Code de la santé publique

@@ -302,7 +302,7 @@ Les conditions d'application du présent article sont définies, le cas échéan

 ####### Article L1111-7

-Toute personne a accès à l'ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels et établissements de santé, qui sont formalisées ou ont fait l'objet d'échanges écrits entre professionnels de santé, notamment des résultats d'examen, comptes rendus de consultation, d'intervention, d'exploration ou d'hospitalisation, des protocoles et prescriptions thérapeutiques mis en œuvre, feuilles de surveillance, correspondances entre professionnels de santé, à l'exception des informations mentionnant qu'elles ont été recueillies auprès de tiers n'intervenant pas dans la prise en charge thérapeutique ou concernant un tel tiers.

+Toute personne a accès à l'ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels de santé, par des établissements de santé par des centres de santé, par le service de santé des armées ou par l'Institution nationale des invalides qui sont formalisées ou ont fait l'objet d'échanges écrits entre professionnels de santé, notamment des résultats d'examen, comptes rendus de consultation, d'intervention, d'exploration ou d'hospitalisation, des protocoles et prescriptions thérapeutiques mis en œuvre, feuilles de surveillance, correspondances entre professionnels de santé, à l'exception des informations mentionnant qu'elles ont été recueillies auprès de tiers n'intervenant pas dans la prise en charge thérapeutique ou concernant un tel tiers.

 Elle peut accéder à ces informations directement ou par l'intermédiaire d'un médecin qu'elle désigne et en obtenir communication, dans des conditions définies par voie réglementaire au plus tard dans les huit jours suivant sa demande et au plus tôt après qu'un délai de réflexion de quarante-huit heures aura été observé. Ce délai est porté à deux mois lorsque les informations médicales datent de plus de cinq ans ou lorsque la commission départementale des soins psychiatriques est saisie en application du quatrième alinéa. Lorsque la personne majeure fait l'objet d'une mesure de protection juridique, la personne en charge de l'exercice de la mesure, lorsqu'elle est habilitée à représenter ou à assister l'intéressé dans les conditions prévues à l'article 459 du code civil, a accès à ces informations dans les mêmes conditions.

@@ -318,25 +318,33 @@ La consultation sur place des informations est gratuite. Lorsque le demandeur so

 ####### Article L1111-8

-Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.

+I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article.

-Les traitements de données de santé à caractère personnel que nécessite l'hébergement prévu au premier alinéa, quel qu'en soit le support, papier ou informatique, doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La prestation d'hébergement, quel qu'en soit le support, fait l'objet d'un contrat.

+L'hébergement, quel qu'en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.

-Les conditions d'agrément des hébergeurs des données, quel qu'en soit le support, sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils de l'ordre des professions de santé. Ce décret mentionne les informations qui doivent être fournies à l'appui de la demande d'agrément, notamment les modèles de contrats prévus au deuxième alinéa et les dispositions prises pour garantir la sécurité des données traitées en application de l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée, en particulier les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne. Les dispositions de l'article L. 4113-6 s'appliquent aux contrats prévus à l'alinéa précédent.

+La prestation d'hébergement de données de santé à caractère personnel fait l'objet d'un contrat.

-L'agrément peut être retiré, dans les conditions prévues aux articles L. 121-1, L. 121-2 et L. 122-1 du code des relations entre le public et l'administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.

+II.-L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. S'il conserve des données dans le cadre d'un service d'archivage électronique, il est soumis aux dispositions du III.

-Seuls peuvent accéder aux données ayant fait l'objet d'un hébergement les personnes physiques ou morales à l'origine de la production de soins ou de leur recueil et qui sont désignées par les personnes concernées. L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat, dans le respect des articles L. 1110-4 et L. 1111-7.

+Ce certificat est délivré par des organismes de certification accrédités par l'instance française d'accréditation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne mentionnée à l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie.

-Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que celles qui les leur ont confiées.

+Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.

-Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie.

+III.-L'hébergeur de données mentionnées au premier alinéa du I est agréé par le ministre chargé de la culture pour la conservation de ces données sur support papier ou sur support numérique dans le cadre d'un service d'archivage électronique.

-Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.

+Les conditions d'agrément sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.

-Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'Inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.

+L'agrément peut être retiré, dans les conditions prévues par les articles L. 121-1, L. 121-2 et L. 122-1 du code des relations entre le public et l'administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.

-Tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal.

+IV.-La nature des prestations d'hébergement mentionnées aux II et III, les rôles et responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées, ainsi que les stipulations devant figurer dans le contrat mentionné au I sont précisés par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.

+

+V.-L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat dans le respect des articles L. 1110-4 et L. 1111-7.

+

+Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d'autres fins que l'exécution de la prestation d'hébergement. Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.

+

+VI.-Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7, à l'exception des hébergeurs certifiés dans les conditions définies au II. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.

+

+VII.-Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal.

 ####### Article L1111-8-1

@@ -728,7 +736,7 @@ Un décret en Conseil d'Etat détermine les modalités de mise en œuvre des mis

 ###### Article L1115-1

-La prestation d'hébergement de données de santé à caractère personnel recueillies auprès de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou directement auprès des personnes qu'elles concernent sans être titulaire de l'agrément prévu par l'article L. 1111-8 ou de traitement de ces données sans respecter les conditions de l'agrément obtenu est puni de trois ans d'emprisonnement et de 45 000 euros d'amende.

