https://global.agfahealthcare.com/france/systemes-informations/srd_restauration/
http://4axes.fr/?xtor=SEC-200

Politique

DMP: la Cnil vigilante sur la sécurisation du dispositif et les modalités de recueil du consentement

1 157

PARIS, 15 juillet 2016 (TICsanté) - La Commission nationale de l'informatique et des libertés (Cnil) sera vigilante sur la sécurisation du dossier médical partagé (DMP) et sur les modalités effectives de recueil du consentement des personnes pour l'ouverture de leur dossier, prévient-elle dans l'avis rendu sur le projet de décret relatif à ce dispositif et dont TICsanté a eu copie.

Cet avis, daté du 12 mai, porte sur le projet de décret soumis à concertation courant avril pour la mise en oeuvre du dossier médical informatisé prévu à l'article 96 de la loi du 26 janvier 2016 de "modernisation de notre système de santé" (voir dépêche du 13 avril 2015), remplaçant l'ancien dossier médical "personnel" institué par la loi du 13 août 2004 réformant l'assurance maladie.

Le décret a été publié au Journal officiel le 5 juillet (voir dépêche du 6 juillet 2016).

Dans son avis de 10 pages, la Cnil effectue une série de recommandations pour la mise en oeuvre du DMP, dont certaines ont été suivies par le gouvernement dans le texte définitif, mais relève que certains points restent en suspens.

La Cnil note ainsi que si le décret fixe les grands principes applicables à la mise en oeuvre du DMP, ses modalités précises seront présentées "dans le cadre d'un dossier de formalités préalables" qui devra lui être présenté par la Caisse nationale d'assurance maladie des travailleurs salariés (Cnamts) chargé de son déploiement à la place de l'Agence des systèmes d'information partagés de santé (Asip santé).

Par ailleurs, la Cnil attend de la Cnamts une demande d'autorisation spécifique pour la mise en oeuvre du traitement de données personnelles nécessaire pour le DMP et qui "détaillera les éléments de sécurité non joints au projet de décret".

A cet égard, la Cnil souligne qu'elle n'est "pas en mesure de se prononcer" sur le respect du projet de texte à l'égard de l'article 34 de la loi de 1978 informatique et libertés, qui concerne la sécurisation et les garanties d'intégrité des traitements de données.

Elle relève également que le texte prévoit le respect par la Cnamts de ces obligations, doublées d'une conformité du traitement aux conditions de sécurité imposées aux hébergeurs des données de santé, ainsi qu'aux référentiels d'interopérabilité et de sécurité.

DES RÉFÉRENTIELS DE SÉCURITÉ EN ATTENTE DE PUBLICATION

Or ces référentiels, "issus des travaux de la politique générale de sécurité des systèmes d'information de santé (PGSSI-S) en cours d'élaboration" (voir dépêche du 19 octobre 2015), doivent être approuvés par arrêté ministériel et soumis pour avis à la Cnil, ce qui n'était pas encore le cas début mai.

La Cnil déplore que le projet de texte "renvoie à plusieurs reprises à des modalités techniques et organisationnelles définies par la Cnamts, notamment s'agissant des règles et modalités de gestion des droits d'accès, au sujet desquelles [elle] n'est pas en mesure de se prononcer utilement" faute d'avoir un "dossier complet".

Elle demande que le dossier de formalités préalables comporte "une étude des risques du traitement et notamment de ses impacts sur la vie privée, ainsi que l'architecture technique retenue et les mesures de sécurité mises en oeuvre ou prévues".

Le dossier devra par ailleurs préciser les catégories de données et les modalités d'alimentation du DMP par les professionnels de santé, le dossier pharmaceutique (DP), l'historique du remboursement et son titulaire, note la Cnil, qui constate l'absence de précisions sur l'articulation du dispositif entre le site de la Cnamts et le site www.dmp.gouv.fr.

Les saisines attendues par la Cnil doivent en tout état de cause intervenir rapidement, puisque la Cnamts a programmé un dispositif opérationnel en septembre dans neuf territoires, et un déploiement national courant 2017, rappelle-t-on (voir dépêche du 12 avril 2016).

Dans son avis, la Cnil rappelle le "principe selon lequel les données contenues dans le DMP devront être adéquates, pertinentes et non excessives" au regard de la finalité du dispositif.

Elle note que le DMP, qui pourra accueillir les directives anticipées du patient, "n'est pas le registre" prévu par la loi du 2 février 2016 sur la fin de vie qui nécessitera donc son propre traitement.

