommunications à obtenir
l'accréditation, conformément à la «procédure d'agrément des hébergeurs de
données de santé à caractère personnel». Il s'agit d'un processus long et très
détaillé de vérification qui couvre un large éventail de sujets, parmi lesquels
figurent l'accès aux données, l'évaluation des risques, l'autorisation et le
contrôle des lieux d’hébergement des données.
La certification et les données d'hébergement en France – Juin 2013
www.orange.com/politiqueeuropeenne[email protected]
Le processus européen d'accréditation
Pour créer un marché européen du stockage des données des patients, il
sera nécessaire de mettre en place un régime harmonisé qui protège le
patient et gagne sa confiance, tout en permettant aux entreprises établies
dans l’Union européenne de proposer leurs services dans l’État membre de
leur choix.
L'article 39 de la proposition de règlement (qui remplace la directive
95/46/CE) introduit une telle possibilité et pourrait être le fondement par
lequel l'industrie européenne pourra développer un processus de certification
pragmatique. Il est assurément indispensable que l'UE lutte contre une
approche nationale de l’hébergement de données, le tout, dans un
environnement juridique fragmenté. Dans ces conditions, en effet, le marché
serait incapable d’encourager l’émergence d’acteurs susceptibles de rivaliser
avec les gestionnaires de données établis à l'étranger.
Afin d'encourager les Etats membres à accepter les propositions formulées
par les autorités européennes, tout nouveau système de certification devra
comporter des garde-fous de la part des autorités publiques et dont l’effet est
comparable à ceux existant dans les régimes les plus exigeants, comme le
régime français.
Un «guichet unique»
A l’image de la récente proposition de règlement sur la protection des
données personnelles, toute mesure qui aurait une large vocation et qui serait
mise en place à l'échelle européenne devrait inclure un processus
d'autorisation fondé sur le principe du «guichet unique». Dans le même
temps, des efforts devraient être consentis pour éviter que le processus
d'accréditation au niveau européen ne soit pas trop onéreux et ne fasse pas
obstacle à l’entrée d’entreprises, petites mais innovantes sur le marché.
Eléments du processus français particulièrement interessants
De nombreux éléments composent la procédure actuelle et rencontrent tout
notre soutien ceux-ci ayant, à nos yeux, toute leur place dans un processus
d'accréditation à l'échelle européenne. En particulier, certains éléments du
code français sont à mettre en évidence comme :
La nécessité pour le personnel d’être nommément inclus dans le
processus d'accréditation.
La certification et les données d'hébergement en France – Juin 2013
www.orange.com/politiqueeuropeenne[email protected]
Une description complète de la nature du service technique doit figurer
dans tout contrat ainsi qu’une description des personnes autorisées à y
avoir accès et des conditions à cet accès.
Les contrats doivent contenir des indicateurs de performance ayant fait
l’objet d’un accord (SLA Service Level Agreement).
Les contrats doivent comporter toutes les mentions nécessaires à
l’assurance d’un consentement éclairé à la prise en charge des
données.
Une description de la façon dont les données seront prise en charge
dans un contexte d’évolution des technologies et des systèmes de
stockage.
Un système de signalement des violations de données personnelles .
La nécessité d’enregistrer de manière permanente toute personne
ayant accédé aux données du patient et le droit de ce dernier de voir
ce journal.
Conclusion
D'autres aspects de la gestion des données à caractère personnel peuvent
être envisagés en plus de ceux énumérés ci-dessus. En tout état de cause,
l'objectif principal qu’un système pan-européen doit poursuivre est d'atteindre
un niveau approprié de protection pour les données à caractère personnel
tant aux niveaux public que privé, tout en ayant recours le moins possible à
l’intervention de l’autorité règlementaire.
Il est évident que l'augmentation des obligations relatives à la protection des
données à caractère personnel s’accompagne d’une augmentation des coûts
et du fardeau administratif. Étant donné que les personnes atteintes de
maladies de moindre gravité peuvent ne pas percevoir les données de santé
comme étant aussi sensibles que d’autres catégories de données telles que
l’affiliation politique ou les documents d’ordre financier, par exemple, il semble
judicieux d'envisager un système où les patients soient à même de décider du
niveau de sécurité – mais aussi des coûts – correspondant à leurs besoins.
1
/
3
100%