+La prestation d'hébergement de données de santé à caractère personnel recueillies auprès de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou directement auprès des personnes qu'elles concernent sans être titulaire de l'agrément ou du certificat de conformité prévu par l'article L. 1111-8 ou de traitement de ces données sans respecter les conditions de l'agrément obtenu est puni de trois ans d'emprisonnement et de 45 000 euros d'amende.

 ###### Article L1115-2

@@ -8181,21 +8189,19 @@ Les membres de l'inspection générale des affaires sociales titulaires d'un dip

 Les dispositions du chapitre Ier du titre Ier du livre Ier de la présente partie sont applicables aux Terres australes et antarctiques françaises sous réserve des adaptations suivantes :

-1° Au sixième alinéa de l'article L. 1111-2, les mots : "sont établies par la Haute Autorité de santé et" ne sont pas applicables ;

+1° Au sixième alinéa de l'article L. 1111-2, les mots : " sont établies par la Haute Autorité de santé et " ne sont pas applicables ;

 2° Le dernier alinéa de l'article L. 1111-5 n'est pas applicable ;

-3° Au deuxième alinéa de l'article L. 1111-7, les mots : "ou lorsque la commission départementale des soins psychiatriques est saisie en application du quatrième alinéa" ainsi que le quatrième alinéa de ce même article ne sont pas applicables ;

+3° Au deuxième alinéa de l'article L. 1111-7, les mots : " ou lorsque la commission départementale des soins psychiatriques est saisie en application du quatrième alinéa " ainsi que le quatrième alinéa de ce même article ne sont pas applicables ;

-4° La dernière phrase du troisième alinéa de l'article L. 1111-8 n'est pas applicable ;

+4° L'article L. 1111-8 est applicable dans sa rédaction de l'ordonnance n° 2017-27 du 12 janvier 2017, à l'exception de la dernière phrase du 3e alinéa du I, et les références L. 1421-3 et L. 1435-7 mentionnées au VI sont supprimées ;

-5° Le quatrième alinéa de l'article L. 1111-8 est ainsi rédigé :

-

-"L'agrément peut être retiré en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément après que la personne intéressée a été mise à même de présenter des observations écrites et, le cas échéant, sur sa demande, des observations orales. Cette personne peut se faire assister par un conseil ou représenter par un mandataire de son choix. L'autorité administrative n'est pas tenue de satisfaire les demandes d'audition abusives, notamment par leur nombre, leur caractère répétitif ou systématique. Cette procédure n'est pas applicable en cas d'urgence ou de circonstances exceptionnelles ou lorsque sa mise en oeuvre serait de nature à compromettre l'ordre public ou la conduite des relations internationales." ;

+5° (Supprimé) ;

 6° A la dernière phrase de l'article L. 1111-9 les mots :

-"établies par la Haute Autorité de santé et" ne sont pas applicables.

+" établies par la Haute Autorité de santé et " ne sont pas applicables.

 ##### Chapitre II : Don et utilisation des éléments et produits du corps humain.

@@ -29574,33 +29580,121 @@ Les conditions d'autorisation des installations mentionnées à l'article L. 632

 ###### Article L6323-1

-Les centres de santé sont des structures sanitaires de proximité dispensant principalement des soins de premier recours. Ils assurent des activités de soins sans hébergement, au centre ou au domicile du patient, aux tarifs mentionnés au 1° du I de l'article L. 162-14-1 du code de la sécurité sociale, et mènent des actions de santé publique, de prévention, d'éducation pour la santé et des actions sociales et pratiquent la délégation du paiement du tiers mentionnée à l'article L. 322-1 du même code. Ils peuvent mener des actions d'éducation thérapeutique des patients. Ils peuvent pratiquer des interruptions volontaires de grossesse dans les conditions prévues aux articles L. 2212-1 à L. 2212-10 du présent code, selon des modalités définies par un cahier des charges établi par la Haute Autorité de santé, dans le cadre d'une convention conclue au titre de l'article L. 2212-2.

+Les centres de santé sont des structures sanitaires de proximité, dispensant des soins de premier recours et, le cas échéant, de second recours et pratiquant à la fois des activités de prévention, de diagnostic et de soins, au sein du centre, sans hébergement, ou au domicile du patient. Ils assurent, le cas échéant, une prise en charge pluriprofessionnelle, associant des professionnels médicaux et des auxiliaires médicaux.

+

+Par dérogation à l'alinéa précédent, un centre de santé peut pratiquer à titre exclusif des activités de diagnostic.

+

+Tout centre de santé, y compris chacune de ses antennes, réalise, à titre principal, des prestations remboursables par l'assurance maladie.

+

+Les centres de santé sont ouverts à toutes les personnes sollicitant une prise en charge médicale ou paramédicale relevant de la compétence des professionnels y exerçant.

+

+###### Article L6323-1-1

+

+Outre les activités mentionnées à l'article L. 6323-1, les centres de santé peuvent :

+

+1° Mener des actions de santé publique, d'éducation thérapeutique du patient ainsi que des actions sociales, notamment en vue de favoriser l'accès aux droits et aux soins des personnes les plus vulnérables ou à celles qui ne bénéficient pas de droits ouverts en matière de protection sociale ;

+

+2° Contribuer à la permanence des soins ambulatoires ;

+

+3° Constituer des lieux de stages, le cas échéant universitaires, pour la formation des professions médicales et paramédicales ;

+

+4° Pratiquer des interruptions volontaires de grossesse dans les conditions prévues aux articles L. 2212-1 à L. 2212-10, selon des modalités définies par un cahier des charges établi par la Haute Autorité de santé, dans le cadre d'une convention conclue au titre de l'article L. 2212-2 ;

+

+5° Soumettre et appliquer des protocoles définis à l'article L. 4011-2 dans les conditions définies à l'article L. 4011-3 :

+

+6° Contribuer, en application des dispositions de l'article L. 6147-10, à la mission de soutien sanitaire des forces armées.

