Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).
Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.
Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.
Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée. (1)
1. L’élargissement des catégories de données et des parties concernées
Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.
Qu’entend-on par “donnée de santé” ?
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(2)
Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.
Les catégories de données concernées par l’hébergement agréé :
Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.
Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.
Les parties concernées par l’hébergement agréé :
Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation. Une question se posait pour les autres organismes amenés à collecter des données de santé.
Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.
Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).
Le stockage de données en interne et le stockage mutualisé :
Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément. (3)
L’information de la personne prise en charge :
Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.
2. L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée
On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.
Les conditions de l’agrément :
Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.
Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.
Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément. (4)
Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé. (5)
Le contrat d’hébergement de données de santé :
L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.
A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.
L’hébergement en dehors du territoire français :
L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.
De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.
En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud. (6)
* * * * * * * * * * * *
(1) Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique
(2) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.
(3) FAQ Asip-Santé
(4) Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.
(5) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees
(6) Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé”
Bénédicte DELEPORTE – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2016
Affichage des articles dont le libellé est e-santé. Afficher tous les articles
Affichage des articles dont le libellé est e-santé. Afficher tous les articles
samedi 7 mai 2016
jeudi 13 février 2014
Enfin un cadre légal pour la vente en ligne de lunettes et lentilles de vue ?
En juin 2011, des dispositions relatives à la vente en ligne de produits d’optique-lunetterie avaient été intégrées dans le projet de loi “renforçant les droits, la protection et l’information des consommateurs”. (1) Ce projet de loi visait à satisfaire aux exigences de santé publique et à assurer la protection des consommateurs quelque soit le canal de vente, notamment en garantissant une correction adaptée de la vision lors de l’achat en ligne de produits d’optique-lunetterie. Ce projet de loi a cependant été abandonné en deuxième lecture à l’Assemblée nationale, fin décembre 2011.
Deux ans après cette première tentative, c’est en cours de débat parlementaire sur le projet de loi relatif à la consommation (ou projet de loi “Hamon”) que le Sénat a décidé d’intégrer des dispositions modifiant le Code de la santé publique. (2)
Nous rappelons ci-après les principales règles actuellement applicables à la vente de lunettes et lentilles de vue et la proposition figurant au projet de loi sur la consommation.
1. La vente de produits d’optique-lunetterie : une commercialisation strictement encadrée
Les règles applicables à la profession d’opticien et à la vente de lunettes et lentilles de vue sont définies au Code de la santé publique. (3)
La vente de lunettes et lentilles de contact de vue est notamment soumise aux conditions suivantes :
- être titulaire d’un diplôme ou certificat professionnel : la vente est réservée aux opticiens-lunetiers diplômés ;
- ne pas démarcher les clients en porte-à-porte. Le colportage de verres correcteurs est donc interdit ;
- exiger la présentation d’une ordonnance en cas de délivrance de verres correcteurs à des mineurs de moins de 16 ans, au-delà de cet âge la prescription n’est pas obligatoire.
Compte tenu des conditions applicables à la vente de lunettes et lentilles de vue, il est actuellement difficile de vendre ces produits en ligne dans le respect de la loi en vigueur.
2. Un nouveau projet de réglementation spécifique à la vente en ligne de produits d’optique-lunetterie
Les nouvelles dispositions figurant dans le projet de loi relatif à la consommation sont proches de celles proposées en 2011.
- Les conditions de délivrance des lunettes et lentilles de vue
La délivrance de verres correcteurs et de lentilles de contact est réservée aux opticiens-lunetiers diplômés. Toutefois, concernant la vente en ligne, le texte prévoit que les vendeurs (“les prestataires concernés”) devront mettre à la disposition des internautes un opticien-lunetier apte à les conseiller. Toute personne pourra donc en principe exploiter un site web de vente de produits d'optique-lunetterie, à la condition toutefois de faire appel à un professionnel qualifié pour la fourniture d’informations et de conseils.
L'opticien (ou l’exploitant du site web) devra réclamer et vérifier l’existence d’une prescription médicale en cours de validité, quelque soit l'âge du client. L’ordonnance devra mentionner la valeur de l’écart pupillaire du patient.
En cas de délivrance de verres correcteurs de “puissance significative”, le site devra pouvoir faire une prise de mesure.
