Reader TTS

_CADRE RÉGLEMENTAIRE NATIONAL_ ▶️ UN ENCADREMENT TRANSVERSE DU NUMÉRIQUE APPLICABLE AU SECTEUR DE LA SANTÉ : UN CADRE GÉNÉRAL POUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL, LE RGPD ET

LA LIL : Le règlement général sur la protection des données n°2016/679 1 (RGPD) prévoit un régime de protection renforcé pour les données de santé, qui sont des données sensibles. Le

principe est que leur traitement est interdit, mais le règlement aménage des exceptions qui rendent possible de tels traitements, dans certaines situations telles que la prise en charge

médicale. De surcroît, en France, la loi n°78/17 du 6 janvier 1978 complète et précise le régime applicable en la matière. UN CADRE GÉNÉRAL DE CYBERSÉCURITÉ DES DONNÉES, LA TRANSPOSITION DE

LA DIRECTIVE NIS2 : La directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union Européenne (NIS2)

doit servir à établir l’orientation nationale des états membres en matière de cybersécurité. La loi de transposition en droit national vise à établir notamment un cadre de gouvernance

clarifiant les rôles et les responsabilités des parties prenantes, une politique de gestion des vulnérabilités, des mesures visant à améliorer la sensibilisation des citoyens.  UN CADRE DE

SOUVERAINETÉ DES DONNÉES, LA LOI SREN : La loi n°2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (SREN) prévoit notamment des garanties de souveraineté dans le cas

du recours par les administrations de l’État ou ses opérateurs à un prestataire privé « cloud » pour le stockage ou le traitement de données sensibles, notamment celles de santé (article

31). Dans cette hypothèse, le prestataire doit mettre en œuvre « des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées

contre tout accès non autorisé par des autorités publiques d’États tiers non autorisé par le droit de l’UE ou d’un État membre ».  En pratique, cela revient à exiger que le prestataire soit

certifié SecNumCloud (version 3.2 du référentiel). Des décrets d’application sont en cours de publication. La loi SREN prévoit également un renforcement des exigences de souveraineté pour

l’obtention de la certification relative à l’hébergement des données de santé, ainsi que pour les tiers archiveurs (article 32).  ▶️ UN ENCADREMENT SPÉCIFIQUE DU NUMÉRIQUE EN SANTÉ AU SEIN

DU CODE DE LA SANTÉ PUBLIQUE : Le code de la santé publique contient un vaste corpus de règles encadrant le numérique en santé. L’utilisation du Dossier Médical Partagé de Mon espace santé

(DMP) emporte à ce titre un ensemble de droits et obligations, pour les patients et les professionnels. D’une part, l’échange et le partage de données de santé entre professionnels doit

respecter la vie privée et le secret des informations concernant toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme

concourant à la prévention ou aux soins (Article L1110-4). Dès lors, le consentement du titulaire du DMP est nécessaire pour y accéder en consultation ou en écriture. Lorsqu’il est donné à

un professionnel faisant partie d’une équipe de soin (définie à l’article L.1110-12), ce consentement est toutefois présumé avoir été donné à l’ensemble de cette même équipe de soin.

L'équipe de soins est définie comme un ensemble de professionnels qui participent directement au profit d'un même patient à la réalisation d'un acte diagnostique,

thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d'autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes

(voir l’article L.1110-12).   De plus, les professionnels de cet ensemble doivent, pour faire partie de l’équipe de soin, relever de l’une des trois situations suivantes (énumérées à

l’article L.1110-12 CSP) :   * exercer dans le même établissement. Cette hypothèse couvre notamment le cas des professionnels qui exercent à titre libéral et sous contrat d’exercice au sein

d’un établissement. Pour en savoir plus, consulter la page dédiée (…) ; * se voir reconnaitre la qualité de membre de l’équipe de soin par le patient qui s'adresse à eux pour la

réalisation des consultations et des actes prescrits par un médecin auquel il a confié sa prise en charge ; * exercer dans un ensemble comprenant au moins un professionnel de santé et

