Salons de la Santé et de l’Autonomie HIT

Le droit de la e-santé, un droit en constante évolution

28 mai 2013

Kahina HADDAD, juriste Florence EON, juriste

Et le droit dans tout ça ?

HIT 28 mai 2013

SELF-QUANTIFIED / « Mesure de soi »

TELEMEDECINE

CLOUD COMPUTING SANTE

E-MOBILITE

2

I – L’organisation contractuelle de la télémédecine explicitée

II – La labellisation des solutions logicielles à

destination des maisons et centres de santé III – L’hébergement de données de santé: 1 - Rappel de la procédure d’agrément 2 - Procédure de renouvellement d’agrément 3 - En chiffres 4 - Focus sur le « cloud computing » HIT 28 mai 2013 3

I – La télémédecine

HIT 28 mai 2013 4

Cadre juridique de la télémédecine

• La loi « HPST » du 21 juillet 2009 consacre la télémédecine comme une pratique médicale.

• Le décret du 19 octobre 2010 définit cinq actes de télémédecine : téléconsultation, télé expertise, télésurveillance médicale, téléassistance médicale et réponse médicale apportée dans le cadre de la régulation médicale (SAMU).

• Il prévoit une organisation contractuelle à deux niveaux. • Afin d’accompagner les ARS et les acteurs de télémédecine dans

cette démarche, la direction générale de l’offre de soins (DGOS) met à leur disposition un guide méthodologique pour l’élaboration des contrats et des conventions en télémédecine.

• Circulaire N° DGOS/PF3/2012/ 114 du 13 mars 2012 relative au guide méthodologique pour l’élaboration des contrats et des conventions en télémédecine

HIT 28 mai 2013 5

L’acte de télémédecine, un acte médical

• L’acte de télémédecine est un acte médical, qui s’inscrit dans la relation

de soins. • Le patient doit donc pouvoir consentir aux soins de façon éclairée (articles L1111-2 et L1111-4 du code de la santé publique). • Il a le droit au respect de la vie privée et au secret des informations (article L1110-4 du code de la santé publique et loi n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés.) • Ces dispositions sont d’application immédiate.

• L’acte de télémédecine présente également comme caractéristique

d’être un acte partagé entre professionnels de santé. • Les organismes et professionnels participant à une activité de

télémédecine doivent respecter les conditions réglementaires de mises en œuvre.

HIT 28 mai 2013 6

L’organisation contractuelle de la télémédecine

2 niveaux de contractualisation • Tout projet de télémédecine portant sur la réalisation d’actes de

télémédecine doit faire l’objet dès lors qu’il devient une activité effective (prise en charge de patients):

• d’un « contrat de télémédecine», conclu avec l’agence régionale de

santé (ARS) • Ce contrat inscrit l’activité de télémédecine dans la stratégie régionale d’organisation de

l’offre de soins et, plus précisément, dans le programme régional de télémédecine (PRT)

• et d’une « convention de télémédecine » entre les acteurs du projet • La convention organise les relations entre les acteurs de l’activité de télémédecine et les

conditions de mise en œuvre de leur activité de télémédecine.

• Cf art. R.6316-6 à R.6316-11 du code de la santé publique HIT 28 mai 2013 7

Contrat de télémédecine (avec l’ARS)

• L’activité de télémédecine et son organisation font l'objet : • Soit d'un programme national défini par arrêté des ministres chargés de la santé, des

personnes âgées, des personnes handicapées et de l'assurance maladie ; • Soit d'une inscription dans l'un des contrats pluriannuels d'objectifs et de moyens

(CPOM) ou l'un des contrats ayant pour objet d'améliorer la qualité et la coordination des soins (CAQCS)

• Soit d'un contrat particulier signé par le directeur général de l'agence régionale de santé et le professionnel de santé libéral ou, le cas échéant, tout organisme concourant à cette activité

• Il n’existe pas de programme national à ce jour. • Le recours à un « contrat télémédecine » ad hoc est préconisé par

la DGOS: • Un seul contrat par activité de télémédecine • Articulé avec les CPOM et les CAQCS

• Par avenant au CPOM ou insertion directe • Sous la forme d’une annexe du CPOM consacrée à la télémédecine • Cas particulier des établissements de santé

HIT 28 mai 2013 8

Contrat de télémédecine (avec l’ARS)

• Objet du contrat • L’ARS fixe des objectifs stratégiques, notamment au regard du PRT.

