15 mai 2007
INFOS MEDICALES et INFORMATIQUE
Informations médicales conservées sur support informatique
ou transmises par voie électronique
J.O n° 113 du 16 mai 2007 page 9362
texte n° 210
Décrets, arrêtés, circulaires
Textes généraux
Ministère de la santé et des solidarités
Décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des
informations médicales conservées sur support informatique ou
transmises par voie électronique et modifiant le code de la santé
publique (dispositions réglementaires)
NOR: SANP0721653D
Le Premier ministre,
Sur le rapport du ministre de la santé et des solidarités,
Vu le code de la santé publique, notamment son article L. 1110-4 ;
Vu le code de la sécurité sociale, notamment ses articles L. 161-33,
L. 161-36 (A) et R. 161-54 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à
l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application
de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août
2004 ;
Vu les avis de la Commission nationale de l'informatique et des
libertés en date du 11 octobre 2005 et du 21 décembre 2006 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :
Article 1
Le chapitre préliminaire du titre Ier du livre Ier de la première
partie du code de la santé publique (dispositions réglementaires) est
ainsi modifié :
I. - La section unique devient la section 2, intitulée « Section 2 :
Associations de bénévoles », et son article R. 1110-1 devient
l'article R. 1110-4.
II. - Avant la section 2, il est inséré une section 1 ainsi rédigée :
« Section 1
« Confidentialité des informations médicales conservées
sur support informatique ou transmises par voie électronique
« Art. R. 1110-1. - La conservation sur support informatique des
informations médicales mentionnées aux trois premiers alinéas de
l'article L. 1110-4 par tout professionnel, tout établissements et
tout réseau de santé ou tout autre organisme intervenant dans le
système de santé est soumise au respect de référentiels définis par
arrêtés du ministre chargé de la santé, pris après avis de la
Commission nationale de l'informatique et des libertés. Ces
référentiels s'imposent également à la transmission de ces
informations par voie électronique entre professionnels.
« Les référentiels déterminent les fonctions de sécurité nécessaires
à la conservation ou à la transmission des informations médicales en
cause et fixant le niveau de sécurité requis pour ces fonctions.
« Ils décrivent notamment :
« 1° Les mesures de sécurisation physique des matériels et des locaux
ainsi que les dispositions prises pour la sauvegarde des fichiers ;
« 2° Les modalités d'accès aux traitements, dont les mesures
d'identification et de vérification de la qualité des utilisateurs,
et de recours à des dispositifs d'accès sécurisés ;
« 3° Les dispositifs de contrôle des identifications et habilitations
et les procédures de traçabilité des accès aux informations
médicales, ainsi que l'histoire des connexions ;
« 4° En cas de transmission par voie électronique entre
professionnels, les mesures mises en oeuvre pour garantir la
confidentialité des informations échangées, le cas échéant, par le
recours à un chiffrement en tout ou partie de ces informations.
« Art. R. 1110-2. - Pour chaque traitement mis en oeuvre par les
personnes et les organismes mentionnés à l'article R. 1110-1 et
comportant des informations médicales à caractère personnel, le
dossier de déclaration ou de demande d'autorisation auprès de la
Commission nationale de l'informatique et des libertés décrit les
moyens retenus afin d'assurer la mise en conformité de ce traitement
avec le référentiel le concernant.
« Le responsable du traitement, au sens de l'article 3 de la loi n°
78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux
fichiers et aux libertés, est chargé de veiller au respect du
référentiel. Il lui appartient notamment de :
« 1° Gérer la liste nominative des professionnels habilités à accéder
aux informations médicales relevant de ce traitement et la tenir à la
disposition des personnes concernées par ces informations ;
« 2° Mettre en oeuvre les procédés assurant l'identification et la
vérification de la qualité des professionnels de santé dans les
conditions garantissant la cohérence entre les données
d'identification gérées localement et celles recensées par le
groupement d'intérêt public mentionné à l'article R. 161-54 du code
de la sécurité sociale ;
« 3° Porter à la connaissance de toute personne concernée par les
informations médicales relevant du traitement les principales
dispositions prises pour garantir la conformité au référentiel
correspondant.
« Art. R. 1110-3. - En cas d'accès par des professionnels de santé
aux informations médicales à caractère personnel conservées sur
support informatique ou de leur transmission par voie électronique,
l'utilisation de la carte de professionnel de santé mentionnée au
dernier alinéa de l'article L. 161-33 du code de la sécurité sociale
est obligatoire. »
Article 2
A compter de la date de publication des arrêtés mentionnés à
l'article R. 1110-1 du code de la santé publique, dans sa rédaction
issue du présent décret, les professionnels de santé, établissements,
réseaux ou organismes mentionnés à cet article disposent d'un délai
d'un an pour se mettre en conformité avec les dispositions des
articles R. 1110-1 à R. 1110-2 du même code.
Les dispositions de l'article R. 1110-3 du code de la santé publique
ne sont applicables aux établissements de santé que dans un délai de
trois ans à compter de la publication du présent décret.
Article 3
Le ministre de la santé et des solidarités est chargé de l'exécution
du présent décret, qui sera publié au Journal officiel de la
République française.
Fait à Paris, le 15 mai 2007.
Dominique de Villepin
Par le Premier ministre :
Le ministre de la santé et des solidarités,
Philippe Bas
Publicité
Publicité
Commentaires