+

+###### Article L6323-1-2

 Un centre de santé pluriprofessionnel universitaire est un centre de santé, ayant signé une convention tripartite avec l'agence régionale de santé dont il dépend et un établissement public à caractère scientifique, culturel et professionnel comportant une unité de formation et de recherche de médecine, ayant pour objet le développement de la formation et de la recherche en soins primaires. Les modalités de fonctionnement, d'organisation et d'évaluation de ces centres de santé pluriprofessionnels universitaires sont fixées par arrêté conjoint des ministres chargés de la santé et de l'enseignement supérieur.

-Les centres de santé constituent des lieux de stages pour la formation des différentes professions de santé.

+###### Article L6323-1-3

+

+Les centres de santé sont créés et gérés soit par des organismes à but non lucratif, soit par des collectivités territoriales, soit par des établissements publics de coopération intercommunale, soit par des établissements publics de santé, soit par des personnes morales gestionnaires d'établissements privés de santé, à but non lucratif ou à but lucratif.

+

+Un centre de santé peut également être créé et géré par une société coopérative d'intérêt collectif régie par le titre II ter de la loi n° 47-1775 du 10 septembre 1947 portant statut de la coopération. Dans une telle hypothèse, par dérogation à l'article 19 septies de cette loi, les seules personnes morales pouvant être associées de la société coopérative d'intérêt collectif sont les personnes mentionnées au premier alinéa du présent article.

+

+###### Article L6323-1-4

+

+Les bénéfices issus de l'exploitation d'un centre de santé ne peuvent pas être distribués.

+

+Ils sont mis en réserve ou réinvestis au profit du centre de santé concerné ou d'un ou plusieurs autres centres de santé ou d'une autre structure à but non lucratif, gérés par le même organisme gestionnaire.

+

+Les comptes du gestionnaire permettent d'établir le respect de cette obligation pour chacun des centres de santé qu'il gère.

+

+###### Article L6323-1-5

+

+Les professionnels qui exercent au sein des centres de santé sont salariés.

+

+Les centres de santé peuvent bénéficier de la participation de bénévoles à leurs activités.

+

+###### Article L6323-1-6

+

+Les centres de santé peuvent être membres de communautés professionnelles territoriales de santé au sens de l'article L. 1434-12 et opérateurs ou composants de plateformes territoriales d'appui au sens de l'article L. 6327-2.

-Ils peuvent soumettre à l'agence régionale de santé et appliquer les protocoles définis à l'article L. 4011-2 dans les conditions prévues à l'article L. 4011-3.

+###### Article L6323-1-7

-Ils sont créés et gérés soit par des organismes à but non lucratif, soit par des collectivités territoriales ou des établissements publics de coopération intercommunale, soit par des établissements de santé.

+Les centres de santé pratiquent le mécanisme du tiers payant mentionné à l'article L. 160-10 du code de la sécurité sociale et ne facturent pas de dépassements des tarifs fixés par l'autorité administrative ou des tarifs mentionnés au 1° du I de l'article L. 162-14-1 du code de la sécurité sociale.

+

+###### Article L6323-1-8

+

+En cas d'orientation du patient vers une autre structure soin ou un professionnel de santé exerçant à l'extérieur du centre de santé, une information lui est fournie sur la pratique ou non, par l'offreur de soins proposé, du mécanisme du tiers payant et de dépassements des tarifs fixés par l'autorité administrative ou des tarifs mentionnés au 1° du I de l'article L. 162-14-1 du code de la sécurité sociale. La délivrance de cette information est mentionnée dans le dossier médical du patient.

+

+###### Article L6323-1-9

 L'identification du lieu de soins à l'extérieur des centres de santé et l'information du public sur les activités et les actions de santé publique ou sociales mises en œuvre, sur les modalités et les conditions d'accès aux soins ainsi que sur le statut du gestionnaire sont assurées par les centres de santé.

-Les centres de santé élaborent un projet de santé incluant des dispositions tendant à favoriser l'accessibilité sociale, la coordination des soins et le développement d'actions de santé publique.

+Toute forme de publicité en faveur des centres de santé est interdite.

+

+###### Article L6323-1-10

+

+Les centres de santé élaborent un projet de santé, portant, en particulier, sur l'accessibilité et la continuité des soins ainsi que sur la coordination des professionnels de santé au sein du centre et avec des acteurs de soins extérieurs.

+

+Le règlement de fonctionnement du centre de santé est annexé au projet de santé.

+

+Le projet de santé du centre de santé géré par un établissement de santé est distinct du projet d'établissement.

+

+Un arrêté du ministre chargé de la santé précise le contenu du projet de santé et les conditions dans lesquelles les professionnels de santé du centre sont associés à son élaboration ainsi que le contenu du règlement de fonctionnement.