• Description de l’apport de l’activité de télémédecine au regard des caractéristiques de l’offre de soins sur le territoire concerné (projet médical)

• Le contrat constitue également un dispositif de mise en conformité de l’activité de télémédecine avec les prescriptions fixées par le décret du 19 octobre 2010 (contrôle de qualité)

• Engagements des acteurs sur:

HIT 28 mai 2013

• Description des conditions de réalisation de l’activité au regard de la réglementation en vigueur • Droits des patients (information des patients et recueil de leur consentement, formation) • Authentification des professionnels de santé intervenant dans l'acte ; • Identification du patient ; • Accès des professionnels de santé aux données médicales Tenue du dossier du patient

• Conditions d’exercice des professionnels médicaux participant à l’acte • Formation et compétences techniques des professionnels de santé et des psychologues • Modalités d'hébergement des données de santé à caractère personnel • Respect des référentiels d’interopérabilité et de sécurité applicables aux systèmes d’information de santé • Engagement de conclure une (ou des) convention(s) pour la mise en oeuvre de l’activité.

9

HIT 28 mai 2013

Coordonnateur ARS Négocie

Profession libéraux

GCS Télésanté (le cas échéant)

Maison de santé, Centres de santé

Etablissets medico- sociaux

Etablissets de santé

contrat unique

“Autres organismses”

Identification d’un coordonnateur (structure type établissement de santé, maison de santé,…) ou professionnel de santé libéral Rôle: - Préparer et négocier du contrat au nom et pour le compte de l’ensemble des acteurs - Être le relais d’information - Être pilote du conventionnement -Suivi des contrats et conventions

Contrat télémédecine

Négociation entre l’ARS et le coordonnateur L’ARS vérifie les pré-requis au regard de la réglementation.

Signature du contrat par l’ensemble des acteurs, sauf mandat exprès au bénéfice du coordonnateur Il n’y a pas lieu de créer une nouvelle structure juridique (examen au cas par cas)

Préparer et négocier le contrat de télémédecine

10

Convention de télémédecine (entre acteurs)

• Les organismes et les professionnels de santé qui organisent une activité de télémédecine concluent entre eux une convention respectant les dispositions inscrites dans les contrats ou programmes mentionnés à l'article R. 6316-6. • Exception: la régulation médicale (assortie de conditions techniques de fonctionnement

spécifiques) • Objet

• Cette convention organise les relations entre les acteurs du projet de télémédecine et les conditions dans lesquelles ils mettent en œuvre les exigences légales et réglementaires. Elle décline de façon opérationnelle le contrat. • Identification claire des rôles et responsabilités de chacun • Relations financières • Pas d’exonération possible par une clause conventionnelle en ce qui concerne l’obligation essentielle du contrat.

=> La convention concourt à la prévention des litiges: • Durée

• Pas de contrainte réglementaire • Elle peut être plus longue que celle du contrat (alignée sur la durée du PRT)

HIT 28 mai 2013 11

Contrat et convention de télémédecine

• Circuit • Transmission aux conseils ordinaux pour avis avant signature ou transmission a

posteriori avec avenant le cas échéant • Transmission de la convention télémédecine à l’ARS souhaitable

• Modèle-type de contrat en annexe 1 du guide • Socle contractuel • Annexes

• Modèle-type de convention en annexe 2 du guide • Possibilité de joindre en annexe des descriptions précises, des protocoles médicaux ou

tout autre document permettant de guider la réalisation de l’acte de télémédecine • Prendre en compte les conventions préexistantes