présentant une organisation formalisée et des pratiques conformes à un cahier des charges fixé par un arrêté du ministre chargé de la santé. Les modalités d’accès au DMP sont prévues aux

articles R.1111-44 et suivants. De plus, une matrice d’habilitation déterminant exhaustivement une liste de professionnels pouvant accéder au DMP, et les documents qu’ils peuvent consulter

est approuvée par arrêté. D’autre part, le titulaire de l’espace numérique de santé (DMP) ou son représentant légal peut décider de proposer un accès temporaire ou permanent ou mettre fin à

un tel accès à un établissement de santé, un professionnel de santé, d’extraire des données de l’espace numérique de santé, de la clôture de cet espace numérique (L.1111-13-1 CSP). Il

bénéficie d’un droit à l’information, au respect du secret médical auquel sont également soumises ses données numériques de santé. Le professionnel lui, est soumis à l’obligation d’alimenter

le dossier médical partagé et d’échanger par messagerie sécurisée de santé les documents listés par Arrêté du 26 avril 2022 prévu à l'article L. 1111-15 du code de la santé publique.

Un régime propre à l’hébergement des données de santé : une certification obligatoire s’applique à toute personne qui héberge des données de santé à caractère personnel, recueillies à

l’occasion d’activité de prévention, de diagnostic, de soins, ou de suivi médico-social (article L.1111-8 CSP). Le référentiel HDS de certification, modifié par arrêté le 26 avril 2024, fixe

les exigences à respecter pour obtenir le certificat obligatoire. Ces exigences portent notamment sur la souveraineté des données, le management de la sécurité et la protection des données.

Le référentiel devra faire l’objet d’une nouvelle publication pour s’articuler avec le décret d’application de la loi SREN. LES SERVICES NUMÉRIQUES EN SANTÉ (L1470-1 À L1470-6) SONT SOUMIS

À LA CONFORMITÉ À DES RÉFÉRENTIELS D’INTEROPÉRABILITÉ, DE SÉCURITÉ ET D’ÉTHIQUE. Les référentiels sont coconstruits en concertation avec l’ensemble des acteurs de l’écosystème

(professionnels, patients, entreprises du numérique en santé, puissance publique…). Pour certains d’entre eux, le mécanisme de vérification de la conformité d’un service numérique aux

référentiels sectoriels définis à l’article L.1470-6 du CSP peut consister, pour l’ANS ou un organisme de certification accrédité par le comité d’accréditation (COFRAC), à délivrer un

certificat en attestant. Cette procédure est encadrée par les articles R.1470-1 à R. 1470-11 CSP pris en application du décret du 27 décembre 2023 relatif à la délivrance du certificat de

conformité. Il précise notamment les opérateurs économiques tenus d’obtenir ce certificat. Son obtention peut notamment conditionner l’attribution de fonds publics. Un second décret est en

préparation pour l’application du III de l’article L. 1470-6 du CSP et viendra définir les sanctions applicables en cas de non-respect des référentiels de l’ANS. LES RÉFÉRENTIELS PUBLIÉS AU

JOURNAL OFFICIEL SONT NOTAMMENT LES SUIVANTS :   ✅Les référentiels d’identification électronique pour les usagers et les acteurs des secteurs sanitaire, social, et médico-social et le

référentiel Pro Santé Connect, ✅ Le référentiel INS pour les acteurs de la prise en charge, ✅ Les référentiels HDS, ✅ Les référentiels « Ségur » pour les éditeurs de logiciels qui souhaitent

bénéficier d’un financement « Ségur numérique », ✅ Les référentiels téléconsultation, télésurveillance, dispositifs médicaux numériques, ✅Le référentiel des applications du catalogue de

services Mon espace santé, ✅ Le référentiel de sécurité et d’interopérabilité relatif à l’accès des professionnels au Dossier Médical Partagé. Le Code de la Sécurité Sociale complète le Code

de la Santé Publique pour des services qui font partie de la doctrine du numérique en santé comme les moyens d'identification électronique des bénéficiaires de l'Assurance Maladie

