Plan du site
Technique Sesam-Vitale Logiciels médicaux Fulmédico e-santé e-outils DMP        
29 / 07 / 2010

Accueil >> DMP >> Textes réglementaires et législatifs >>   Le Décret confidentialité est paru au Journal Officiel

TOP 10 :

articles les plus lus :
 
25 février 2005 :
LiveBox et réseau mixte (Ethernet et Wifi)
147296 visites

3 avril 2005 :
LiveBox : Enlever la couche "sécurité" du réseau sans fil
42842 visites

16 juillet 2004 :
Prise RJ45 et câble réseau
40476 visites

29 août 2006 :
Un amuse-gueule, le didacticiel DMP
33941 visites

21 avril 2005 :
LiveBox : Jouer à Warcraft 3 : the frozen throne
30547 visites

1er juin 2005 :
Comment sécuriser le Wifi médical ?
29778 visites

19 février 2005 :
Banc d’essai des lecteurs Sesam-Vitale de bureau 3.0
28997 visites

16 août 2004 :
Amortissement d’un ordinateur ou d’un logiciel
22741 visites

5 décembre 2007 :
Après le pifomètre, le GIP DMP publie enfin son premier baromètre.
19039 visites

11 mars 2006 :
Faudra-t-il changer de lecteur de cartes ?
19021 visites

Le Décret confidentialité est paru au Journal Officiel

mercredi 16 mai 2007.
 
 

Décret confidentialité - 39.5 ko
Décret confidentialité
  
16 mai 2007

On respire au GIP DMP et on sable le champagne au GIP CPS !

Le « Décret confidentialité », attendu depuis 5 ans, a été signé in extremis le 15 mai par Dominique de Villepin quelques heures avant la démission de son gouvernement.

Comme l’indiquait déjà la dernière mouture après nettoyage au Conseil dEtat, l’usage de la CPS est immédiatement obligatoire pour la messagerie électronique : « Art. R. 1110-3. − En cas d’accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L. 161-33 du code de la sécurité sociale est obligatoire. »
Il n’y a une dérogation de trois ans que pour les établissements de santé : « Les dispositions de l’article R. 1110-3 du code de la santé publique ne sont applicables aux établissements de santé que dans un délai de trois ans à compter de la publication du présent décret. »
Il faut noter aussi que le Conseil d’état a supprimé la possibilité pour les établissements de santé d’utiliser autre chose que des CPS. On avait auparavant : « l’utilisation de la carte de professionnel de santé (...) ou, à défaut, d’un dispositif d’identification individuel offrant des garanties et fonctionnalités similaires et agréé par le ministre chargé de la santé, après avis de la Commission Nationale de l’Informatique et des Libertés, est obligatoire ».
Cette obligation d’utiliser les CPS va certainement être vécue comme un contrainte technique terrible dans les hôpitaux et cliniques, mais n’oublions pas que cette disposition était déjà prévue par la Loi Kouchner en mars 2002. Les hôpitaux ont donc eu 5 ans pour anticiper et s’y préparer

Après plus de 5 ans de tergiversations, le décret pour l’application de l’article L.1110-4 du Code de la Santé Publique relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique a été déposé par une cigogne sur le bureau du Premier Ministre !

4 mai 2007

Ca y est, mercredi 25 avril 2007, le Conseil d’Etat a nettoyé au Karcher le projet de décret « confidentialité » en enlevant toutes les rustines.

EXTRAIT DU REGISTRE DES DELIBERATIONS du CONSEIL D’ETAT (SECTION SOCIALE)
SEANCE DU MERCREDI 25 AVRIL 2007

Projet de Décret relatif à la confidentialité des informations médicales à caractère personnel conservées sur support informatique ou transmises par voie électronique et modifiant le code de la santé publique code (dispositions réglementaires)

Le Premier ministre,
Sur le rapport du ministre de la santé et des solidarités ;
Vu le code de la santé publique, notamment son article L.1110-4 ;
Vu le code de la sécurité sociale, notamment ses articles L.161-33, L.161-36-1 A et R.161-54 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 ;
Vu les avis de la commission nationale de l’informatique et des libertés en date du 11 octobre 2005 et du 21 décembre 2006 ;
Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Le Conseil d’Etat (section sociale) entendu, décrète :

Article 1er

Le chapitre préliminaire du titre Ter du livre 1er de la première partie du code de la santé publique (dispositions réglementaires) est ainsi modifié :
I - La section unique devient la section 2, intitulée « Section 2 : Associations de bénévoles », et son article R. 1110-1 devient l’article R. 1110-4.