HIT 28 mai 2013 12

II – La labellisation « e-santé Logiciel Maisons et Centres de santé »

HIT 28 mai 2013 13

La labellisation « e-santé Logiciel Maisons et Centres de santé »

• Le besoin • Nécessité de réguler la mise sur le marché des logiciels utilisés dans le monde

de la santé et d’instaurer un climat de confiance auprès des utilisateurs, facilitant le développement des usages, par des outils juridiques incitatifs

• Le recours à la labellisation

• Notion associée à la valorisation de l’image et au développement des usages • Procédure fondée sur l’outil contractuel • Un des moyens d’action dont dispose l’agence pour réaliser cette mission: Au titre des missions définies dans sa convention constitutive, l’ASIP Santé est en charge de « la définition, la promotion et l’homologation de référentiels, standards, produits ou services contribuant à l’interopérabilité, à la sécurité et à l’usage des systèmes d’information de santé et de la télésanté, ainsi que la surveillance de leur bonne application ».

HIT 28 mai 2013 14

La labellisation « e-santé Logiciel Maisons et Centres de santé »

• Cette démarche de labellisation concrétise les actions de soutien entreprises par l’ASIP Santé à la demande conjointe de la Direction Générale de l’Offre de Soins (DGOS) et de la Direction de la Sécurité Sociale (DSS) : • réalisation d’une étude sur le système d’information des maisons et pôles de

santé, ainsi que des centres de santé polyvalents; • concertation auprès des utilisateurs et des éditeurs de logiciels autour de cette

étude; • élaboration de documents d’aide aux projets : plan projet type et cahier des

charges. • Le cadre fonctionnel à respecter pour obtenir le label est

directement issu de l’étude initiale conduite sous l’égide d’un groupe de travail rassemblant des professionnels de santé expérimentés sur la question avec le concours de la Fédération Française des Maisons et Pôles de Santé.

HIT 28 mai 2013 15

La labellisation « e-santé Logiciel Maisons et Centres de santé »

• Pour qui? • tout éditeur de solution logicielle destinée aux maisons de santé (y compris celles

organisées sur plusieurs sites), ainsi qu’aux centres de santé polyvalents. Ce label peut être attribué à toute solution logicielle ou famille de produits destinés aux professionnels de santé exerçant en maison ou centre de santé respectant le cadre fonctionnel associé.

• Quel support juridique? • La reconnaissance du droit d’utiliser ce label est formalisée par la signature d’une

convention entre l’ASIP Santé et l’éditeur, dans laquelle ce dernier déclare que la solution logicielle est conforme au référentiel fonctionnel en vigueur à la date de la labellisation.

• Pourquoi? • Ce label permet aux responsables de projets de système d’information d’éclairer leur

démarche de sélection de logiciels en identifiant sur le marché ceux disposant d’emblée des fonctionnalités adaptées à l’activité des maisons et centres de santé : dossier médical et de soins commun aux professionnels de l’organisation, gestion du consentement du patient au partage de ses données entre les professionnels de santé de l’organisation, indicateurs d’activité, DMP compatibilité…

HIT 28 mai 2013 16

Présentation des maisons de santé, centres de santé et pôles de santé

• De nouveaux acteurs aux côté des établissements de santé et des professionnels de santé libéraux (dont les médecins traitants) • Consécration de l’exercice pluridisciplinaire

• Intervenant dans la délivrance des soins de proximité (premier recours) • Soins ambulatoires

• Financement: • Dotation de financement du fonds d'intervention pour la qualité et la coordination des

soins, (FIQCS) dans les conditions prévues à l'article L. 221-1-1 du code de la sécurité sociale.

• Cette dotation sert à financer l'exercice coordonné des soins. Son montant est fixé chaque année dans la loi de financement de la sécurité sociale.