(Article R161-33-1 à R161-33-21 du Code de la Sécurité Sociale) ou de la Carte de professionnel de santé (Article R161-52 à R161-58 du Code de la Sécurité Sociale).   Le Code de

l'Action Sociale et des Familles complète aussi le Code de la Santé publique, en obligeant par exemple les Etablissements et services sociaux et médico-sociaux à tenir un Dossier Usager

Informatisé et en définit le contenu : Article D. 312-37 du Code de l'Action Sociale et des Familles pour les Etablissements accueillant des enfants ou adolescents présentant des

déficiences intellectuelles. _CADRE RÉGLEMENTAIRE EUROPÉEN_ Dans le cadre de la stratégie européenne des données, l'UE a pour ambition de créer un marché européen de la donnée. Ainsi,

le fonctionnement du marché européen des données repose sur des législations qui se répartissent en deux catégories : les règles horizontales et les règles sectorielles. Les règles

horizontales ont vocation à s'appliquer à l'ensemble des acteurs européens et sont définies par deux textes principaux : ✅Data Act : développer l’économie européenne de la donnée

et la compétitivité du marché de la donnée en rendant les données plus accessibles et utilisables, en encourageant l'innovation par les données ; ✅Data governance Act : accroître la

confiance dans le partage de données, renforcer les mécanismes d’exposition des données et faciliter la réutilisation des données. Les règles sectorielles s'adressent uniquement aux

acteurs relevant d'un domaine ou d'un secteur déterminé (tourisme, médias, environnement, santé, etc.). Pour le secteur de la santé, la Commission européenne a proposé le 4 mai

2022 un projet de règlement visant à mettre en place un Espace Européen des Données de Santé (EEDS). L’EEDS est la première proposition d’espace européen commun de données, et spécifique au

secteur de la santé, ayant notamment pour objectif : ✅ De permettre un MEILLEUR CONTRÔLE ET ACCÈS AUX CITOYENS À LEURS DONNÉES DE SANTÉ, ✅ D’ASSURER LA CONTINUITÉ DE LA PRISE EN CHARGE DES

PATIENTS, en permettant l’accès direct des professionnels de santé aux données de santé des patients qu’ils prennent en charge, avec l‘accord du patient, immédiatement, dans des conditions

sécurisées (préservant la confidentialité) et ce quel que soit le pays européen de résidence du patient, ✅ De créer à l’échelle européenne UN CADRE COMMUN POUR LA RÉUTILISATION DES DONNÉES

DE SANTÉ à des fins de recherche, d’innovation et de politique publique. Le règlement EEDS est constitué de 2 grands volets : * L’usage primaire des données de santé (MaSanté@UE ou

_MyHealth@EU_), incluant une certification obligatoire des logiciels de dossiers médicaux électroniques (DME) et la création d’un marché unique (DME) ; * L’usage secondaire des données de

santé (DonnéesSanté@UE ou _HealthData@EU_). 1️⃣ USAGE PRIMAIRE DES DONNÉES DE SANTÉ :  Pour 5 CATÉGORIES DE DONNÉES DE SANTÉ électroniques qualifiées de “prioritaires” issues des dossiers

médicaux électroniques (Le v_olet de synthèse médicale, les prescriptions & dispensations électroniques, les comptes rendus de biologie médicale, les comptes rendus d’imagerie médicale

et les images, les lettres de sortie d’hospitalisation_), le règlement EEDS rend obligatoire leur mise à disposition par chaque Etat membre, à l’échelle européenne. D’une part, ces données

doivent ainsi être accessibles par le patient, et d’autre part, par les professionnels qui le prennent en charge, et ce sur tout le territoire de l’UE. Ce partage s’effectue via une

infrastructure commune appelée MaSanté@UE (MyHealth@EU) mise à disposition par la Commission européenne. Le règlement EEDS garantie également l’interopérabilité des DME en spécifiant et en

rendant obligatoire des formats européens d’échange de données de santé et dans chaque Etat membre, en instaurant des droits harmonisés pour le citoyen en ce qui concerne son dossier médical

et des règles communes en matière d’identification électronique (pour les citoyens et pour les professionnels). VERS UN MARCHÉ UNIQUE DES DOSSIERS MÉDICAUX ÉLECTRONIQUES : Le règlement EEDS

conditionne la mise sur le marché de l’UE de systèmes de dossiers médicaux électroniques (DME) et d’applications de bien-être au respect d’exigences en MATIÈRE D’INTEROPÉRABILITÉ ET DE