+

+###### Article L6323-1-11

+

+Préalablement à l'ouverture du centre de santé et, le cas échéant d'une ou plusieurs antennes, le représentant légal de l'organisme gestionnaire de ce centre remet au directeur de l'agence régionale de santé le projet de santé mentionné à l'article L. 6323-1-10 ainsi qu'un engagement de conformité du centre de santé dont le contenu est précisé par un arrêté du ministre chargé de la santé.

+

+Le récépissé de cet engagement, établi par le directeur général de l'agence régionale de santé est remis ou transmis au représentant légal de l'organisme gestionnaire. Il vaut autorisation de dispenser des soins aux assurés sociaux dans le centre ou l'antenne concerné.

+

+Les conditions d'application du présent article sont fixées par décret.

+

+###### Article L6323-1-12

-Le projet médical du centre de santé géré par un établissement de santé est distinct du projet d'établissement.

+I.-Lorsqu'il est constaté un manquement compromettant la qualité ou la sécurité des soins, un manquement du représentant légal de l'organisme gestionnaire à l'obligation de transmission de l'engagement de conformité ou au respect des dispositions législatives et réglementaires relatives aux centres de santé ou en cas d'abus ou de fraude commise à l'égard des organismes de sécurité sociale ou des assurés sociaux, le directeur général de l'agence régionale de santé le notifie à l'organisme gestionnaire du centre de santé et lui demande de faire connaître, dans un délai qui ne peut être inférieur à huit jours, ses observations en réponse ainsi que les mesures correctrices adoptées ou envisagées.

-Les médecins qui exercent en centre de santé sont salariés.

+En l'absence de réponse dans ce délai ou si cette réponse est insuffisante, il adresse au gestionnaire du centre de santé une injonction de prendre toutes dispositions nécessaires et de faire cesser définitivement les manquements dans un délai déterminé. Il en constate l'exécution.

-Les centres de santé sont soumis pour leur activité à des conditions techniques de fonctionnement prévues par décret, après consultation des représentants des gestionnaires de centres de santé.

+II.-En cas d'urgence tenant à la sécurité des patients ou lorsqu'il n'a pas été satisfait, dans le délai fixé, à l'injonction prévue au I, le directeur général de l'agence régionale de santé peut prononcer la suspension immédiate, totale ou partielle, de l'activité du centre et, lorsqu'elles existent, de ses antennes.

-Ce décret prévoit également les conditions dans lesquelles, en cas de manquement compromettant la qualité et la sécurité des soins dans un centre de santé, le directeur général de l'agence régionale de santé doit :

+La décision est notifiée au représentant légal de l'organisme gestionnaire du centre de santé, accompagnée des constatations faites et assortie d'une mise en demeure de remédier aux manquements dans un délai déterminé.

-- enjoindre au gestionnaire du centre d'y mettre fin dans un délai déterminé ;

-- en cas d'urgence tenant à la sécurité des patients ou de non-respect de l'injonction, prononcer la suspension immédiate, totale ou partielle, de l'activité du centre, assortie d'une mise en demeure de prendre les mesures nécessaires ;

-- maintenir cette suspension jusqu'à ce que ces mesures aient pris effet.

+S'il est constaté, au terme de ce délai, qu'il a été satisfait à la mise en demeure, le directeur général de l'agence régionale de santé, éventuellement après réalisation d'une visite de conformité, met fin à la suspension.

-Seuls les services satisfaisant aux obligations mentionnées au présent article peuvent utiliser l'appellation de centre de santé.

+Dans le cas contraire, le directeur général de l'agence régionale de santé se prononce, soit sur le maintien de la suspension jusqu'à l'achèvement de la mise en œuvre des mesures prévues, soit sur la fermeture du centre de santé et, si elles existent, de ses antennes.

+

+###### Article L6323-1-13

+

+Chaque organisme gestionnaire de centres de santé transmet annuellement au directeur général de l'agence régionale de santé les informations relatives aux activités et aux caractéristiques de fonctionnement et de gestion des centres de santé et de leurs antennes dont il est le représentant légal. Les informations dont la transmission est exigée sont précisées par arrêté du ministre chargé de la santé.

+

+###### Article L6323-1-14

+

+Le service de santé des armées est habilité à recevoir des professionnels de santé des centres de santé pour suivre des enseignements, effectuer des stages ou participer à des activités de soins, de formation, de recherche, d'éducation pour la santé et à des actions de santé publique.

+

+Les centres de santé peuvent recevoir, pour participer aux activités mentionnées aux articles L. 6323-1 et L. 6323-1-1, des personnels du service de santé des armées, dans les conditions prévues par leur statut.

+

+Dans tous les cas, une convention est établie entre le ministre de la défense ou son représentant et l'organisme gestionnaire du centre de santé.

+

+Lorsqu'un centre de santé contribue à la mission définie au 6° de l'article L. 6323-1-1, le ministre de la défense est informé sans délai, d'une part, de tout manquement compromettant la qualité et la sécurité des soins et, d'autre part, de toute suspension de l'activité du centre pouvant entrainer des conséquences pour cette mission.

+

+###### Article L6323-1-15

+

+Les modalités d'application du présent chapitre sont définies par décret.

 ##### Chapitre III bis : Maisons de santé.

@@ -30353,193 +30447,83 @@ Lorsque cette carte n'est pas accessible ou ne comporte pas l'information, ils y

 Un référentiel établi conformément aux règles fixées à l'article L. 1110-4-1 définit les modalités de mise en œuvre de l'obligation d'utilisation de l'identifiant national de santé prévue au III de l'article R. 1111-8-1. Il précise les procédures de surveillance et de gestion des risques et erreurs liés à l'identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes mentionnés à l'article R. 1111-8-3 ainsi que les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel mentionnées au même article.

