Les personnes souhaitant proposer des services numériques à destination du secteur de la santé doivent fournir certaines garanties au regard de la protection des données sensibles qu’elles seront amenées à traiter. C’est pourquoi il existe un processus de certification de conformité, pour lequel des sanctions sont annoncées…
Sécurité des données de santé : contrôle et sanctions
Dès lors qu’une personne, physique ou morale, entend développer, éditer ou exploiter un service numérique à destination d’utilisateurs dans le domaine de la santé, elle doit obtenir un certificat de conformité aux référentiels d’interopérabilité, de sécurité et d’éthique de l’Agence du numérique en santé (ANS).
Ces référentiels sont établis afin de s’assurer que les services numériques certifiés permettent d’échanger et de partager des données de santé à caractère personnel de façon sécurisée et confidentielle.
Un dispositif de contrôle et de sanctions est mis en place pour permettre à l’ANS de s’assurer du bon respect de ces obligations par les personnes proposant ces services numériques en santé.
À cet effet, il est prévu qu’elle mette en place un portail en ligne permettant de recueillir des signalements concernant des services numériques qui se trouveraient en situation de non-conformité.
À partir des signalements reçus, l’ANS peut opérer des contrôles en procédant à des visites sur site, en demandant des démonstrations des outils concernés et leurs spécifications.
En cas de manquements constatés, l’ANS enjoint la personne concernée de se mettre en conformité. Si cela reste sans effet, l’Agence pourra se rapprocher du ministère chargé de la santé afin de procéder à l’ouverture d’une procédure de sanction.
L’Agence doit alors faire une proposition de sanction prenant la forme d’une « pénalité financière » pouvant atteindre :
- 1 000 € pour les personnes physiques ;
- 10 000 € pour les personnes morales ;
- 1 % du chiffre d’affaires, hors taxes, réalisé en France par l’éditeur du service au titre du dernier exercice clos pour l’année précédente, dans la limite de 1 000 000 €.
Pour déterminer le montant de la pénalité, l’ANS doit se baser sur la gravité des manquements constatés, des impacts potentiels sur la prise en charge des patients, des risques pour la santé publique et des conséquences financières pour l’Assurance maladie.
Le ministère indique à la personne ciblée par la procédure de sanction qu’elle dispose d’1 mois pour présenter ses observations. Il pourra ensuite prononcer sa sanction dans la limite de ce qu’a proposé l’ANS.
La pénalité financière peut être accompagnée d’une mise en demeure de se mettre en conformité assortie d’une astreinte journalière.
Santé : des sanctions pour la non-conformité des services numériques – © Copyright WebLex
