Ci-dessous sont présentées les modifications introduites à la date donnée. L’ancien texte est en rouge, le texte introduit à cette date est en vert.
EXPÉRIMENTAL : le diff mot-à-mot permet de visualiser les modifications en découpant au niveau des mots plutôt que des lignes (peut ne pas fonctionner).
| ... | ... |
@@ -25111,11 +25111,11 @@ Ce refus ne fait pas obstacle, le cas échéant, à la délivrance d'un certific |
| 25111 | 25111 |
|
| 25112 | 25112 |
Pour l'application des dispositions mentionnées aux troisième à sixième alinéas de l'article L. 1111-7, les informations de santé qui ont été déposées auprès d'un hébergeur par un professionnel ou un établissement de santé ne peuvent être communiquées par cet hébergeur à la personne qu'elles concernent qu'avec l'accord du professionnel de santé ou de l'établissement qui en a le dépôt. |
| 25113 | 25113 |
|
| 25114 |
-####### Sous-section 2 : Hébergement des données de santé à caractère personnel |
|
| 25114 |
+####### Sous-section 2 : Hébergement des données de santé à caractère personnel sur support informatique |
|
| 25115 | 25115 |
|
| 25116 | 25116 |
######## Article R1111-9 |
| 25117 | 25117 |
|
| 25118 |
-Toute personne physique ou morale souhaitant assurer l'hébergement de données de santé à caractère personnel, mentionné à l'article L. 1111-8, et bénéficier d'un agrément à ce titre doit remplir les conditions suivantes : |
|
| 25118 |
+Toute personne physique ou morale souhaitant assurer l'hébergement de données de santé à caractère personnel sur support informatique, mentionné à l'article L. 1111-8, et bénéficier d'un agrément à ce titre doit remplir les conditions suivantes : |
|
| 25119 | 25119 |
|
| 25120 | 25120 |
1° Offrir toutes les garanties pour l'exercice de cette activité, notamment par le recours à des personnels qualifiés en matière de sécurité et d'archivage des données et par la mise en oeuvre de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données confiées, ainsi qu'un usage conforme à la loi ; |
| 25121 | 25121 |
|
| ... | ... |
@@ -25131,13 +25131,13 @@ Toute personne physique ou morale souhaitant assurer l'hébergement de données |
| 25131 | 25131 |
|
| 25132 | 25132 |
######## Article R*1111-10 |
| 25133 | 25133 |
|
| 25134 |
-L'agrément nécessaire à l'activité d'hébergement de données de santé à caractère personnel est délivré par le ministre chargé de la santé, qui se prononce après avis de la Commission nationale de l'informatique et des libertés et d'un comité d'agrément placé auprès de lui. |
|
| 25134 |
+L'agrément nécessaire à l'activité d'hébergement de données de santé à caractère personnel sur support informatique est délivré par le ministre chargé de la santé, qui se prononce après avis de la Commission nationale de l'informatique et des libertés et d'un comité d'agrément placé auprès de lui. |
|
| 25135 | 25135 |
|
| 25136 | 25136 |
A cet effet, la personne intéressée adresse au ministre chargé de la santé un dossier de demande d'agrément comprenant les éléments mentionnés à l'article R. 1111-12. Le ministre transmet le dossier à la Commission nationale de l'informatique et des libertés, qui apprécie les garanties présentées par le candidat à l'agrément en matière de protection des personnes à l'égard des traitements de données de santé à caractère personnel et de sécurité de ces données. La commission rend son avis dans un délai de deux mois à compter de la réception du dossier, délai pouvant être renouvelé une fois sur décision motivée de son président. |
| 25137 | 25137 |
|
| 25138 | 25138 |
Dès que la commission s'est prononcée ou à l'expiration du délai qui lui était imparti, elle transmet la demande d'agrément, accompagnée, le cas échéant, de son avis, au comité d'agrément mentionné au premier alinéa. Ce comité se prononce sur tous les aspects du dossier, en particulier sur les garanties d'ordre éthique, déontologique, technique, financier et économique qu'offre le candidat. Il émet son avis dans le mois qui suit la réception du dossier transmis par la Commission nationale de l'informatique et des libertés. Il peut toutefois demander un délai supplémentaire d'un mois. |