Enfin, le site devra mettre à disposition des internautes un professionnel qualifié, apte à répondre à toute demande d’informations et de conseils. La simple mise à disposition de fiches pratiques et informations en ligne ne sera pas suffisante.
Les modalités précises de la vente en ligne, à savoir, les conditions de transmission et de contrôle de validité de l’ordonnance, la prise des mesures, la délivrance de lentilles de contact aux primo-porteurs doivent être fixées par décret.
- Les sanctions en cas de non-respect des conditions de vente en ligne des lunettes et lentilles de vue
Le projet de loi condamne d'une amende de 3.750€ toute personne qui ne respecterait pas les conditions mentionnées ci-dessus, à savoir notamment la délivrance ou la vente à distance de produits d’optique-lunetterie sans vérifier l’existence d’une ordonnance en cours de validité ou sans mettre à la disposition du client un professionnel apte à les conseiller.
Une fois le texte définitif voté, il conviendrait que les décrets d’application soient rapidement adoptés afin que ce texte puisse être effectivement appliqué par les professionnels. Ainsi, les décrets d’application devront aiguiller les professionnels sur les modalités pratiques de communication des ordonnances par les internautes. Il en va de même concernant les modalités pratiques de la délivrance de conseils personnalisés au client à distance.
Il convient enfin de noter que sans attendre l’adoption d’un cadre légal adapté, plusieurs sites internet français se sont d’ores et déjà lancés dans l’activité de vente en ligne de lunettes et de lentilles de vue. Certains sites vendent des lunettes de vue sans conditions particulières, d’autres appliquent les règles posées dans le projet de loi de 2011, ou anticipent les règles qui devraient s’appliquer lorsque la loi Hamon sera votée. La clarification des conditions de vente en ligne de lunettes et lentilles de vue sera donc la bienvenue.
A suivre donc…
Nota: la loi sur la consommation a été adoptée le 13 février 2014, concernant l'optique, dans les termes étudiés au présent article.
* * * * * * * * * * *
(1) Projet de loi n°3508, renforçant les droits, la protection et l'information des consommateurs, déposé le 1er juin 2011 et voir notre article « La vente en ligne de lunettes et lentilles de vue bientôt autorisée » (http://dwavocat.blogspot.fr/2011/10/la-vente-en-ligne-de-lunettes-et.html).
(2) Projet de loi relatif à la consommation, n°1015, déposé le 2 mai 2013 ; voir son article 17 quater du projet adopté, le 29 janvier 2014, par le Sénat, en 2e lecture.
(3) Voir les articles L.4211-4, L.4362-1 et s., L.4363-1 et s. du Code de la santé publique. Par ailleurs, les produits d’optique-lunetterie sont considérés comme des dispositifs médicaux, dont la commercialisation est régie par les articles L.5211-1 et R.5211-1 et s. du Code de la santé publique.
Betty SFEZ
Avocat
Deleporte Wentz Avocat
La vente de lunettes et lentilles de contact de vue est notamment soumise aux conditions suivantes :
- être titulaire d’un diplôme ou certificat professionnel : la vente est réservée aux opticiens-lunetiers diplômés ;
- ne pas démarcher les clients en porte-à-porte. Le colportage de verres correcteurs est donc interdit ;
- exiger la présentation d’une ordonnance en cas de délivrance de verres correcteurs à des mineurs de moins de 16 ans, au-delà de cet âge la prescription n’est pas obligatoire.
Compte tenu des conditions applicables à la vente de lunettes et lentilles de vue, il est actuellement difficile de vendre ces produits en ligne dans le respect de la loi en vigueur.
2. Un nouveau projet de réglementation spécifique à la vente en ligne de produits d’optique-lunetterie
Les nouvelles dispositions figurant dans le projet de loi relatif à la consommation sont proches de celles proposées en 2011.
- Les conditions de délivrance des lunettes et lentilles de vue
La délivrance de verres correcteurs et de lentilles de contact est réservée aux opticiens-lunetiers diplômés. Toutefois, concernant la vente en ligne, le texte prévoit que les vendeurs (“les prestataires concernés”) devront mettre à la disposition des internautes un opticien-lunetier apte à les conseiller. Toute personne pourra donc en principe exploiter un site web de vente de produits d'optique-lunetterie, à la condition toutefois de faire appel à un professionnel qualifié pour la fourniture d’informations et de conseils.
