Par Antony Belin
Note au lecteur : Les article de lois cités ici font référence au contexte juridique français.
« II.-La gestion des documents d’archives publiques procédant de l’activité des personnes mentionnées à l’article L. 211-4 qui n’ont pas encore fait l’objet de la sélection prévue aux articles L. 212-2 et L. 212-3 est assurée par ces personnes sous le contrôle scientifique et technique de l’administration des archives. […]
Elles peuvent également, après en avoir fait la déclaration à l’administration des archives, déposer tout ou partie de ces documents auprès de personnes physiques ou morales agréées à cet effet par l’administration des archives.
Le dépôt fait l’objet d’un contrat qui prévoit les conditions de sécurité et de conservation des documents déposés ainsi que les modalités de leur communication et de leur accès, du contrôle de ces documents par l’administration des archives et de leur restitution au déposant au terme du contrat. Un décret en Conseil d’Etat fixe les modalités de la déclaration préalable ainsi que les conditions d’octroi et de retrait de l’agrément des dépositaires et précise le contenu des clauses devant figurer dans les contrats de dépôt.
Les données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social procédant de l’activité des personnes visées à l’article L. 211-4 qui n’ont pas encore fait l’objet de la sélection prévue à l’article L. 212-3 peuvent être confiées, après en avoir fait la déclaration à l’administration des archives, à des personnes physiques ou morales titulaires de l’agrément ou du certificat de conformité prévus à cet effet à l’article L. 1111-8 du Code de la santé publique. »
Cf. art. L. 212-4 du Code du patrimoine modifié par l’art. 202 de la Loi n° 2022-217 du 21 février 2022 (modifiée au 18 août 2022) relative à la différenciation, à la décentralisation et à la déconcentration et portant diverses mesures de simplification de l’action publique locale
« I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article.
L’hébergement, quel qu’en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.
La prestation d’hébergement de données de santé à caractère personnel fait l’objet d’un contrat.
II.-L’hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d’un certificat de conformité. S’il conserve des données dans le cadre d’un service d’archivage électronique, il est soumis aux dispositions du III.
Ce certificat est délivré par des organismes de certification accrédités par l’instance française d’accréditation ou l’instance nationale d’accréditation d’un autre État membre de l’Union européenne mentionnée à l’article 137 de la Loi n° 2008-776 du 4 août 2008 de modernisation de l’économie.
Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés et des conseils nationaux de l’ordre des professions de santé.
III.-L’hébergeur de données mentionnées au premier alinéa du I est agréé par le ministre chargé de la Culture pour la conservation de ces données sur support papier ou sur support numérique dans le cadre d’un service d’archivage électronique.
Les conditions d’agrément sont fixées par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés et des conseils nationaux de l’ordre des professions de santé.
L’agrément peut être retiré, dans les conditions prévues par les articles L. 121-1, L. 121-2 et L. 122-1 du Code des relations entre le public et l’administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l’agrément.
IV.-La nature des prestations d’hébergement mentionnées aux II et III, les rôles et responsabilités de l’hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées, ainsi que les stipulations devant figurer dans le contrat mentionné au I sont précisés par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés et des conseils nationaux de l’ordre des professions de santé.
V.-L’accès aux données ayant fait l’objet d’un hébergement s’effectue selon les modalités fixées dans le contrat dans le respect des articles L. 1110-4 et L. 1111-7.
Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d’autres fins que l’exécution de la prestation d’hébergement. Lorsqu’il est mis fin à l’hébergement, l’hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du Code pénal.
VI.-Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d’hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l’inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7, à l’exception des hébergeurs certifiés dans les conditions définies au II. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la Santé.
VII.-Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l’accord de la personne concernée, est interdit sous peine des sanctions prévues à l’article 226-21 du Code pénal. »
Cf. art. L. 1111-8 du Code de la santé publique modifié par l’art. 1er de l’Ordonnance n° 2017-27 du 12 janvier 2017 (modifiée au 1er avril 2018) relative à l’hébergement de données de santé à caractère personnel
De facto, la certification comme hébergeur de données de santé (HDS) ne s’avère pas obligatoire dès lors que le prestataire possède déjà l’agrément comme tiers-archiveur de données publiques courantes et intermédiaires par arrêté préfectoral du département où se situe le siège social du prestataire, ce certificat de conformité comme hébergeur de données de santé (HDS) ne permettant a contrario pas de prétendre être Autorité de tiers-archivage (ATA) et d’opérer un service d’archivage électronique (SAE), y compris pour un certificat « hébergeur infogéreur ».
Ainsi, tout prestataire disposant de l’agrément comme tiers-archiveur de données publiques courantes et intermédiaires conserve (tiers-hébergement) et/ou gère (tiers-archivage) de jure des données de santé à caractère personnel de ses clients, alors que tout prestataire ne disposant que du certificat de conformité comme hébergeur de données de santé (HDS) ne fait que conserver ces données sans possibilité de les gérer et d’y accéder, se cantonnant donc uniquement à un rôle de tiers-hébergeur, l’agrément comme tiers-archiveur de données publiques courantes et intermédiaires s’avérant indispensable à obtenir dès lors que le tiers-hébergeur souhaiterait passer à des activités de tiers-archivage.
Figure 1: Obligations de certifications pour l’archivage de données de santé à caractère personnel
Une Autorité juridique privée traitant de données publiques ou de données de santé à caractère personnel dans le cadre d’une délégation de mission publique (logements sociaux, Sécurité sociale…) héberge certes ses données traitées auprès d’un tiers-hébergeur disposant du simple certificat de conformité (dans le cadre de données de santé), mais si elle souhaite disposer d’un service de tiers-archivage pour l’ensemble de ses données traitées dans le cadre de sa mission de service public, elle s’adresse impérativement à une Autorité de tiers-archivage (ATA) agréée comme tiers-archiveur de données publiques courantes et intermédiaires, cette obligation ne s’appliquant en revanche pas à ses données de fonctionnement interne, relevant du droit privé, bien que le pragmatisme incite naturellement à utiliser le même service de tiers-archivage, les données de fonctionnement étant en revanche excluables du périmètre d’audit du contrôle scientifique et technique (CST) de l’État.
Figure 2: Quel tiers de confiance pour quelles données ?
***
À propos de l’auteur : Titulaire d’un Bilan d’aptitude délivré par les Grandes écoles (BADGE) en Gestion de la dématérialisation et de l’archivage électronique (Mines ParisTech) et d’un Master en Archives (université de Haute-Alsace à Mulhouse), Antony Belin, est actuellement archiviste expert en dématique / Autorité et opérateur de tiers-archivage (ATA/OTA) chez Advanced Prologue Innovation (API). Il est aussi reconnu membre professionnel certifié par l’Association des archivistes du Québec (AAQ), dont il est membre depuis 2014.
Pour découvrir ou revisiter la série complète qui précède ce texte:
https://archivistesqc.wordpress.com/page/3/?s=D%C3%A9matique+et+SAE+&submit=Recherche
Convergence AAQ 