Pour garantir la conformité et la sécurité des données dans le cadre d’un marché public relatif à l’archivage et à la gestion externalisés de dossiers patients papier, plusieurs certifications et garanties doivent être exigées.
Agrément HDS et Certificat de Conformité
Tout d’abord, il est impératif que le prestataire soit un Hébergeur de Données de Santé (HDS) agréé. Cet agrément est délivré par le ministère de la Culture, conformément à l’article L. 1111-8 du Code de la Santé Publique (CSP). L’agrément HDS garantit que le prestataire respecte des normes strictes de sécurité et de confidentialité adaptées aux données de santé.
En outre, le prestataire doit également être titulaire d’un certificat de conformité, tel que stipulé à l’alinéa 1 du II de l’article L. 1111-8 du CSP. Ce certificat atteste que l’hébergeur respecte les exigences de sécurité et de confidentialité imposées par la réglementation française et européenne.
Garanties Suffisantes au Sens du RGPD
Selon l’article 28 du Règlement Général sur la Protection des Données (RGPD), il est crucial de s’assurer que le prestataire offre des garanties suffisantes pour la protection des données. Voici quelques points clés à vérifier :
- Preuve de l’Agrément et de la Certification : Exigez du prestataire une copie de son agrément HDS et de son certificat de conformité. Ces documents doivent être à jour et vérifiables.
- Sécurité Physique et Logique : Vérifiez que les locaux où sont stockées les archives papier sont agréés par le Service Interministériel des Archives de France (SIAF). Les installations doivent être sécurisées contre les incendies, les inondations, le vol et les accès non autorisés.
- Mesures Techniques et Organisationnelles : Assurez-vous que le prestataire a mis en place des mesures techniques et organisationnelles appropriées pour protéger les données. Cela inclut la gestion des accès, la surveillance des installations, et la traçabilité des opérations effectuées sur les dossiers patients.
- Clause Contractuelle de Confidentialité : Intégrez dans le contrat des clauses spécifiques concernant la confidentialité et la protection des données, incluant des obligations de notification en cas de violation de données.
- Audit et Contrôle : Prévoyez des mécanismes d’audit et de contrôle régulier pour vérifier que le prestataire respecte ses engagements. Les audits peuvent être réalisés par des organismes indépendants ou par vos propres équipes de conformité.
Exemples Pratiques
Un exemple concret de prestataire répondant à ces exigences est mentionné dans un article du Service Interministériel des Archives de France. Il stipule que « pour ce qui est du papier, le Code de la santé considère que l’activité d’hébergement se confond avec celle de conservation au sens défini par le Code du patrimoine et prévoit par conséquent que ces données sont confiées uniquement à une personne physique ou morale bénéficiant d’un agrément accordé au titre du Code du patrimoine » (Code de la santé publique, article R.1111-16).
La conformité et la sécurité des dossiers patients papier externalisés reposent sur des certifications rigoureuses et des garanties robustes. En exigeant un agrément HDS, un certificat de conformité, et en vérifiant les mesures de sécurité et les clauses contractuelles, les organismes peuvent s’assurer que leurs données sont protégées de manière optimale.
L’archiviste n’est généralement pas autorisé à accéder au contenu des dossiers médicaux
L’archiviste, dans le cadre de l’archivage externalisé des dossiers médicaux, n’est généralement pas autorisé à accéder au contenu des dossiers médicaux eux-mêmes. Voici les raisons et les précautions prises pour garantir la confidentialité des données :
- Séparation des Tâches : L’archivage des dossiers médicaux implique principalement des tâches de stockage, de gestion et de conservation des documents. L’accès au contenu des dossiers est réservé aux professionnels de santé et aux personnes légalement autorisées, conformément aux lois sur la confidentialité et la protection des données.
- Accord de Confidentialité : Les archivistes et les prestataires d’archivage doivent signer des accords de confidentialité stricts, les engageant à ne pas accéder, divulguer ou utiliser les informations contenues dans les dossiers médicaux.
- Mesures Techniques : Les dossiers médicaux sont souvent protégés par des systèmes de sécurité, comme des scellés et des technologies de chiffrement, empêchant l’accès non autorisé. Seules les personnes autorisées possèdent les clés ou codes nécessaires pour accéder aux données.
- Audits et Contrôles : Des audits réguliers et des contrôles de conformité sont effectués pour s’assurer que les prestataires respectent les protocoles de sécurité et de confidentialité. Toute violation peut entraîner des sanctions sévères.
- Rôles et Responsabilités : Les rôles de l’archiviste et des professionnels de santé sont clairement définis. L’archiviste est responsable de la gestion physique des documents, tandis que les professionnels de santé sont responsables de l’accès et de l’utilisation des informations médicales.