L'opticien (ou l’exploitant du site web) devra réclamer et vérifier l’existence d’une prescription médicale en cours de validité, quelque soit l'âge du client. L’ordonnance devra mentionner la valeur de l’écart pupillaire du patient.
En cas de délivrance de verres correcteurs de “puissance significative”, le site devra pouvoir faire une prise de mesure.
Enfin, le site devra mettre à disposition des internautes un professionnel qualifié, apte à répondre à toute demande d’informations et de conseils. La simple mise à disposition de fiches pratiques et informations en ligne ne sera pas suffisante.
Les modalités précises de la vente en ligne, à savoir, les conditions de transmission et de contrôle de validité de l’ordonnance, la prise des mesures, la délivrance de lentilles de contact aux primo-porteurs doivent être fixées par décret.
- Les sanctions en cas de non-respect des conditions de vente en ligne des lunettes et lentilles de vue
Le projet de loi condamne d'une amende de 3.750€ toute personne qui ne respecterait pas les conditions mentionnées ci-dessus, à savoir notamment la délivrance ou la vente à distance de produits d’optique-lunetterie sans vérifier l’existence d’une ordonnance en cours de validité ou sans mettre à la disposition du client un professionnel apte à les conseiller.
Une fois le texte définitif voté, il conviendrait que les décrets d’application soient rapidement adoptés afin que ce texte puisse être effectivement appliqué par les professionnels. Ainsi, les décrets d’application devront aiguiller les professionnels sur les modalités pratiques de communication des ordonnances par les internautes. Il en va de même concernant les modalités pratiques de la délivrance de conseils personnalisés au client à distance.
Il convient enfin de noter que sans attendre l’adoption d’un cadre légal adapté, plusieurs sites internet français se sont d’ores et déjà lancés dans l’activité de vente en ligne de lunettes et de lentilles de vue. Certains sites vendent des lunettes de vue sans conditions particulières, d’autres appliquent les règles posées dans le projet de loi de 2011, ou anticipent les règles qui devraient s’appliquer lorsque la loi Hamon sera votée. La clarification des conditions de vente en ligne de lunettes et lentilles de vue sera donc la bienvenue.
A suivre donc…
Nota: la loi sur la consommation a été adoptée le 13 février 2014, concernant l'optique, dans les termes étudiés au présent article.
* * * * * * * * * * *
(1) Projet de loi n°3508, renforçant les droits, la protection et l'information des consommateurs, déposé le 1er juin 2011 et voir notre article « La vente en ligne de lunettes et lentilles de vue bientôt autorisée » (http://dwavocat.blogspot.fr/2011/10/la-vente-en-ligne-de-lunettes-et.html).
(2) Projet de loi relatif à la consommation, n°1015, déposé le 2 mai 2013 ; voir son article 17 quater du projet adopté, le 29 janvier 2014, par le Sénat, en 2e lecture.
(3) Voir les articles L.4211-4, L.4362-1 et s., L.4363-1 et s. du Code de la santé publique. Par ailleurs, les produits d’optique-lunetterie sont considérés comme des dispositifs médicaux, dont la commercialisation est régie par les articles L.5211-1 et R.5211-1 et s. du Code de la santé publique.