II - Avant la section 2, il est inséré une section 1 ainsi rédigée :
« Section 1 : Confidentialité des informations médicales à caractère personnel conservées sur support informatique ou transmises par voie électronique

« Article R. 1110-1
« La conservation sur support informatique des informations médicales mentionnées aux trois premiers alinéas de l’article L. 1110-4 par tout professionnel, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. Ces référentiels s’imposent également à la transmission de ces informations par voie électronique entre professionnels.
« Les référentiels déterminent les fonctions de sécurité nécessaires à la conservation ou à la transmission des informations médicales en cause et fixent le niveau de sécurité requis pour ces fonctions.
« Ils décrivent notamment :
-  « 1° Les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
-  « 2° Les modalités d’accès aux traitements, dont les mesures d’identification et de vérification de la qualité des utilisateurs, et de recours à des dispositifs d’accès sécurisés ;
-  « 3° Les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l’historique des connexions ;
-  « 4° En cas de transmission par voie électronique entre professionnels, les mesures mises en oeuvre pour garantir la confidentialité des informations échangées, le cas échéant par recours à un chiffrement en tout ou partie de ces informations.

« Article R. 1110-2 :
« Pour chaque traitement mis en oeuvre par les personnes et organismes mentionnés à l’article R. 1110-1 et comportant des informations médicales à caractère personnel, le dossier de déclaration ou de demande d’autorisation auprès de la Commission nationale de l’informatique et des libertés décrit les moyens retenus afin d’assurer la mise en conformité de ce traitement avec le référentiel le concernant.
« Le responsable du traitement, au sens de l’article 3 de la loi N°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, est chargé de veiller au respect du référentiel. Il lui appartient notamment de :
-  « 1° Gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations ;
-  « 2° Mettre en oeuvre les procédés assurant l’identification et la vérification de la qualité des professionnels de santé dans des conditions garantissant la cohérence entre les données d’identification gérées localement et celles recensées par le groupement d’intérêt public mentionné à l’article R. 161-54 du code de la sécurité sociale ;
-  « 3° Porter à la connaissance de toute personne concernée par les informations médicales relevant du traitement les principales dispositions prises pour garantir la conformité au référentiel correspondant.

« Article R. 1110-3
« En cas d’accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L. 161-33 du code de la sécurité sociale est obligatoire. »

Article 2

A compter de la date de publication des arrêtés mentionnés à l’article R. 1110-1 du code de la santé publique, dans sa rédaction issue du présent décret, les professionnels de santé, établissements, réseaux ou organismes mentionnés à cet article disposent d’un délai d’un an pour se mettre en conformité avec les dispositions des articles R. 1110-l à R. 1110-2 du même code.
Les dispositions de l’article R. 1110-3 du code de la santé publique ne sont applicables aux établissements de santé que dans un délai de trois ans à compter de la publication du présent décret.

Article 3

Le ministre de la santé et des solidarités est chargé de l’exécution du présent décret qui sera publié au Journal officiel de la République française.

Ce texte est actuellement sur le bureau du Ministre de la Santé et du Premier Ministre. Sera t-il signé avant la fin du gouvernement actuel c’est à dire le 16 mai minuit ?
Le suspense est insoutenable. Au GIP CPS on allume cierge sur cierge devant la photo de Philipe Bas.
Le miracle est possible car « Philippe Bas, ministre de la Santé hyperactif » selon le Figaro du 3 mais 2007, depuis que Xavier Bertrand lui a laissé le fauteuil, signe arrêtés et décrets à la chaine. Selon son entourage « Il a toujours dit que le gouvernement fonctionnerait jusqu’au dernier jour ».

Mais ne soyons pas trop optimiste sinon nous risquons de lui porter la scoumoune. Rappelons qu’il avait fallu 10 ans à Ulysse pour rejoindre Ithaque. Cela fait plus de 5 ans qu’on attend sa signature au GIP CPS où sa présidente telle Pénélope doit repousser par toutes sortes de ruses les fâcheux qui affirment qu’il ne sera jamais signé. La nuit on détricote les projets pour la Carte de Professionnel de Santé qu’on élabore le jour.