• Ces acteurs doivent signer un contrat avec l’ARS. • Nouveaux modes de rémunération (NMR) des professionnels de santé ou de

financement des centres de santé et des maisons de santé, • Expérimentation • Complément du paiement à l'acte ou s'y substituant

HIT 28 mai 2013 17

Labellisation maisons et centres de santé

HIT 28 mai 2013

Déclaration éditeur

Famille de logiciels Niveau fonctionnel Professions couvertes

Enregistrement ASIP Santé

Signature convention Publication label

Vérification de conformité

Conforme : publication de la conformité Non conforme : retrait du label

18

Labellisation maisons et centres de santé

•Dispositif de labellisation • Basé sur le cahier des charges fonctionnel • Caractérise le niveau fonctionnel standard ou avancé • Décrit les professions couvertes par la solution

• Rôle du dispositif • Le processus est déclaratif • Il aide le porteur de projet à identifier les solutions • Il ne garantit pas la qualité ou l’ergonomie du logiciel • Il ne couvre pas le champ de l’agrément Sesam-Vitale

• Vérification de conformité • Visite sur site utilisateur de la solution complété le cas échéant d’une démonstration des

fonctions non vérifiables sur le site • Publication sur le site esante.gouv.fr

HIT 28 mai 2013 19

III – L’hébergement de données de santé

HIT 28 mai 2013 20

1- Rappel de la procédure d’agrément

Le principe de l’agrément des hébergeurs de données de santé à caractère personnel est prévu par la loi :article L1111-8 du code de la santé publique.

« Les professionnels de santé ou les établissements de santé ou la personne concernée

peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée. »

La procédure d’agrément est fixée par le décret du 4 janvier 2006 pris après avis

de la CNIL et des ordres professionnels qui décrit les conditions à remplir pour être agréé hébergeur de données de santé à caractère personnel.

L’agrément est délivré pour trois ans et les premiers dossiers de demande de renouvellement d’agrément ont été reçus.

HIT 28 mai 2013 21

2- Procédure de renouvellement d’agrément

Six mois avant le terme de la période d’agrément (3 ans) l’hébergeur doit déposer une demande de renouvellement (article R 1111-15 CSP)

Cette demande comprend : Les documents mentionnés à l’article R 1111-12 du code de la santé publique: comptes prévisionnels de l’activité d’hébergement, trois derniers bilans, composition de l’actionnariat, comptes de résultat et bilans liés à l’activité d’hébergement depuis le dernier agrément.

Un récapitulatif des modifications intervenues depuis la dernière demande d’agrément.

Un audit externe réalisé aux frais de l’hébergeur, attestant de la mise en œuvre de la politique de confidentialité et de sécurité mentionnée à l’article R.1111- 14 du code de la santé publique.

Si l’hébergeur souhaite modifier le périmètre de la prestation agréée, il doit déposer un nouveau dossier de demande d’agrément.

HIT 28 mai 2013 22

2- Procédure de renouvellement d’agrément

Le dossier de renouvellement est instruit selon la même procédure que le dossier initial.

La procédure de renouvellement n’est pas un « guichet d’enregistrement ».

Le dossier de demande d’agrément doit donc prendre en compte les

recommandations qui ont accompagné la décision d’agrément et les évolutions liées à l’activité des professionnels de santé : exemple: utilisation de moyens d’authentification forte pour l’accès aux données de santé.

Le dossier de demande de renouvellement doit être constitué sur le

fondement d’un document mis en ligne sur le site esante.gouv.fr

HIT 28 mai 2013 23

3- En chiffres

HIT 28 mai 2013

0

10

20

30

40

50

60

2009 2010 2011 2012 T1 2013

Evolutions

Nb de dossiers reçus Nb de dossiers agrées

24

3- En chiffres

145 dossiers de demande d’agrément reçus depuis 2009, dont 51 en 2012 et 19 depuis janvier 2013.

50 services agréés par le ministre en charge de la santé depuis le début de la procédure.

10 dossiers de demande de renouvellement reçus.

HIT 28 mai 2013 25

3- En chiffres

On constate une augmentation du nombre de refus d’agrément due principalement aux causes suivantes.