Betty SFEZ
Avocat
Deleporte Wentz Avocat
www.deleporte-wentz-avocat.com
Février 2014
mardi 2 juillet 2013
E-pharmacie : les conditions de vente de médicaments sur internet enfin précisées
Les médicaments sont des produits particuliers et leur vente sur internet, bien que désormais autorisée avec l’ordonnance et le décret d’application de décembre 2012, reste très encadrée. (1)
Conformément à l’article L.5121-5 du Code de la santé publique, le gouvernement vient de publier l’arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique. Cet arrêté a pour objet de préciser les conditions et recommandations relatives aux sites de e-pharmacie (conception du site et exploitation) et à la vente des médicaments en ligne (présentation des produits et conditions de vente). Il doit entrer en vigueur le 12 juillet 2013. (2)
La mise en place de la réglementation relative à la vente de médicaments en ligne s’élabore cependant dans la douleur. En effet, à la suite de la publication des textes de décembre 2012, le Conseil d’Etat a rendu une ordonnance en référé le 14 février 2013 relative aux catégories de médicaments pouvant être vendus en ligne. La réglementation française se voulant plus restrictive que la directive européenne, le Conseil d’Etat a ordonné la suspension du nouvel article L.5125-4 du Code de la santé publique qui interdisait la vente en ligne non seulement aux médicaments soumis à prescription obligatoire, mais également à une partie des médicaments en vente libre. (3) Or, la vente en ligne devait être autorisée pour tous les médicaments vendus sans ordonnance. Par ailleurs, le premier projet d’arrêté, datant de février, avait fait l’objet d’un avis défavorable de la part de l’Autorité de la concurrence. En effet, ce projet comportait plusieurs mesures restrictives de concurrence, jugées non justifiées par des considérations de santé publique (notamment interdiction de vente, sur le même site, de médicaments et de produits de para-pharmacie, ou restrictions en matière de liberté des prix). (4)
L’arrêté du 20 juin 2013 a levé ces restrictions. Nous rappelons ci-après les principales dispositions de cet arrêté, à savoir les conditions spécifiques relatives à la conception et à l’exploitation d’un site de e-pharmacie, à l’exercice de l’activité de e-pharmacien et à la vente de médicaments en ligne.
1. La conception et l’exploitation du site de e-pharmacie
Afin de respecter les particularités liées à la profession de pharmacien (profession réglementée), et à la vente de médicaments (produits particuliers), le site de e-pharmacie doit respecter certaines obligations de nature technique et interdictions, en sus des règles généralement applicables à la création et à l’exploitation d’un site de commerce électronique.
- L’exploitation du site de e-pharmacie : l’ordonnance de décembre 2012 réserve l’exploitation des sites de e-pharmacie aux pharmaciens titulaires d’une officine. La création du site est soumise au dépôt d’une demande d’autorisation auprès du directeur général de l’Agence Régionale de Santé (DGARS) ainsi que l’information du Conseil de l’Ordre des pharmaciens. (5)
L’arrêté de juin 2013 fixe des règles supplémentaires devant être respectées par le pharmacien souhaitant se lancer dans le commerce de médicaments en ligne.
L’exploitation d’un site de e-pharmacie est soumise à certaines interdictions justifiées par le souci de préserver l’indépendance professionnelle du pharmacien, le secret professionnel, la communication d’informations neutres et objectives, conformément aux règles de déontologie décrites dans le Code de la santé publique.
Il est interdit au e-pharmacien :
- de faire financer la création et l'exploitation du site par une entreprise produisant ou commercialisant des produits de santé (laboratoire pharmaceutique),
- de sous-traiter à un tiers l'activité de vente par internet, à l'exception de la conception et de la maintenance techniques du site,
- de recourir à des techniques de référencement payant via des moteurs de recherche ou des comparateurs de prix.
Enfin, sont interdits les liens hypertextes vers les sites des entreprises pharmaceutiques et les forums de discussion.
- Le choix du nom de domaine : le e-pharmacien n’a pas une liberté totale de choix du nom de domaine pour sa pharmacie en ligne. L’arrêté “recommande” que l'adresse du site internet comprenne le nom du pharmacien, éventuellement accolé à celui de l'officine. Ainsi, le nom de domaine ne doit pas être fantaisiste, ni tromper le patient sur le contenu du site, ou avoir un objectif promotionnel.
En outre, le nom de domaine doit évidemment respecter la réglementation en vigueur et notamment les dispositions du Code des postes et communications électroniques.
- Les mentions légales obligatoires : le site de e-pharmacie doit comporter des informations relatives à l’identification de l’exploitant du site conformément aux règles énoncées dans la loi pour la confiance dans l’économie numérique (LCEN du 21 juin 2004), complétées par les informations spécifiques telles que le numéro Répertoire Partagé des Professionnels de Santé du pharmacien, le numéro de licence de la pharmacie. Le site doit également intégrer des liens hypertextes vers les sites internet de l'Ordre national des pharmaciens et du Ministère chargé de la santé (qui tiennent à jour une liste des sites internet de pharmacies autorisés) et celui de l'Agence nationale de sécurité du médicament et des produits de santé.