25 avril 2007

Le bout du tunnel pour le décret “confidentialité” ?

Tel un pétard mouillé, le décret“confidentialité”, n’en finit pas de fumer. Il est toujours dans les limbes du Ministère de la santé. Il parait qu’il était hier en analyse au Conseil d’Etat après avoir été visé par la CNIL.

31 janvier 2007

99éme version

Comme disait Jacques Sauret en septembre dernier « Que n’aurait-on entendu si le texte était sorti rapidement mais sans concertation ! »
Toujours espéré, sans cesse reporté, le décret « confidentialité » verra-t-il le jour avant la fin de cette législature ? Le suspense est insoutenable... Selon les meilleurs bookmakers, la cote est à 1/10.

Ce projet de décret, baptisé affectueusement en interne du prénom d’Arlésien, est couvée patiemment depuis de nombreuses années par Josette Boniface en charge de ce dossier au Ministère de la Santé et à la Miss.
Il est possible qu’on profite de l’anniversaire de la Loi Kouchner, le 4 mars prochain, qui soufflera sa cinquième bougie, pour faire prendre l’air à ce projet encore en couche culotte. A Pâques, le bambin pas très précoce, pourrait cependant rentrer en moyenne section de maternelle.
Les mauvaises langues prétendent que s’il faut un quinquennat pour que le Ministère de la Santé ponde un seul décret, c’est pas gagné pour le DMP et ses multiples cahiers des charges, référentiels, décrets et arrêtés.

Décret pris pour l’application de l’article L.1110-4 du code de la santé publique relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant ce code (dispositions réglementaires)

Le Premier ministre,
Sur le rapport du ministre de la santé et des solidarités ;
Vu le code de la santé publique, notamment son article L.1110-4 ;
Vu le code de la sécurité sociale, notamment ses articles L.161-33, L.161-36-1 A et R.161-54 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu l’article 34 de la loi n° 2004-210 du 13 août 2004 relative à l’assurance maladie ;
Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 ;
Vu l’avis de la commission nationale de l’informatique et des libertés en date du 11 octobre 2005 et du 21 décembre 2006 ;
Vu l’avis du conseil de la Caisse Nationale d’Assurance Maladie en date du 13 décembre 2006 ;
(Disparition des avis du conseil national de l’ordre des médecins et des pharmaciens, de la commission des accidents du travail et des maladies professionnelles et du conseil de l’union nationale des caisses d’assurance maladie...)
Le Conseil d’Etat (section sociale) entendu,
Décrète :

Article 1er

Le chapitre préliminaire du titre Ier du livre Ier de la première partie du code de la santé publique (dispositions réglementaires) est ainsi modifié :
I - La section unique devient la section 2, intitulée « Section 2 : Associations de bénévoles », et l’article R. 1110-1 devient l’article R. 1110-4 au sein de cette section 2.
II - Avant la section 2, il est inséré une section 1 ainsi rédigée : « Section 1 : Confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique

« Article R. 1110-1 :
« Tout professionnel de santé exerçant à titre libéral, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé, qui conserve sur support informatique ou transmet par voie électronique les informations médicales mentionnées aux quatre premiers alinéas de l’article L.1110-4 doit se conformer aux référentiels mentionnés dans le présent article et définis par un arrêté du ministre chargé de la santé. (Ancienne formulation : présent article dans un délai qui ne peut être supérieur à trois ans après l’entrée en vigueur de l’arrêté pris par le ministre chargé de la santé et prévu dans le présent article. Déplacé dans l’Article 3 ).
« Cet arrêté, pris après avis de la Commission Nationale de l’Informatique et des Libertés, définit les référentiels relatifs aux conditions de confidentialité et de sécurité dans lesquelles les informations médicales mentionnées à l’alinéa précédent ainsi que les ordonnances comportant des prescriptions de soins ou de médicaments mentionnées à l’article 34 de la loi du 13 août 2004 relative à l’assurance maladie sont conservées sur support informatique ou transmises par voie électronique.
« Pour les établissements publics de santé et ceux participant au service public hospitalier, ces référentiels sont conformes au référentiel général de sécurité ( Ancienne formulation : au référentiel général de sécurité et au référentiel général d’interopérabilité ) instauré par l’ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Tous les référentiels mentionnés au premier alinéa(Ancienne formule : Ils ) déterminent les fonctions de sécurité nécessaires à la conservation, au traitement ou à la transmission des informations et fixent le niveau de sécurité requis pour ces fonctions. Ils décrivent notamment :
-  « 1° Les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
-  « 2° Les modalités d’accès aux traitements, dont les mesures d’identification et de vérification de la qualité des utilisateurs (Ancienne formulation : dont les mesures d’identification et d’authentification des utilisateurs) et, éventuellement, le recours à des dispositifs d’accès sécurisés ;
-  « 3° Les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l’historique des connexions ;
-  « 4° Les mesures mises en œuvre pour garantir la confidentialité des informations médicales à caractère personnel par le recours, le cas échéant, à un chiffrement en tout ou partie de ces informations, en particulier en vue de leur transmission par voie électronique.