-####### Sous-section 2 :       Hébergement des données de santé à caractère personnel sur support informatique

-

-######## Article R1111-9

-

-Toute personne physique ou morale souhaitant assurer l'hébergement de données de santé à caractère personnel sur support informatique, mentionné à l'article L. 1111-8, et bénéficier d'un agrément à ce titre doit remplir les conditions suivantes :

-

-1° Offrir toutes les garanties pour l'exercice de cette activité, notamment par le recours à des personnels qualifiés en matière de sécurité et d'archivage des données et par la mise en oeuvre de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données confiées, ainsi qu'un usage conforme à la loi ;

-

-2° Définir et mettre en oeuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret prévues par les articles L. 1110-4 et L. 1111-7, la protection contre les accès non autorisés ainsi que la pérennité des données, et dont la description doit être jointe au dossier d'agrément dans les conditions fixées par l'article R. 1111-14 ;

+####### Sous-section 1 ter : Dispositions générales relatives à l'hébergement de données de santé à caractère personnel

-3° Le cas échéant, identifier son représentant sur le territoire national au sens de l'article 5 de la loi du 6 janvier 1978 ;

+######## Article R1111-8-8

-4° Individualiser dans son organisation l'activité d'hébergement et les moyens qui lui sont dédiés, ainsi que la gestion des stocks et des flux de données ;

+I. - L'activité d'hébergement de données de santé à caractère personnel mentionnée au I de l'article L. 1111-8 consiste à héberger les données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social :

-5° Définir et mettre en place des dispositifs d'information sur l'activité d'hébergement à destination des personnes à l'origine du dépôt, notamment en cas de modification substantielle des conditions de réalisation de cette activité ;

+1° Pour le compte de personnes physiques ou morales, responsables de traitement au sens de la loi n° 78-17 du 6 janvier 1978, à l'origine de la production ou du recueil de ces données ;

-6° Identifier les personnes en charge de l'activité d'hébergement, dont un médecin, en précisant le lien contractuel qui les lie à l'hébergeur.

+2° Pour le compte du patient lui-même.

-######## Article R*1111-10

+Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données.

-L'agrément nécessaire à l'activité d'hébergement de données de santé à caractère personnel sur support informatique est délivré par le ministre chargé de la santé, qui se prononce après avis de la Commission nationale de l'informatique et des libertés et d'un comité d'agrément placé auprès de lui.

+II. - Les responsables de traitement mentionnés au 1° du I, qui confient l'hébergement de données de santé à caractère personnel à un tiers, s'assurent que celui-ci est titulaire du certificat de conformité mentionné au II de l'article L. 1111-8.

-A cet effet, la personne intéressée adresse au ministre chargé de la santé un dossier de demande d'agrément comprenant les éléments mentionnés à l'article R. 1111-12. Le ministre transmet le dossier à la Commission nationale de l'informatique et des libertés, qui apprécie les garanties présentées par le candidat à l'agrément en matière de protection des personnes à l'égard des traitements de données de santé à caractère personnel et de sécurité de ces données. La commission rend son avis dans un délai de deux mois à compter de la réception du dossier, délai pouvant être renouvelé une fois sur décision motivée de son président.

+####### Sous-section 2 :  Hébergement des données de santé à caractère personnel sur support numérique soumis à certification

-Dès que la commission s'est prononcée ou à l'expiration du délai qui lui était imparti, elle transmet la demande d'agrément, accompagnée, le cas échéant, de son avis, au comité d'agrément mentionné au premier alinéa. Ce comité se prononce sur tous les aspects du dossier, en particulier sur les garanties d'ordre éthique, déontologique, technique, financier et économique qu'offre le candidat. Il émet son avis dans le mois qui suit la réception du dossier transmis par la Commission nationale de l'informatique et des libertés. Il peut toutefois demander un délai supplémentaire d'un mois.

-

-Le ministre chargé de la santé dispose, pour prendre sa décision, d'un délai de deux mois suivant l'avis du comité d'agrément. A l'issue de ce délai, son silence vaut décision d'acceptation.

-

-######## Article R1111-11

-

-I.-Le comité d'agrément mentionné à l'article R. 1111-10 comprend :

-

-1° Un membre de l'inspection générale des affaires sociales nommé sur proposition du chef de l'inspection générale des affaires sociales ;

-

-2° Deux représentants des associations compétentes en matière de santé, agréées au niveau national dans les conditions prévues à l'article L. 1114-1 ;

-

-3° Deux représentants des professions de santé, l'un nommé sur proposition du Conseil national de l'ordre des médecins et l'autre sur proposition de l'Union nationale des professions de santé ;

-

-4° Trois personnalités qualifiées :

-

-a) Une personne choisie en raison de ses compétences dans les domaines de l'éthique et du droit ;

-

-b) Une personne choisie en raison de ses compétences en matière de sécurité des systèmes d'information et de nouvelles technologies ;

-

-c) Une personne choisie en raison de ses compétences dans le domaine économique et financier.

-

-Le directeur général de la santé, le directeur général de l'offre de soins, le directeur général des patrimoines, le directeur général des entreprises et le directeur général de la concurrence, de la consommation et de la répression des fraudes, ou leurs représentants, assistent aux séances du comité avec voix consultative.