| 25139 | 25139 |
|
| 25140 |
-Le ministre chargé de la santé dispose, pour prendre sa décision, d'un délai de deux mois suivant l'avis du comité d'agrément. A l'issue de ce délai, son silence vaut décision de rejet. |
|
| 25140 |
+Le ministre chargé de la santé dispose, pour prendre sa décision, d'un délai de deux mois suivant l'avis du comité d'agrément.A l'issue de ce délai, son silence vaut décision de rejet. |
|
| 25141 | 25141 |
|
| 25142 | 25142 |
######## Article R1111-11 |
| 25143 | 25143 |
|
| ... | ... |
@@ -25285,22 +25285,56 @@ i) Les conditions de mise en œuvre du plan de secours informatique comportant n |
| 25285 | 25285 |
|
| 25286 | 25286 |
######## Article R1111-15 |
| 25287 | 25287 |
|
| 25288 |
-L'agrément est délivré aux hébergeurs de données de santé à caractère personnel pour une durée de trois ans. |
|
| 25288 |
+L'agrément est délivré aux hébergeurs de données de santé à caractère personnel sur support informatique pour une durée de trois ans. |
|
| 25289 | 25289 |
|
| 25290 | 25290 |
La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d'agrément. Elle comprend les documents mentionnés au 8° de l'article R. 1111-12 et un récapitulatif des modifications intervenues depuis la dernière demande d'agrément en ce qui concerne les autres documents mentionnés à cet article, ainsi qu'un audit externe réalisé aux frais de l'hébergeur, attestant de la mise en oeuvre de la politique de confidentialité et de sécurité mentionnée à l'article R. 1111-14. Elle est instruite selon la même procédure que celle applicable à la demande initiale. |
| 25291 | 25291 |
|
| 25292 | 25292 |
Les décisions d'agrément, ainsi que le renouvellement de cet agrément, sont publiées au Bulletin officiel du ministère de la santé. |
| 25293 | 25293 |
|
| 25294 |
-######## Article R1111-16 |
|
| 25294 |
+######## Article R1111-15-1 |
|
| 25295 | 25295 |
|
| 25296 | 25296 |
Le ministre chargé de la santé, lorsqu'il envisage de procéder au retrait d'un agrément en application du quatrième alinéa de l'article L. 1111-8, communique à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception, les motifs de ce projet de retrait et l'appelle à formuler ses observations, écrites ou, à sa demande, orales, dans un délai de deux mois. |
| 25297 | 25297 |
|
| 25298 |
-En cas de divulgation non autorisée de données de santé à caractère personnel ou de manquements graves de l'hébergeur à ses obligations mettant notamment en cause l'intégrité, la sécurité et la pérennité des données hébergées, le ministre chargé de la santé peut, à titre conservatoire, dans l'attente qu'il soit statué définitivement sur le projet de retrait d'agrément, prononcer la suspension de l'activité d'hébergement. |
|
| 25298 |
+En cas de divulgation non autorisée de données de santé à caractère personnel sur support informatique ou de manquements graves de l'hébergeur à ses obligations mettant notamment en cause l'intégrité, la sécurité et la pérennité des données hébergées, le ministre chargé de la santé peut, à titre conservatoire, dans l'attente qu'il soit statué définitivement sur le projet de retrait d'agrément, prononcer la suspension de l'activité d'hébergement. |
|
| 25299 | 25299 |
|
| 25300 | 25300 |
La décision de retrait est notifiée à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception. Elle met fin de plein droit à l'hébergement des données confiées à l'hébergeur et entraîne la restitution de ces données aux personnes ayant contracté avec l'hébergeur. |
| 25301 | 25301 |
|
| 25302 | 25302 |
Les décisions de suspension et de retrait font l'objet de la mesure de publicité prévue à l'article R. 1111-15. Elles sont transmises pour information au comité d'agrément mentionné à l'article R. 1111-10 ainsi qu'à la Commission nationale de l'informatique et des libertés. |
| 25303 | 25303 |
|
| 25304 |