« Article R. 1110-2 :
« Pour chaque traitement mis en œuvre par les personnes mentionnées à l’article R. 1110-1 et comportant des informations médicales à caractère personnel, le dossier de déclaration ou de demande d’autorisation auprès de la commission nationale de l’informatique et des libertés décrit les moyens retenus pour mettre le traitement en cause en conformité avec les référentiels appropriés mentionnés à l’article R.1110-1.
« Le responsable du traitement, au sens de l’article 3 de la loi n°78-17 du 6 janvier 1978 modifiée, est chargé du respect de la conformité aux référentiels mentionnés au présent article. Il lui appartient notamment de :
-  « 1° Gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations ;
-  « 2° Mettre en œuvre les procédés assurant l’identification et la vérification de la qualité des professionnels de santé (Ancienne formulation : identification ) dans des conditions garantissant la cohérence entre les données d’identification gérées localement et celles recensées par le groupement d’intérêt public mentionné à l’article R. 161-54 du code de la sécurité sociale ;
-  « 3° Porter à la connaissance de toute personne concernée par les informations médicales relevant du traitement les principales dispositions prises pour garantir la conformité au référentiel concerné, mentionné à l’article R.1110-1.

« Article R. 1110-3 :
« Pour assurer l’identification et la vérification de la qualité des professionnels (Ancienne formulation : identification des professionnels ) en vue de l’accès aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L.161-33 du code de la sécurité sociale ou, à défaut, d’un dispositif d’identification individuel offrant des garanties et fonctionnalités similaires et agréé par le ministre chargé de la santé, après avis de la Commission Nationale de l’Informatique et des Libertés, est obligatoire (Ancienne formulation : agréé par le ministre chargé de la santé, est obligatoire ) .

Article 2 :


( Article inséré )
A l’article R.2213-1-2 du code général des collectivités territoriales, les mots « et fonctionnalités » sont ajoutés après les « garanties » et les mots « agréé par le groupement d’intérêt public mentionné à l’article R.161-54 du code de la sécurité sociale » sont remplacés par les mots « agréé par le ministre chargé de la santé, après avis de la Commission Nationale de l’Informatique et des Libertés ».

Article 3


Les dispositions de l’article R.1110-1 du code de la santé publique sont applicables dans un délai maximum de trois ans à compter de la publication de l’arrêté mentionné dans cet article et celles de l’article R.1110-3 du même code sont applicables aux établissements de santé dans un délai qui ne peut être supérieur à trois ans à compter de la publication du présent décret.
( Ancien article 2 : Les dispositions de l’article R.1110-3 du code de la santé publique sont applicables aux établissements de santé dans un délai qui ne peut être supérieur à trois ans à compter de la publication du présent décret. )

Article 4


Le ministre d’Etat, ministre de l’intérieur et de l’aménagement du territoire (Nouveau ), le ministre de la santé et des solidarités et le ministre délégué à la sécurité sociale, aux personnes âgées, aux personnes handicapées et à la famille sont chargés, chacun pour ce qui le concerne, de l’exécution du présent décret qui sera publié au Journal officiel de la République française.

Fait à Paris, le
Par le Premier ministre
Le ministre de la santé et des solidarités
Le ministre d’Etat, ministre de l’intérieur et de l’aménagement du territoire (Nouveau )
Le ministre délégué à la sécurité sociale, aux personnes âgées, aux personnes handicapées et à la famille

15 septembre 2006

Le projet de décret sera publié avant la fin de cette année !