-

-II.-Les membres du comité d'agrément, dont celui qui, parmi eux, exercera la présidence du comité, sont nommés pour cinq ans par arrêté du ministre chargé de la santé. Leur mandat est renouvelable une fois.

-

-Ils sont soumis aux dispositions de l'article L. 1451-1.

-

-Des suppléants en nombre égal au nombre de titulaires sont désignés dans les mêmes conditions que ceux-ci. Un membre titulaire empêché ou intéressé par une affaire est remplacé par son suppléant.

-

-Le remplacement d'un membre du comité en cas de cessation de fonction en cours de mandat est réalisé dans les mêmes conditions que sa nomination et pour la durée du mandat restant à courir.

-

-Les fonctions de membre du comité ouvrent droit à des indemnités pour frais de déplacement et de séjour dans les conditions prévues par les dispositions législatives et réglementaires applicables aux fonctionnaires civils de l'Etat.

-

-III.-Le comité d'agrément ne peut délibérer que si deux tiers au moins de ses membres sont présents. Dans le cas contraire, une nouvelle séance peut se tenir sans obligation de quorum après un délai de quinze jours.

-

-Les avis rendus par le comité sont motivés. Ils sont pris à la majorité des voix exprimées des membres présents. En cas de partage égal des voix, celle du président est prépondérante.

-

-IV.-Le comité d'agrément peut être saisi par le ministre chargé de la santé de tout sujet entrant dans son domaine de compétence.

-

-######## Article R1111-12

-

-Le dossier de demande d'agrément comprend les éléments suivants :

-

-1° L'identité et l'adresse du responsable du service d'hébergement et, le cas échéant, de son représentant ; pour les personnes morales, les statuts sont produits ;

-

-2° Les noms, fonctions et qualifications des opérateurs chargés de mettre en oeuvre le service, ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont accès aux données hébergées ;

-

-3° L'indication des lieux dans lesquels sera réalisé l'hébergement ;

-

-4° Une description du service proposé ;

-

-5° Les modèles de contrats devant être conclus, en application du deuxième alinéa de l'article L. 1111-8, entre l'hébergeur de données de santé et les personnes physiques ou morales qui sont à l'origine du dépôt des données de santé à caractère personnel ; ces modèles sont établis conformément aux dispositions de l'article R. 1111-13 ;

-

-6° Les dispositions prises pour assurer la sécurité des données et la garantie des secrets protégés par la loi, notamment la présentation de la politique de confidentialité et de sécurité prévue au 2° de l'article R. 1111-9 ;

-

-7° Le cas échéant, l'indication du recours à des prestataires techniques externes et les contrats conclus avec eux ;

-

-8° Un document présentant les comptes prévisionnels de l'activité d'hébergement et, éventuellement, les trois derniers bilans et la composition de l'actionnariat du demandeur, ainsi que, dans le cas d'une demande de renouvellement, les comptes de résultat et bilans liés à cette activité d'hébergement depuis le dernier agrément.

-

-L'hébergeur déjà agréé informe sans délai le ministre chargé de la santé de tout changement affectant les informations mentionnées ci-dessus et de toute interruption, temporaire ou définitive, de son activité.

-

-######## Article R1111-13

-

-Les modèles de contrats devant être joints à la demande d'agrément, mentionnés au 5° de l'article R. 1111-12, contiennent obligatoirement au moins les clauses suivantes :

-

-1° La description des prestations réalisées : contenu des services et résultats attendus ;

-

-2° Lorsque le contrat est souscrit par la personne concernée par les données hébergées, la description des modalités selon lesquelles les professionnels visés à l'article L. 1110-4 et, le cas échéant, la personne concernée, accèdent à ces données dans le respect des dispositions des articles L. 1110-4 et L. 1110-4-1 ;

-

-3° Lorsque le contrat est souscrit par la personne physique ou morale à l'origine de la production ou du recueil des données de santé mentionnée au premier alinéa de l'article L. 1111-8, la description des modalités d'information de la personne concernée et d'enregistrement de l'absence d'opposition pour motif légitime de cette dernière à l'hébergement de ses données de santé, ainsi que des modalités selon lesquelles les professionnels visés à l'article L. 1110-4 et le cas échéant la personne concernée, accèdent à ces données dans le respect des dispositions des articles L. 1110-4 et L. 1110-4-1 ;

-

-4° La description des moyens mis en œuvre par l'hébergeur pour la fourniture des services ;

-

-5° La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, ainsi que de la périodicité de leur mesure ;

-

-6° Les obligations de l'hébergeur à l'égard de la personne à l'origine du dépôt des données de santé à caractère personnel en cas de modifications ou d'évolutions techniques introduites par lui ;

-

-7° Une information sur les conditions de recours à d'éventuels prestataires techniques externes et les engagements de l'hébergeur pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l'activité d'hébergement ;

-

-8° Une information sur les garanties permettant de couvrir toute défaillance éventuelle de l'hébergeur ;

-

-9° Une présentation des prestations à la fin de l'hébergement.

