Blog Données personnelles

La nouvelle procédure française de certification des hébergeurs de données de santé soumise à la Directive Services

En application de l’article 204 de la loi du 26 janvier 2016 de modernisation de notre système de santé et de l’ordonnance n°2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel, l’ancienne procédure d’agrément des hébergeurs de données de santé va être remplacée par une procédure de certification.

Le projet de décret et le référentiel de certification qui doit être approuvé par arrêté ministériel ont été respectivement notifiés à la Commission européenne les 20 juillet et 10 août 2017. [1]

En effet, bien qu’il s’agisse d’un domaine réservé au droit national, l’adoption de cette procédure fait l’objet d’une consultation au niveau européen.

Ce mécanisme est prévu par la directive 98/34/CE qui instaure une procédure d’information dans le domaine des normes et réglementations techniques modifiée par la directive 98/48/CE en vue de l’appliquer aux projets de réglementations relatifs aux services de la société de l’information. [2]

Cette directive a pour but de supprimer ou réduire les entraves à la libre circulation des marchandises et des services qui peuvent résulter de l’adoption des réglementations nationales et techniques différentes et ce, en favorisant la transparence des initiatives nationales vis-à-vis de la Commission européenne, des organismes de normalisation européens et des autres Etats membres.

En outre, cette procédure de notification s’intègre à la directive 2006/123/CE du Parlement Européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (directive « Services »). La directive Services a pour objectif de créer un marché intérieur des services en facilitant la liberté d’établissement des prestataires et la libre circulation des services en éliminant, notamment, les obstacles administratifs et juridiques propres au développement des activités de services dans les Etats membres.

Ainsi, une réglementation technique particulière portant sur des prestations de services, comme c’est le cas de la procédure de certification des hébergeurs de données de santé, pourrait représenter un obstacle pour la libre prestation de service au sein des Etats membres en soumettant les prestataires en France à des conditions plus strictes que dans d’autres Etats membres.

Néanmoins, la directive « Services », prévoit à l’article 15 6 que « La notification d’un projet de loi nationale conformément à la directive 98/34/CE vaut respect de l’obligation de notification prévue dans la présente directive. ».

La directive 98/34/CE prévoit deux procédures d’information, l’une dans le domaine des normes (spécifications techniques volontaires) et l’autre dans celui des réglementations techniques (spécifications techniques obligatoires).

C’est au titre des secondes que la procédure de certification et le référentiel sont soumis à une procédure de consultation.

La procédure

Les Etats membres notifient à la Commission les projets de règles techniques ou de modification de celles-ci, les raisons qui les justifient et le cas échéant, les dispositions législatives et réglementaires de base concernées par ce projet.

La Commission informe par la suite les autres Etats membres du projet notifié et ils auront trois mois pour faire parvenir leurs éventuels commentaires. Les Etats membres doivent attendre l’expiration de ce délai de trois mois, la période dite de statu quo, pendant laquelle la Commission et les autres Etats membres pourront faire des commentaires, avant d’adopter tout projet de règle technique.

Ainsi, la période de statu quo s’étend jusqu’au 23 octobre 2017 pour le projet de décret et jusqu’au 13 novembre 2017 pour le projet d’arrêté.

Il est particulièrement important que la procédure applicable en France s’insère dans ce contexte européen de protection des données personnelles mais aussi, plus largement, dans le cadre potentiellement international des problématiques liées à l’hébergement des données.

En effet, comme le souligne l’exposé des motifs accompagnant cette consultation, cette nouvelle procédure de certification s’inscrit pleinement dans l’esprit du règlement européen sur la protection des données personnelles qui préconise la mise place de mécanismes de certification.

En outre, l’exposé rappelle que « cette procédure permet de prendre en compte le caractère potentiellement international de l’hébergement (prestataire d’hébergement de droit international, activité d’hébergement exercée en dehors du territoire national) ».

Si les textes sont adoptés en l’état, le projet de décret prévoit notamment que l’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel sera applicable au 1er janvier 2018. Ce nouveau dispositif pourrait donc être en vigueur très rapidement après l’expiration de la période de statu quo.

Ces textes prévoient des dispositions transitoires selon lesquelles :

  • le régime actuel de l’agrément des hébergeurs restera applicable à tous les agréments délivrés avant le 1er janvier 2018 ou après cette date, pour les demandes déposées jusqu’au 31 décembre 2017 ;
  • les agréments expirant au cours de l’année 2018 verront leur terme prolongé d’une durée de six mois afin de permettre à l’hébergeur d’effectuer les démarches de certification nécessaires à la poursuite de son activité d’hébergement de données de santé.

[1Notification 2017/343/F concernant le décret relatif à l’hébergement de données de santé à caractère personnel et modifiant le code de la santé publique.

Notification 2017/379/F concernant l’arrêté portant approbation du référentiel d’accréditation pour les organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel.

[2Considérant 15 de la Directive 98/48/CE du Parlement Européen et du Conseil du 20 juillet 1998 portant modification de la directive 98/34/EC du 22 juin 1998 prévoyant une procédure d’information dans le domaine des normes et réglementations techniques.