Un commentaire de Jacques Sauret :

« ... Le décret confidentialité sera envoyé en consultation officielle début octobre (nous attendons les dernières réactions des hospitaliers) après une phase de concertation. Les interventions critiques sur la lenteur de la sortie du décret sont à ce propos assez amusantes : que n’aurait-on entendu si le texte était sorti rapidement mais sans concertation !
Le projet de décret prévoit l’obligation de la CPS pour tous les échanges : l’interopérabilité sera ainsi assurée, tout en laissant la liberté de choix de l’environnement d’utilisation (messagerie interpersonnelle, messagerie inter-applicative via le logiciel de gestion de cabinet, etc.).
Le projet de décret sera publié avant la fin de cette année. »

On rappellera que le "décret confidentialité", est dans les éprouvettes du Ministère de la Santé depuis la loi n°2002-303 du 4 mars 2002 :

S’il faut plus de 4 ans 1/2 pour publier ce modeste décret, on peut émettre quelques doutes sur la validité du calendrier du DMP qui est quand même un chantier d’une tout autre ampleur. Mais nul doute que la concertation avec les professionnels de santé sortira grandie de cette épreuve.

5 septembre 2006

Il y a une énorme activité au Ministère de la Santé puisqu’on peaufine le décret à coup de limes avec diffusion de 3 versions estivales successives.
Les experts du dossier estiment même que ce décret pourrait être publié avant la fin de cette décennie.
Vous pouvez vous tester au jeu des 7 erreurs. Les différences entre les versions 5 et 7 sont minimes. On vous épargne la version 6.
On peut se demander ce qui freine encore la parution de ce décret, une virgule mal placée peut-être !

On notera que dorénavant le responsable du traitement des données doit :
-  « Gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations »
Auparavant seuls les professionnels de santé étaient susceptibles d’accéder aux données de santé. C’était assez logique. Dorénavant tout « professionnel » peut-être autorisé. Cela inclue peut-être les techniciens d’assistance ou de maintenance des systèmes informatiques, mais aussi les plombiers-chaufagistes...

-  « mettre en œuvre les procédés assurant l’identification des professionnels de santé dans des conditions garantissant la cohérence entre les données d’identification gérées localement et celles recensées par le groupement d’intérêt public »
Dans la version 5, il fallait aussi un procédé d’authentification.
-  L’identification est l’action de reconnaître une personne. Pour s’identifier, on donne en général son nom, un login ou un pseudo.
-  L’authentification est le processus visant à établir de manière formelle et intangible l’identification
Curieusement dans cette dernière et sans doute pas ultime mouture du décret, la vérification de l’identité d’un utilisateur disparait. Et comme l’accès aux informations de santé n’est plus réservé aux professionnels de santé, ce décret évolue vers la passoire.

Si on va sur le site du SSI (Sécurité des Services d’Information) un service officiel dépendant du Premier Ministre :
« Authentification / identification : L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité. [Directive 530]... »

Autre curiosité, la satellisation de ce pauvre GIP-CPS dont l’avis n’est plus demandé pour aprouver l’utilisation « d’un dispositif d’identification individuel offrant des garanties et fonctionnalités similaires » à la carte CPS, lors de « l’identification des professionnels en vue de l’accès aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique » !

Septembre 2006

Décret condidentialité : 7ème version

Décret pris pour l’application de l’article L.1110- 4 du code de la santé publique relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant ce code (dispositions réglementaires)

Le Premier ministre,
Sur le rapport du ministre de la santé et des solidarités ;
Vu le code de la santé publique, notamment son article L.1110-4 ;
Vu le code de la sécurité sociale, notamment ses articles L.161-33, L.161-36-1 A et R.161-54 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu l’article 34 de la loi n° 2004-210 du 13 août 2004 relative à l’assurance maladie ;
Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 ;
Vu l’avis du conseil national de l’ordre des médecins en date du ;
Vu l’avis du conseil national de l’ordre des pharmaciens en date du ;
Vu l’avis de la commission nationale de l’informatique et des libertés en date du 11 octobre 2005 et du ;
Vu l’avis du conseil de la caisse nationale d’assurance maladie en date du ;
Vu l’avis de la commission des accidents du travail et des maladies professionnelles en date du ;
Vu l’avis du conseil de l’union nationale des caisses d’assurance maladie en date du ;
Le Conseil d’Etat (section sociale) entendu,

