En pratique, un agrément est requis non seulement pour les prestataires qui offrent des outils de télémédecine mais également pour ceux qui proposent des solutions d’archivage et de sauvegarde de données.
Les conditions de délivrance de l’agrément sont définies par le décret n°2006-6 du 4 janvier 2006 qui fixe la procédure et le contenu du dossier d’agrément. Le dossier d’agrément a pour but de garantir que le prestataire est en mesure d’assurer la sécurité et la confidentialité des données de santé qui lui sont confiées. Un référentiel a été préparé par l’Agence des systèmes d’information partagés de santé (ASIP Santé) à cet effet.
À noter, l’obligation de recourir à un prestataire agréé n’exonère à aucun moment les établissements et professionnels de santé de respecter les dispositions de la loi Informatique et libertés auxquelles ils sont soumis en tant que responsables de traitements et notamment le dépôt de formalités préalables à la mise en œuvre du traitement auprès de la CNIL.
De plus, et conformément aux dispositions de la loi Informatique et libertés, le recours à un prestataire informatique n’est pas de nature à exonérer le responsable de traitement (en l’espèce le professionnel de santé) en cas de faille de sécurité.
Obtenir un agrément en tant qu’hébergeur : une obligation légale et une nécessité commerciale
Cette obligation légale a longtemps été méconnue, tant par les prestataires que par les professionnels de santé, en raison notamment de sa spécificité strictement française et de la suspension temporaire de la procédure entre 2007 et 2009.
À l’heure actuelle, l’obtention d’un agrément par les prestataires est devenue une nécessité à plusieurs titres.
Les hébergeurs dans la ligne de mire de la CNIL
Depuis quelques années, les acteurs du monde de la santé (cliniques, centres hospitaliers, centres municipaux de santé, laboratoires pharmaceutiques) font l’objet de nombreux contrôles de la part de la CNIL.
Lors de l’exposé des axes de contrôles pour 2011, la Commission a annoncé que les contrôles porteraient en priorité sur 3 axes : les systèmes de vidéoprotection, les transferts de données, ainsi que sur le secteur de la santé. L’attention de la CNIL se focalise à ce titre sur les acteurs de la télémédecine et sur les hébergeurs de données de santé.
Les professionnels de santé sensibilisés à la nécessité de recourir à des prestataires agrées.
Les professionnels de santé sont de plus en plus conscients des obligations résultant de la loi Informatique et libertés et de l’obligation qui leur est faite de confier les données de santé de leurs patients à des prestataires agréés pour effectuer cette prestation.
Il est désormais difficile pour un prestataire de contracter avec un établissement ou un professionnel de santé sans agrément.
Le décret n° 2011-1229 dit « décret télémédecine » adopté le 19 octobre 2011 qui définit les actes de télémédecine et leurs conditions de mise en œuvre réaffirme l’obligation faite aux professionnels de santé de faire appel uniquement à des hébergeurs de donnée de santé agréés dans le cadre de la mise en œuvre de solutions de télémédecine.
L’entrée en vigueur de ce décret aura lieu le 21 avril 2012. Il ne reste donc aux prestataires impliqués dans des projets de télémédecine que quelques mois pour se faire agréer.
La procédure d’obtention d’un agrément requérant l’avis préalable de la CNIL puis celui du comité d’agrément des hébergeurs, il faut compter entre 5 et 8 mois pour la délivrance d’un agrément. Il convient donc de déposer au plus vite les demandes d’agrément nécessaires pour pouvoir espérer être agréé à temps.
Il est enfin important de noter qu’à ce jour cette obligation porte uniquement sur les données de santé hébergées pour le compte des professionnels de santé ou des patients eux-mêmes et ne s’impose pas aux autres entreprises ou organismes traitant des données de santé (comme les compagnies d’assurance par exemple).