• Absence de prise en compte de la sensibilité des données de santé à caractère

personnel et des règles particulières imposées dans le domaine de la santé. • Contrat d’hébergement trop générique qui ne définit pas la prestation d’hébergement de

données de santé objet de la demande d’agrément, qui ne permet pas d’apprécier le partage de responsabilités entre l’hébergeur et son client, ni même les mesures mises en œuvre pour garantir la sécurité et la confidentialité des données.

• Défaut de description des mesures de sécurité mises en œuvre pour garantir la sécurité de la prestation d’hébergement proposée ( formulaire P6).

• Des dossiers qui ne répondent pas à l’ensemble des exigences du référentiel des dossiers de demande d’agrément.

Le dossier de demande d’agrément est déclaratif. Le candidat doit donc démontrer sa capacité à offrir un service d’hébergement qui garantit la sécurité et la confidentialité des données de santé.

HIT 28 mai 2013 26

Cloud Computing = Informatique en nuage : • Mode de traitement des données d'un client, dont l'exploitation s'effectue par

l'internet, sous la forme de services fournis par un prestataire. • L'informatique en nuage est une forme particulière de gérance de

l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. (JORF n°0129 du 6 juin 2010 page 10453, texte n° 42)

Distinction : • Cloud public • Cloud privé

HIT 28 mai 2013

4 - Focus sur le cloud

27

4 - Focus sur le cloud Aspect Technique

HIT 28 mai 2013 28

Le Cloud est une forme d’hébergement • Les dispositions de l’article L1111-8 du code de la santé publique et la

procédure du décret du 4 janvier 2006 s’appliquent. • Le référentiel de constitution des dossiers défini par l’ASIP Santé en

concertation avec les industriels doit donc être respecté. • Il impose la mise en œuvre des conditions définies pour l’échange et le partage

des données de santé et le respect de la loi Informatique et libertés.

Il peut présenter des risques particuliers • Risques liés à la localisation des données • Risques de perte de maîtrise du système d’information • Risques liés à la mutualisation des ressources

HIT 28 mai 2013

4 – Focus sur le cloud

29

Risques liés à la localisation des données

• Le cadre juridique de la protection des données personnelles défini à ce jour en Europe par la directive de 1995 impose de connaître à tout moment la localisation des données.

Ne semble pas remis en cause par le projet de règlement européen.

• Or le fonctionnement classique d’un Cloud réplique en permanence les données hébergées entre les sites du prestataire en fonction des ressources disponibles au sein des infrastructures.

• L’équivalence de protection devra être démontrée par le candidat à l’hébergement dans le cadre du contrat d’hébergement. Exigence rappelée par la CNIL.

HIT 28 mai 2013

4 – Focus sur le cloud

30

Risques de perte de maîtrise du système d’information • Le client d’un service Cloud concède au prestataire un contrôle total, y compris

sur la gestion des incidents.

• La description de la politique de sécurité est importante ainsi que la répartition dans le contrat des responsabilités des deux parties.

• Les services offerts ne garantissent pas toujours une portabilité des données, il peut être difficile d’envisager un changement de prestataire ou une réinternalisation des données dans ces conditions.

• Le contrat doit donc préciser les modalités prévues par les deux parties pour définir les conditions d’un changement de prestataire.

HIT 28 mai 2013

4 – Focus sur le cloud

31

Risques liés à la mutualisation des ressources

• Les mécanismes de séparation des ressources peuvent être défaillants et l’intégrité ou la confidentialité des données compromises.

• Il n’y a aucune garantie que les données soient réellement effacées ou qu’il n’existe pas d’autres copies stockées dans le nuage.

• L’équilibre doit être trouvé entre les engagements portés dans le projet de contrat d’hébergement qui doivent répondre aux exigences du décret et la réalité d’une architecture informatique plus mouvante.

HIT 28 mai 2013

4 – Focus sur le cloud

32

Merci de votre attention