Décrète :

Article 1er


Le chapitre préliminaire du titre Ier du livre Ier de la première partie du code de la santé publique (dispositions réglementaires) est ainsi modifié :
-  I - La section unique devient la section 2, intitulée « Section 2 : Associations de bénévoles », et l’article R. 1110-1 devient l’article R. 1110-8 au sein de cette section 2.
-  II - Avant la section 2, il est inséré une section 1 ainsi rédigée : « Section 1 : Confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique

« Article R. 1110-1 :
« Tout professionnel de santé exerçant à titre libéral, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé, qui conserve sur support informatique ou transmet par voie électronique les informations médicales mentionnées aux quatre premiers alinéas de l’article L.1111-4 doit se conformer aux référentiels mentionnés dans le présent article dans un délai qui ne peut être supérieur à trois ans après l’entrée en vigueur de l’arrêté pris par le ministre chargé de la santé et prévu dans le présent article.
« Cet arrêté, pris après avis de la commission nationale de l’informatique et des libertés, définit les référentiels relatifs aux conditions de confidentialité et de sécurité dans lesquelles les informations médicales mentionnées à l’ alinéa précédent ainsi que les ordonnances comportant des prescriptions de soins ou de médicaments mentionnées à l’article 34 de la loi du 13 août 2004 relative à l’assurance maladie sont conservées sur support informatique ou transmises par voie électronique.
« Ces référentiels sont conformes, pour les établissements publics de santé et ceux participant au service public hospitalier, au référentiel général de sécurité et au référentiel général d’interopérabilité instaurés par l’ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ils déterminent les fonctions de sécurité nécessaires à la conservation, au traitement ou à la transmission des informations et fixent le niveau de sécurité requis pour ces fonctions. Ils décrivent notamment :
-  « 1° Les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
-  « 2° Les modalités d’accès aux traitements, dont les mesures d’identification et d’authentification des utilisateurs et, éventuellement, le recours à des dispositifs d’accès sécurisés ;
-  « 3° Les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l’historique des connexions ;
-  « 4° Les mesures mises en œuvre pour garantir la confidentialité des informations médicales à caractère personnel par le recours, le cas échéant, à un chiffrement en tout ou partie de ces informations, en particulier en vue de leur transmission par voie électronique.

« Article R. 1110-2 :
« Pour chaque traitement mis en œuvre par les personnes mentionnées à l’article R. 1110-1 et comportant des informations médicales à caractère personnel, le dossier de déclaration ou de demande d’autorisation auprès de la commission nationale de l’informatique et des libertés décrit les moyens retenus pour mettre le traitement en cause en conformité avec les référentiels appropriés mentionnés à l’article R.1110-1.
« Le responsable du traitement, au sens de l’article 3 de la loi n°78-17 du 6 janvier 1978 modifiée, est chargé du respect de la conformité aux référentiels mentionnés au présent article. Il lui appartient notamment de :
-  « 1° Gérer la liste nominative des professionnels [1] habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations ;
-  « 2° Mettre en œuvre les procédés assurant l’identification [2] des professionnels de santé dans des conditions garantissant la cohérence entre les données d’identification gérées localement et celles recensées par le groupement d’intérêt public mentionné à l’article R. 161-54 du code de la sécurité sociale ;
-  « 3° Porter à la connaissance de toute personne concernée par les informations médicales relevant du traitement les principales dispositions prises pour garantir la conformité au référentiel concerné, mentionné à l’article R.1110-1.  [3]

« Article R. 1110-3 :
« Pour assurer l’identification des professionnels en vue de l’accès aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L.161-33 du code de la sécurité sociale ou, à défaut, d’un dispositif d’identification individuel offrant des garanties et fonctionnalités similaires et agréé par le ministre chargé de la santé, [4] est obligatoire.

Article 2

Les dispositions de l’article R.1110-3 du code de la santé publique sont applicables aux établissements de santé dans un délai qui ne peut être supérieur à trois ans à compter de la publication du présent décret.

