SEANCE DU 31 JANVIER 2002

SEANCE DU 31 JANVIER 2002

M. le président. L'amendement n° 326, présenté par le Gouvernement, est ainsi libellé :
« Après le texte proposé par l'article 6 pour l'article L. 1111-6-1 du code de la santé publique, insérer un article additionnel ainsi rédigé :
« Art. L. 1111-6-2. - Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.
« Les traitements de données de santé à caractère personnel que nécessite l'hébergement prévu au premier alinéa doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La prestation d'hébergement fait l'objet d'un contrat. Lorsque cet hébergement est à l'initiative d'un professionnel de santé ou d'un établissement de santé, le contrat prévoit que l'hébergement des données, les modalités d'accès à celles-ci et leurs modalités de transmission sont subordonnés à l'accord de la personne concernée.
« Les conditions d'agrément des hébergeurs sont fixées par décret en Conseil d'Etat pris après avis de la commission nationale de l'informatique et des libertés et des Conseils nationaux des professions de santé ainsi que des professions paramédicales. Ce décret mentionne les informations qui doivent être fournies à l'appui de la demande d'agrément, notamment les modèles de contrats prévus au deuxième alinéa et les dispositions prises pour garantir la sécurité des données traitées en application de l'article 29 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, en particulier les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne. Les dispositions de l'article L. 4113-6 s'appliquent aux contrats prévus à l'alinéa précédent.
« L'agrément peut être retiré, dans les conditions prévues par l'article 24 de la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.
« Seules peuvent accéder aux données ayant fait l'objet d'un hébergement les personnes que celles-ci concernent et les professionnels de santé ou établissements de santé qui les prennent en charge et qui sont désignés par les personnes concernées, selon des modalités fixées dans le contrat prévu au deuxième alinéa, dans le respect des dispositions des articles L. 1110-4 et L. 1111-6.
« Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que les professionnels de santé ou établissements de santé désignés dans le contrat prévu au deuxième alinéa.
« Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données qui lui ont été confiées, sans en garder de copie, au professionnel, à l'établissement ou à la personne concernée ayant contracté avec lui.
« Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.
« Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'inspection générale des affaires sociales et des agents de l'Etat mentionnés à l'article L. 1421-1 du code de la santé publique. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé. »
La parole est à M. le ministre.
M. Bernard Kouchner, ministre délégué. Avec le développement des nouvelles technologies, l'encadrement de l'activité de stockage et d'hébergement des données de santé à caractère personnel devient nécessaire.
Je prendrai quelques exemples.
Deux cents réseaux ville-hôpital ont impérativement besoin de fonctionner et d'améliorer encore la qualité de la prise en charge de leurs patients, de partager, puis de conserver leurs données personnelles ou à caractère personnel dans des conditions de sécurité garantissant la protection des informations médicales.
Internet : il convient d'encadrer cette activité d'hébergeur de données de santé qui se développe aujourd'hui dans des conditions peu satisfaisantes. Certains sites de santé proposent un service de gestion en ligne de leur dossier médical n'offrant strictement aucune garantie à l'internaute. En France, les services du ministère de la santé ont constaté l'existence de sites hébergeant des dossiers de patients - jusqu'à 23 000 dossiers pour l'un d'entre eux - le tout sans aucun encadrement. Par ailleurs, aux Etats-Unis où cette pratique est largement répandue - mais cela pourrait aussi arriver chez nous de la même manière -, une personne voulant se renseigner sur sa pathologie sur Internet a retrouvé son dossier complet non « anonymisé » avec tous les clichés et tous les commentaires de ses médecins, le tout livré à la curiosité des internautes.
L'amendement prévoit un agrément préalable de ces « hébergeurs » - c'est ainsi que ce nouveau métier s'appelle -, assorti de sanctions pénales en cas de non-respect de la confidentialité et de l'encadrement. Cet agrément permettra de protéger le patient contre ce type de dérives.
Conformément à l'esprit général du projet de loi, l'amendement prévoit également que l'hébergement et la conservation de ces données personnelles de santé sont, bien sûr, subordonnés à l'accord exprès de la personne concernée par ces données.
M. le président. Quel est l'avis de la commission ?
M. Francis Giraud, rapporteur. Cet amendement vise à instituer un encadrement juridique de l'hébergement de données personnelles de santé garantissant le respect de leur confidentialité et du secret professionnel. Cette disposition est bienvenue et elle est très attendue par les professionnels de santé. J'émets donc un avis très favorable.
M. le président. Je mets aux voix l'amendement n° 326, accepté par la commission.

(L'amendement est adopté.)
M. le président. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après le texte proposé pour l'article L. 1111-6-1 du code de la santé publique.

ARTICLE L. 1111-7 DU CODE DE LA SANTÉ PUBLIQUE