La Cnil souligne le nombre important d'acteurs susceptibles de pouvoir ouvrir un DMP, dont les agents des caisses d'assurance maladie, les agents d'accueil des établissements de santé, des services sociaux et médico-sociaux, que le gouvernement justifie par la volonté de "permettre un large déploiement du DMP et éviter l'écueil du faible nombre d'ouvertures du dispositif précédent".

GARANTIR LA RÉALITÉ DU CONSENTEMENT

"Tout en comprenant ces raisons, la commission souligne que ces facilités d'ouverture doivent s'accompagner de mesures garantissant la réalité du consentement", et appelle la Cnamts et le ministère de la santé à "être vigilants sur l'information du personnel habilité à créer un DMP, notamment sur les modalités de recueil du consentement des personnes".

La Cnil souligne que, "compte tenu de l'enjeu du DMP en termes de protection des données [...] du fait notamment de l'envergure nationale du dispositif et des nouvelles facilités d'ouverture prévues [...], la Cnil estime qu'il est primordial de s'assurer que le recueil du consentement du DMP à sa création soit réel et que le titulaire puisse clairement apprécier les conséquences de l'accord qu'il donne".

Elle "s'interroge" sur les dispositions qui interdisent au bénéficiaire de s'opposer au traitement de ses données après avoir donné son accord pour l'ouverture d'un DMP, sauf à réclamer la clôture de son dossier.

Dans la version définitive, le texte a été revu et précise que le titulaire ne peut s'opposer à l'alimentation de son dossier en informations "utiles à la prévention, la continuité et la coordination des soins" qu'en justifiant d'un "motif légitime", dont l'appréciation sera laissée au juge.

Le gouvernement a toutefois tenu compte des remarques de la Cnil pour inscrire dans le décret l'obligation d'informer clairement le titulaire sur les prérogatives du médecin traitant, seul à avoir un accès exhaustif au dossier, et prévoir pour le titulaire une possibilité de réclamer l'effacement de certaines données auprès du producteur pour un "motif légitime".

Le gouvernement a également prévu, à la demande de la Cnil, que des mesures conservatoires et de suspension du DMP puissent être prises par la Cnamts en cas de situation ou d'événement "révélant un dysfonctionnement grave ou une utilisation frauduleuse", avant son éventuelle destruction. La Cnil recommandait de telles mesures conservatoires en cas de "création abusive" de DMP.

Le gouvernement a entendu la Cnil sur les dispositions permettant à un mineur de clôturer son DMP lorsqu'il atteint la majorité, et prévu que l'accès au DMP pour les mineurs se fait dans le respect des dispositions leur permettant de demander que certaines informations ne soient pas portées à la connaissance de leurs représentants légaux.

Jusqu'à présent, le dispositif issu de la loi d'août 2004 et lancé début 2011 ne s'appuyait que sur une autorisation temporaire de la Cnil accordée fin 2010.

Délibération Cnil DMP

vg/ab/

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

En bref

L'Elysée projette de nommer Marie-Laure Denis à la tête de la Cnil

Le président de la République envisage de nommer Marie-Laure Denis, conseillère d'Etat et ex-membre de l'Autorité de régulation des communications électroniques et des postes (Arcep), à la présidence de la Commission nationale de l'informatique et des libertés (Cnil), a annoncé l'Elysée le 18 janvier dans un communiqué.

0 235

Politique

Bioéthique: la mission parlementaire préconise de légiférer sur la "garantie humaine" du numérique en santé

PARIS (TICsanté) - Dans un rapport publié le 15 janvier, la mission d'information parlementaires sur la révision de la loi de bioéthique consacre un chapitre entier à l’intelligence artificielle (IA) et préconise l’introduction dans la loi de la "garantie humaine" du numérique en santé et "l’explicabilité des algorithmes".

0 323

Vos réactions

Afficher/Masquer les commentaires (1)

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
9 + 5 =
http://www.canyon.fr/
https://www.groupepsih.com/decouvrez-hospivision/?utm_source=ticsante&utm_medium=banner&utm_campaign=Hospivison%20juin%2019
http://www.corwin.eu/actualite/fehap2019.html?utm_source=ticsante&utm_medium=banniere&utm_campaign=fehap2019

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • 2ème SOPHI.A Summit

    Du 20/11/2019 au 22/11/2019

  • 3ème édition des Entretiens de Galien

    Du 27/11/2019 au 28/11/2019

  • Grand Prix mondial de la télémédecine

    Le 05/12/2019

  • Révolution Pharmatech

    Le 09/12/2019

  • Consumer Electronics Show (CES) 2020

    Du 07/01/2020 au 10/01/2020

  • Hacking Health Camp 2020

    Du 20/03/2020 au 22/03/2020

  • 8e congrès de l'Apssis

    Du 31/03/2020 au 02/04/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 26/05/2020 au 28/05/2020