TRAÇABILITÉ : IL S’AGIT D’UN MARQUAGE CE. La démonstration de la conformité à ces exigences repose sur un système d’auto-certification. Ce marquage CE sera donc obligatoire pour les

fabricants de DME. 2️⃣ USAGE SECONDAIRE DES DONNÉES DE SANTÉ : Ce que l'on appelle L’USAGE SECONDAIRE DES DONNÉES DE SANTÉ correspond au traitement de données de santé électroniques

pour DES FINALITÉS DIFFÉRENTES que celles prévues initialement pour lesquelles ces données ont été recueillies ou générées.  Le règlement prévoit notamment que les détenteurs de données

électroniques de santé devront OBLIGATOIREMENT METTRE À DISPOSITION À DES FINS DE RÉUTILISATION LEURS DONNÉES DE SANTÉ aux utilisateurs. Ainsi, le texte définit les catégories minimales de

données de santé que les détenteurs ont l’obligation de mettre à disposition à des fins d’utilisation secondaire. Il prévoit également une liste exhaustive des finalités de réutilisation

autorisées et de finalités interdites.  Il précise les modalités de la mise à disposition de ces données de santé dans laquelle un rôle central est accordé à DES ORGANISMES RESPONSABLES DE

L’ACCÈS AUX DONNÉES DE SANTÉ (ORAD) qui doivent être désignés dans chaque État membre. Ces organismes auront notamment pour mission d’étudier LA RECEVABILITÉ DES DEMANDES D’ACCÈS AUX DONNÉES

À DES FINS DE RÉUTILISATION et, le cas échéant, d’autoriser et délivrer des permis d’accès aux données et d’exiger de la part des détenteurs la fourniture de ces données afin de les mettre

ensuite à disposition des utilisateurs dans un environnement de traitement sécurisé. Le Règlement fixe également DES PROCÉDURES HARMONISÉES D’ACCÈS AUX DONNÉES DANS TOUS LES ETATS MEMBRES.

Il pose des délais d’instruction des demandes et de mise à disposition effective des données (9 mois pour des données anonymes et 8 mois pour l’accès effectif à des données pseudonymes).

Enfin, le Règlement CONSOLIDE LES DROITS DES PERSONNES concernées à l’égard de leurs données de santé dans le contexte de l’utilisation secondaire. Ici encore, il complète les droits déjà

prévus par le RGPD et prévoit UN DROIT À L’INFORMATION RENFORCÉ. Il prévoit également UN DROIT DE REFUS À L’UTILISATION SECONDAIRE des données de santé. Ce droit est uniformisé à l’échelle

de l’Union et permettra aux personnes de s’opposer facilement, à tout moment, sans justification et de manière réversible à la réutilisation de leurs données à des fins secondaires. SE

PRÉPARER À L’ENTRÉE EN APPLICATION DU RÈGLEMENT EEDS : Le règlement devrait ÊTRE PUBLIÉ AU JOURNAL OFFICIEL DE L’UE DÉBUT 2025. Son entrée en application est échelonnée dans le temps, selon

des délais qui varient en fonction des dispositions concernées entre 2 ans et 10 ans après l’entrée en vigueur. L’essentiel des dispositions du règlement entre néanmoins en application 4 ANS

APRÈS SON ENTRÉE EN VIGUEUR. Des adaptations de la réglementation nationale doivent intervenir : la DNS est en charge de ce chantier, pour lequel elle entend, d’une part, capitaliser sur ce

qui fonctionne bien actuellement en France et, d’autre part, associer les parties prenantes aux évolutions nécessaires. La France est très impliquée dans l'innovation numérique en

santé au niveau européen. La France représentée par la Délégation au numérique en santé (DNS) a été réélue en 2024 à la co-présidence du réseau européen e-health network au côté de la

Commission européenne pour une durée de 2 ans.