-

-######## Article R1111-14

-

-Une présentation de la politique de confidentialité et de sécurité, prévue au 2° de l'article R. 1111-9, doit être fournie à l'appui de la demande d'agrément conformément au 6° de l'article R. 1111-12. Elle comporte notamment les précisions suivantes :

-

-1° En matière de respect des droits des personnes concernées par les données hébergées :

-

-a) Les modalités permettant de s'assurer de l'existence de l'information et de l'absence d'opposition pour motif légitime de l'intéressé à l'hébergement des données le concernant ;

-

-b) Les modalités retenues pour que l'accès aux données de santé à caractère personnel et leur transmission éventuelle soient réalisées dans le respect des dispositions de l'article L. 1110-4 ;

-

-c) Les conditions dans lesquelles sont présentées et prises en compte les éventuelles demandes de rectification des données de santé à caractère personnel hébergées ;

-

-d) Les moyens mis en œuvre pour assurer le respect des dispositions de l'article L. 1111-7 relatif à l'accès des personnes à leurs informations de santé, notamment en termes de délais et de modalités de consultation ;

-

-e) Les procédures de signalement des incidents graves, dont l'altération des données ou la divulgation non autorisée des données personnelles de santé ;

-

-f) La fourniture à la personne concernée par les données hébergées, à sa demande, de l'historique des accès aux données et des consultations ainsi que du contenu des informations consultées et des traitements éventuellement opérés.

-

-2° En matière de sécurité de l'accès aux informations :

-

-a) Les dispositions prises pour garantir la sécurité des accès et des transmissions des données de santé à caractère personnel vis-à-vis des personnes physiques ou morales à l'origine de la production ou du recueil des données de santé et des personnes concernées par ces données ;

+######## Article R1111-9

-b) Les mesures prises en matière de contrôle des droits d'accès et de traçabilité des accès et des traitements ;

+Est considérée comme une activité d'hébergement de données de santé à caractère personnel sur support numérique au sens du II de l'article L. 1111-8, le fait d'assurer pour le compte du responsable de traitement mentionné au 1° du I de l'article R. 1111-8-8 ou du patient mentionné au 2° du I de ce même article, tout ou partie des activités suivantes :

-c) Les conditions de vérification du contenu des traces des accès et des traitements afin de détecter les tentatives d'effraction ou d'accès non autorisés ;

+1° La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé ;

-d) Les modalités de vérification du registre des personnes habilitées à accéder aux données hébergées tenant compte des éventuelles mises à jour ;

+2° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé ;

-e) Les procédés techniques retenus en matière d'identification et d'authentification ; en ce qui concerne les professionnels de santé, ces procédés techniques doivent être conformes aux référentiels de sécurité mentionnés à l'article L. 1110-4-1.

+3° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé ;

-3° En matière de pérennité des données hébergées :

+4° La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information ;

-a) Les procédures visant à assurer, au moment du transfert des données vers l'hébergeur, la réception sécurisée des données et l'intégrité de celles-ci, leur prise en compte dans le système d'information de l'hébergeur et le suivi de cette prise en charge ;

+5° L'administration et l'exploitation du système d'information contenant les données de santé ;

-b) Les modalités de prise en compte et d'enrichissement tout au long de la durée de l'hébergement, de l'ensemble des informations concernant les données depuis leur création, telles que les données permettant de les identifier et de les décrire, de les gérer, de déterminer leurs propriétés techniques et d'en assurer la traçabilité ;

+6° La sauvegarde des données de santé.

-c) Les modalités de surveillance des supports en vue d'anticiper les changements technologiques et, le cas échéant, d'opérer des migrations de supports dans des conditions en garantissant la traçabilité ;

+######## Article R1111-10

-d) Les procédures liées à la réplication des données sur différents supports informatiques en des lieux distincts ;

+I.-Le certificat de conformité mentionné au II de l'article L. 1111-8 est délivré par un organisme de certification sur le fondement d'un référentiel de certification élaboré par le groupement d'intérêt public mentionné à l'article L. 1111-24 et approuvé par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l'informatique et des libertés.

-e) Les conditions de mise en œuvre d'une alerte concernant les formats d'encodage des données, destinée à avertir la personne à l'origine du dépôt en cas d'obsolescence de ce format et, éventuellement, les procédures visant à réaliser, avec l'autorisation de la personne à l'origine du dépôt, des migrations de formats des données, si ces derniers ne permettent plus d'assurer la lisibilité des informations et à assurer la traçabilité de ces migrations.

+II.-L'organisme de certification mentionné au II de l'article L. 1111-8 est accrédité par le Comité français d'accréditation ou par tout autre organisme d'accréditation signataire d'un accord de reconnaissance mutuelle multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation conformément à un référentiel d'accréditation élaboré par le groupement d'intérêt public mentionné à l'article L. 1111-24 en lien avec les organismes d'accréditation concernés et approuvé par arrêté du ministre chargé de la santé.

-4° En matière d'organisation et de procédures de contrôle interne en vue d'assurer la sécurité des traitements et des données :

+III.-Le groupement d'intérêt public mentionné à l'article L. 1111-24 assure le suivi et la mise à jour de ces référentiels.