+####### Sous-section 3 : Hébergement des données de santé à caractère personnel sur support papier |
|
| 25305 |
+ |
|
| 25306 |
+######## Article R1111-16 |
|
| 25307 |
+ |
|
| 25308 |
+S'il est mis en œuvre, l'hébergement des données de santé à caractère personnel sur support papier mentionné à l'article L. 1111-8 est confié à une personne physique ou morale bénéficiant d'un agrément accordé par le ministre chargé de la culture dans les conditions définies par les articles 20-5 à 20-8 et 20-10 à 20-13 du décret n° 79-1037 du 3 décembre 1979 relatif à la compétence des services d'archives publics et à la coopération entre les administrations pour la collecte, la conservation et la communication des archives publiques et sous réserve des dispositions de l'article R. 1111-16-1. |
|
| 25309 |
+ |
|
| 25310 |
+Le contrat de prestation d'hébergement cité au deuxième alinéa de l'article L. 1111-8 contient au moins les clauses suivantes : |
|
| 25311 |
+ |
|
| 25312 |
+1° La description des prestations réalisées : contenu des services, nature et volume des données, caractère d'archives publiques ou non des données hébergées, résultats attendus ; |
|
| 25313 |
+ |
|
| 25314 |
+2° La description des moyens mis en œuvre par le dépositaire pour la fourniture des services ; |
|
| 25315 |
+ |
|
| 25316 |
+3° La description des moyens mis en œuvre par le dépositaire pour mettre les données hébergées à disposition des professionnels ou établissement de santé ayant souscrit le contrat ; |
|
| 25317 |
+ |
|
| 25318 |
+4° Les modalités retenues pour que l'accès aux données de santé à caractère personnel et leur transmission éventuelle n'aient lieu qu'avec l'accord des personnes concernées et par les personnes désignées par elles ainsi que les dispositifs permettant d'assurer cet accès et cette éventuelle transmission ; |
|
| 25319 |
+ |
|
| 25320 |
+5° Les obligations à l'égard du déposant si le dépositaire procède à des modifications ou des évolutions des conditions d'hébergement ; |
|
| 25321 |
+ |
|
| 25322 |
+6° Une information sur les garanties permettant de couvrir toute défaillance du dépositaire ; |
|
| 25323 |
+ |
|
| 25324 |
+7° Les dispositifs de restitution des archives déposées à la fin du contrat de dépôt dans les conditions définies au quatrième alinéa du R. 1112-7, assortis d'un engagement de destruction intégrale des copies que le dépositaire aurait pu effectuer pendant la durée du dépôt ; |
|
| 25325 |
+ |
|
| 25326 |
+8° Une information sur les conditions de recours à des prestataires externes ainsi que les engagements du dépositaire pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l'activité de conservation ; |
|
| 25327 |
+ |
|
| 25328 |
+9° Les moyens mis en œuvre pour assurer le respect des dispositions de l'article L. 1111-7 relatif à l'accès des personnes à leurs informations de santé, notamment en termes de délais et de modalités de consultation ; |
|
| 25329 |
+ |
|
| 25330 |
+10° La mention des polices d'assurance que le dépositaire souscrit pour couvrir les dommages et pertes que pourraient subir les données déposées, faisant apparaître que celles-ci excluent expressément les archives déposées du champ d'application de la clause de délaissement. |
|
| 25331 |
+ |
|
| 25332 |
+Est réputée non écrite toute clause tendant à appliquer le droit de rétention aux données de santé à caractère personnel sur support papier. |
|
| 25333 |
+ |
|
| 25334 |
+######## Article R1111-16-1 |
|
| 25335 |
+ |
|
| 25336 |
+Les articles 20-1 à 20-3 du décret n° 79-1037 du 3 décembre 1979 relatif à la compétence des services d'archives publics et à la coopération entre les administrations pour la collecte, la conservation et la communication des archives publiques sont applicables au dépôt de données de santé à caractère personnel sur support papier revêtant le statut d'archives publiques. |
|
| 25337 |
+ |
|
| 25304 | 25338 |
###### Section 2 : Expression de la volonté relative à la fin de vie |
| 25305 | 25339 |
|
| 25306 | 25340 |
####### Article R1111-17 |