Article 3

Le ministre de la santé et des solidarités et le ministre délégué à la sécurité sociale, aux personnes âgées, aux personnes handicapées et à la famille sont chargés, chacun pour ce qui le concerne, de l’exécution du présent décret qui sera publié au Journal officiel de la République française.  [5]

Fait à Paris, le
Par le Premier ministre
Le ministre de la santé et des solidarités
Le ministre délégué à la sécurité sociale, aux personnes âgées, aux personnes handicapées et à la famille [6]

Juillet 2006

Décret condidentialité : 5ème version

Décret pris pour l’application de l’article L.1110- 4 du code de la santé publique relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant ce code (dispositions réglementaires)

Le Premier ministre,
Sur le rapport du ministre de la santé et des solidarités ;
Vu le code de la santé publique, notamment son article L.1110-4 ;
Vu le code de la sécurité sociale, notamment ses articles L.161-33, L.161-36-1 A et R.161-54 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu l’article 34 de la loi n° 2004-210 du 13 août 2004 relative à l’assurance maladie ;
Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n°2005-1309 du 20 octobre 2005 prispour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 ;
Vu l’avis du conseil national de l’ordre des médecins en date du ;
Vu l’avis du conseil national de l’ordre des pharmaciens en date du ;
Vu l’avis de la commission nationale de l’informatique et des libertés en date du 11 octobre 2005 et du ;
Vu l’avis du conseil de la caisse nationale d’assurance maladie des travailleurs salariés en date du ;
Vu l’avis de la commission des accidents du travail et des maladies professionnelles en date du ;
Vu l’avis du conseil de l’union nationale des caisses d’assurance maladie en date du ;
Le Conseil d’Etat (section sociale) entendu,
Décrète :

Article 1er

Le chapitre préliminaire du titre Ier du livre Ier de la première partie du code de la santé publique (dispositions réglementaires) est ainsi modifié :
-  I - La section unique devient la section 2, intitulée « Section 2 : Associations de bénévoles », et l’article R. 1110-1 devient l’article R. 1110-8 au sein de cette section 2.
-  II - Avant la section 2, il est inséré une section 1 ainsi rédigée : « Section 1 : Confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique

« Article R. 1110-1 :
« Tout professionnel de santé exerçant à titre libéral, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé, qui conserve sur support informatique ou transmet par voie électronique les informations médicales mentionnées aux quatre premiers alinéas de l’article L.1111-4 doit se conformer aux référentiels mentionnés dans le présent article dans un délai qui ne peut être supérieur à trois ans après l’entrée en vigueur de l’arrêté pris par le ministre chargé de la santé et prévu dans le présent article.
« Cet arrêté, pris après avis de la commission nationale de l’informatique et des libertés, définit les référentiels relatifs aux conditions de confidentialité et de sécurité dans lesquelles les informations médicales mentionnées à l’alinéa précédent ainsi que les ordonnances comportant des prescriptions de soins ou de médicaments mentionnées à l’article 34 de la loi du 13 août 2004 relative à l’assurance maladie sont conservées sur support informatique ou transmises par voie électronique.
« Ces référentiels sont conformes, pour les établissements publics de santé et ceux participant au service public hospitalier, au référentiel général de sécurité et au référentiel général d’interopérabilité instaurés par l’ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ils déterminent les fonctions de sécurité nécessaires à la conservation, au traitement ou à la transmission des informations et fixent le niveau de sécurité requis pour ces fonctions. Ils décrivent notamment :
-  « 1° Les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
-  « 2° Les modalités d’accès aux traitements, dont les mesures d’identification et d’authentification des utilisateurs et, éventuellement, le recours à des dispositifs d’accès sécurisés ;
-  « 3° Les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l’historique des connexions ;
-  « 4° Les mesures mises en oeuvre pour garantir la confidentialité des informations médicales à caractère personnel par le recours à un dispositif de codage de ces informations ou par leur chiffrement en tout ou partie, en particulier en vue de leur transmission par voie électronique.

