M. Jean-Paul Chanteguet attire l'attention de Mme la ministre des affaires sociales et de la santé sur la lourdeur de la procédure d'obtention de l'agrément pour un établissement hospitalier qui met son système d'hébergement de données de santé au service d'autres établissements de santé. En effet, les établissements de santé tiennent à jour un dossier hospitalier pour chaque patient pris en charge et le conserve pendant vingt ans à compter du dernier séjour du patient. Ces dossiers peuvent être conservés au sein de l'établissement de santé ou confiés à un hébergeur agréé. Si l'établissement héberge lui-même ses propres dossiers hospitaliers il n'a pas besoin d'obtenir un agrément. En revanche s'il met son système d'hébergement au service d'autres établissements, il est soumis à la procédure d'agrément. Il lui demande donc s'il ne serait pas souhaitable et envisageable de retenir dans ce cas une procédure simplifiée et allégée.

Aux termes de la loi du 4 mars 2002, relative aux droits des malades et à la qualité du système de santé, et de l'article L. 1111-8 du code de la santé publique, l'hébergement des données de santé à caractère personnel doit être soumis à un agrément dont les modalités particulières ont fait l'objet d'un décret en Conseil d'Etat n° 2006-6 du 4 janvier 2006, pris après avis de la commission nationale de l'informatique et des libertés (CNIL) et des ordres professionnels. Il s'agit d'organiser le dépôt et la conservation de ces données personnelles de santé particulièrement sensibles dans des conditions permettant de garantir à la fois leur confidentialité et leur pérennité, ainsi que leur mise à disposition des professionnels et des personnes autorisées selon des modalités définies par contrat. Le législateur a souhaité que cet hébergement ne puisse avoir lieu qu'avec le consentement exprès de la personne concernée. Le recours aux prestations d'un hébergeur agréé s'impose aux professionnels, établissements et structures de santé qui ne conservent pas eux-mêmes les données personnelles des patients qu'ils prennent en charge. Par ailleurs, le dispositif d'agrément n'est pas différent selon la nature juridique ou l'activité des prestataires et ne distingue donc pas les établissements de santé des sociétés commerciales. En conséquence, un établissement de santé qui assure une prestation d'hébergement pour d'autres établissements de santé ou d'autres structures de soins ou des professionnels a l'obligation d'obtenir un agrément. Il serait difficile de justifier d'appliquer aux seuls établissements de santé un régime d'agrément dérogatoire, allégé ou simplifié. En effet, il s'agirait d'une part, d'une rupture d'égalité de traitement du point de vue des sociétés commerciales et d'autre part, et surtout, cet aménagement conduirait à accepter un moindre niveau de protection des données personnelles au motif qu'elles sont externalisées auprès d'établissements de santé qui, faute de moyens, ne pourraient respecter les exigences de sécurité et de confidentialité du référentiel en vigueur. Une telle distinction serait légitimement critiquable notamment par les représentants des usagers. Il paraît préférable de considérer que les établissements de santé qui souhaitent assurer des prestations d'hébergement pour le compte d'autres établissements ou professionnels doivent disposer des compétences et des moyens nécessaires pour garantir un niveau élevé de protection des données qui leur seront confiées, comparable à celui qui est demandé aux prestataires industriels. En revanche, il peut être tout à fait admis que la procédure d'agrément des hébergeurs conçue avant 2006 n'est plus adaptée et mériterait d'être réformée. Une réflexion a ainsi été lancée par les services du ministère, en relation avec le président du comité d'agrément et l'ASIP Santé, sur l'évolution de la procédure d'agrément et des référentiels utilisés pour analyser les dossiers présentés. Une simplification de la procédure et une meilleure articulation avec la CNIL seront notamment recherchées. Cette démarche, qui devra être menée en liaison avec la CNIL et en concertation avec les industriels concernés, ainsi qu'avec les professionnels et établissements de santé, est intégrée dans la « politique générale de sécurité des systèmes d'information de santé » qui est actuellement élaborée sous le pilotage du secrétaire général des ministères chargés des affaires sociales (délégation à la stratégie des systèmes d'information de santé), avec l'appui de l'ASIP Santé. C'est dans ce cadre que seront formulées des propositions dans les prochains mois (fin 2013 ou début 2014).