-a) La désignation d'un responsable sécurité et d'un responsable qualité ;

+######## Article R1111-11

-b) La définition des missions, des pouvoirs et des obligations des personnels de l'hébergeur et de ses éventuels sous-traitants, habilités à traiter les données de santé à caractère personnel ;

+I.-Le contrat d'hébergement mentionné au dernier alinéa du I de l'article L. 1111-8 est conclu entre l'hébergeur et son client. Il contient au moins les clauses suivantes :

-c) Les spécifications techniques des logiciels et des mécanismes de sécurité propres à garantir la confidentialité des transmissions, notamment en ce qui concerne le mode de chiffrement des flux d'information ;

+1° L'indication du périmètre du certificat de conformité obtenu par l'hébergeur, ainsi que ses dates de délivrance et de renouvellement ;

-d) Les modalités retenues pour l'évaluation périodique des risques et l'audit des mesures de protection mises en place afin de garantir la sécurité des données et en vue d'apporter les modifications nécessaires en cas de détection de défaillances ;

+2° La description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l'intégrité, la confidentialité et l'auditabilité des données hébergées ;

-e) Les dispositifs de simulation régulière de défauts de fonctionnement pour vérifier l'efficacité des mécanismes destinés à garantir la continuité des services ;

+3° L'indication des lieux d'hébergement ;

-f) Les moyens mis en œuvre pour sensibiliser et former le personnel aux mesures de protection mises en place et à leurs obligations en matière de confidentialité et de respect du secret professionnel ;

+4° Les mesures mises en œuvre pour garantir le respect des droits des personnes concernées par les données de santé dont notamment :

-g) Les conditions de mise en œuvre de la sécurité physique des sites informatiques, des mesures de protection de l'infrastructure technique, notamment en termes de sécurité des réseaux, des serveurs et des postes de travail ;

+- les modalités d'exercice des droits de portabilité des données ;

+- les modalités de signalement au responsable de traitement de la violation des données à caractère personnel ;

+- les modalités de conduite des audits par le délégué à la protection des données ;

-h) Les dispositions prises en ce qui concerne l'exploitation de l'infrastructure technique ;

+5° La mention du référent contractuel du client de l'hébergeur à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées ;

-i) Les conditions de mise en œuvre du plan de secours informatique comportant notamment les dispositions prises pour informer du déclenchement de ce plan les personnes physiques ou morales à l'origine du dépôt des données de santé à caractère personnel ainsi que les dispositions prises pour la reprise des activités.

+6° La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l'existence ou l'absence de pénalités applicables au non-respect de ceux-ci ;

-######## Article R1111-15

+7° Une information sur les conditions de recours à d'éventuels prestataires techniques externes et les engagements de l'hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l'hébergeur ;

-L'agrément est délivré aux hébergeurs de données de santé à caractère personnel sur support informatique pour une durée de trois ans.

+8° Les modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées ;

-La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d'agrément. Elle comprend les documents mentionnés au 8° de l'article R. 1111-12 et un récapitulatif des modifications intervenues depuis la dernière demande d'agrément en ce qui concerne les autres documents mentionnés à cet article, ainsi qu'un audit externe réalisé aux frais de l'hébergeur, attestant de la mise en oeuvre de la politique de confidentialité et de sécurité mentionnée à l'article R. 1111-14. Elle est instruite selon la même procédure que celle applicable à la demande initiale.

+9° Les obligations de l'hébergeur à l'égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d'évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;

-Les décisions d'agrément, ainsi que le renouvellement de cet agrément, sont publiées au Bulletin officiel du ministère de la santé.

+10° Une information sur les garanties et les procédures mises en place par l'hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;

-######## Article R1111-15-1

+11° La mention de l'interdiction pour l'hébergeur d'utiliser les données de santé hébergées à d'autres fins que l'exécution de l'activité d'hébergement de données de santé ;

-Le ministre chargé de la santé, lorsqu'il envisage de procéder au retrait d'un agrément en application du quatrième alinéa de l'article L. 1111-8, communique à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception, les motifs de ce projet de retrait et l'appelle à formuler ses observations, écrites ou, à sa demande, orales, dans un délai de deux mois.

+12° Une présentation des prestations à la fin de l'hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d'hébergement de données de santé ;

-En cas de divulgation non autorisée de données de santé à caractère personnel sur support informatique ou de manquements graves de l'hébergeur à ses obligations mettant notamment en cause l'intégrité, la sécurité et la pérennité des données hébergées, le ministre chargé de la santé peut, à titre conservatoire, dans l'attente qu'il soit statué définitivement sur le projet de retrait d'agrément, prononcer la suspension de l'activité d'hébergement.

+13° L'engagement de l'hébergeur de restituer, à la fin de la prestation, la totalité des données de santé au responsable de traitement ;

-La décision de retrait est notifiée à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception. Elle met fin de plein droit à l'hébergement des données confiées à l'hébergeur et entraîne la restitution de ces données aux personnes ayant contracté avec l'hébergeur.

+14° L'engagement de l'hébergeur de détruire, à la fin de la prestation, les données de santé après l'accord formel du responsable de traitement et sans en garder de copie.

-Les décisions de suspension et de retrait font l'objet de la mesure de publicité prévue à l'article R. 1111-15. Elles sont transmises pour information au comité d'agrément mentionné à l'article R. 1111-10 ainsi qu'à la Commission nationale de l'informatique et des libertés.

+II.-Lorsque le responsable de traitement de données de santé ou le patient mentionnés au I de l'article R. 1111-8-8 fait appel à un prestataire qui recourt lui-même pour l'hébergement des données à un hébergeur certifié, le contrat qui lie le responsable de traitement ou le patient avec son prestataire reprend les clauses mentionnées au I telles qu'elles figurent dans le contrat liant le prestataire et l'hébergeur certifié.

 ####### Sous-section 3 : Hébergement des données de santé à caractère personnel sur support papier