« Article R. 1110-2 :
Pour chaque traitement mis en oeuvre par les personnes mentionnées à l’article R. 1110-1 et comportant des informations médicales à caractère personnel, le dossier de déclaration ou de demande d’autorisation auprès de la commission nationale de l’informatique et des libertés décrit les moyens retenus pour mettre le traitement en cause en conformité avec les référentiels pertinents mentionnés à l’article R.1110-1.
« Le responsable du traitement, au sens de l’article 3 de la loi n°78-17 du 6 janvier 1978 modifiée, est chargé du respect de la conformité aux référentiels mentionnés au présent article. Il lui appartient notamment de :
-  « 1° Gérer la liste nominative des professionnels de santé habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations ;
-  « 2° Mettre en oeuvre les procédés assurant l’identification et l’authentification des professionnels de santé dans des conditions garantissant la cohérence entre les données d’identification gérées localement et celles recensées par le groupement d’intérêt public mentionné à l’article R. 161-54 du code de la sécurité sociale ;
-  « 3° Tenir à la disposition de toute personne concernée par les informations médicales relevant du traitement une notice résumant les principales dispositions prises pour garantir la conformité au référentiel concerné, mentionné à l’article R.1110-1.

« Article R. 1110-3 :
« Pour assurer l’identification et l’authentification des professionnels de santé en vue de l’accès aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L.161-33 du code de la sécurité sociale ou, à défaut, d’un dispositif d’authentification individuel offrant des garanties et fonctionnalités similaires et agréé par le ministre chargé de la santé, après avis du groupement d’intérêt public mentionné à l’article R.161-54 de ce code, est obligatoire.

Article 2

Les dispositions de l’article R.1110-3 du code de la santé publique sont applicables aux établissements de santé dans un délai qui ne peut être supérieur à trois ans à compter de la publication du présent décret.

Article 3

Le ministre de la santé et des solidarités est chargé de l’exécution du présent décret qui sera publié au Journal officiel de la République française.

Fait à Paris, le
Par le Premier ministre
Le ministre de la santé et des solidarités

Lire aussi sur le site


-  Version 4 de février 2006

[1] version 5 : de santé

[2] Version 5 : et l’authentification

[3] Version 5 : Tenir à la disposition de toute personne concernée par les informations médicales relevant du traitement une notice résumant ...

[4] Version 5 : après avis du groupement d’intérêt public mentionné à l’article R.161-54 de ce code

[5] Version 5 : Le ministre de la santé et des solidarités est chargé de l’exécution du présent décret qui sera publié au Journal officiel de la République française.

[6] Version 5 : On avait oublié le méconnu Philippe Bas

8333 affichages


[

FORUM de l'article :
> Le Décret confidentialité est paru au Journal Officiel (2007-05-22 17:54:45) - Frédéric BEVERNAGE

Bonjour,

Ce décret va poser un problème, en particulier dans le champ de la psychiatrie où interviennent de façon étroite avec l’équipe des professionnels de santé (PS) d’autres professionnels cependant (hautement) qualifiés n’ayant pas droit à ce vocable : psychologues et assistants de service social.

Bien que n’étant pas PS, leur activité dans le champ sanitaire est pourtant reconnu par le RIM-Psy (PMSI sans groupage...) qui permet d’en relever l’activité auprès des patients.

L’impossibilité faite à ces personnels d’accéder aux informations de santé ne va ni faciliter l’utilisation du dossier informatisé, ni permettre le bon fonctionnement des équipes pluridisciplinaires en psychiatrie.

Il parait indispensable qu’une doctrine claire à ce sujet soit définie par le ministère.

Autre problème plus global : comment vont travailler les secrétaires médicales : avec la CPE du médecin, mais alors qu’est-ce qui est validé ou pas par celui-ci ?

Bon sujet pour RAVENEL ce 31 mai ?

Cordialement.

F BEVERNAGE

DIM CPA

Répondre à ce message

> Décret condidentialité : 5ème version (2006-07-13 14:43:11) - tekfirus
Etrange ! Le délai de mise en conformité passe de deux (version du projet de décret de mars 2006) à 3 ans, à compter de la date de parution ! Voilà qui augure bien de la volonté d’assurer une "sécurisation maximum" de toutes ces données de santé ! Quant à l’utilisation systématique de la carte CPS, le délai est également de trois ans pour les établissements de santé. De qui se moque-t-on ?
Répondre à ce message



 

 Le Décret confidentialité est paru au Journal Officiel

Du même rédacteur...
Jean-Jacques Fraslin


Dans la même rubrique...
Untitled Document
 
© 2004-2006 MediaMed pour FULMEDICO
Gab - design © 06/2003 - Template Spip sous licence GPL