- Le contenu du site de e-pharmacie : Le site n’est pas limité à la seule vente de médicaments. Le e-pharmacien pourra ainsi proposer à la vente en ligne toutes les autres gammes de produits vendues dans son officine, notamment les produits de para-pharmacie, de soin ou vétérinaires par exemple.
Le site devra cependant comporter un onglet spécifique à la vente de médicaments, afin de distinguer clairement les médicaments des autres produits vendus par le e-pharmacien.
Un espace privé pour chaque client-patient doit pouvoir être créé. Ce compte personnel du client récapitulera l’intégralité des commandes et des échanges avec le pharmacien.
2. L’exercice de l'activité d’e-pharmacien
L’activité de e-pharmacien s’exerce dans le prolongement de celle de pharmacien. Ainsi, comme mentionné ci-dessus, le pharmacien qui exploite un site de vente en ligne reste soumis à la réglementation prévue au Code de la santé publique, qui vient s’ajouter à celle relative au commerce électronique.
L’arrêté de juin 2013 prévoit plusieurs obligations spécifiques à la charge du e-pharmacien.
- La prolongation de l’obligation d’information et de conseil du patient, en ligne : la vente de médicaments en ligne est soumise à la possibilité d’établir un échange interactif et personnalisé entre le pharmacien et le patient avant la validation de la commande. Les réponses automatisées aux questions des patients ne permettent pas d’assurer une information pertinente et un conseil adapté aux besoins du patient.
Le e-pharmacien doit s'assurer de l'adéquation de la commande à l'état de santé du patient. Pour ce faire, le site de e-pharmacie doit intégrer les éléments suivants :
- un questionnaire à remplir obligatoirement par le patient avant la validation de sa première commande en ligne. Ce questionnaire, dans lequel le patient renseigne son âge, son poids, etc. est validé par le e-pharmacien avant la validation de la commande ;
- un dispositif technique, sécurisé et assurant la confidentialité des échanges, permettant le dialogue entre le pharmacien et le patient, par email ou tchat.
Outre le conseil et l'information au stade de la commande, le patient doit pouvoir poser des questions complémentaires au e-pharmacien, qui a l'obligation d'y répondre, via email ou tchat. Tous les échanges entre le e-pharmacien et le patient sont tracés, chiffrés et archivés.
- Le contrôle pharmaceutique : le contrôle de la quantité de médicaments à délivrer au patient est réalisé par le pharmacien. Un dispositif de blocage des commandes doit être mis en place sur le site pour éviter le dépassement de la quantité maximale autorisée. Une quantité minimale d'achat ne peut être exigée et le patient doit pouvoir ne commander qu'une seule boîte d'un médicament. Le e-pharmacien assure personnellement la délivrance et contrôle que le médicament qu'il délivre est bien celui commandé.
- La protection des données personnelles des patients : les données de santé sont des données considérées comme sensibles, faisant l'objet d'une protection renforcée. En qualité de responsable du traitement, le e-pharmacien est soumis aux dispositions de la loi Informatique et Libertés du 6 janvier 1978.
3. Les conditions de vente en ligne des médicaments
Hormis les règles généralement applicables à la vente en ligne, l’arrêté prévoit des conditions spécifiques additionnelles pour la vente de médicaments en ligne.
- Catégorie de médicaments autorisés à la vente en ligne : l’arrêté du juin 2013 confirme la catégorie de médicaments pouvant être vendus sur internet, à savoir les médicaments “de médication officinale qui peuvent être présentés en accès direct au public en officine, ayant obtenu l'autorisation de mise sur le marché (…)”. Les médicaments soumis à prescription obligatoire restent exclus de la vente sur internet.
- La présentation des produits en ligne : les conditions de présentation des médicaments sont strictement encadrées, de manière à rester neutres, claires, non trompeuses et informatives. L’arrêté précise ainsi les informations devant figurer sur les fiches produits, telles que les dénominations de fantaisie et commune du médicament, les indications thérapeutiques de l'autorisation de mise sur le marché, etc. ainsi que la manière de classer les médicaments (par catégorie générale d'indication - douleurs, fièvre, nausées, toux… - puis de substances actives).
- Les prix : l'affichage du prix doit être visuellement identique pour chaque médicament afin d'éviter toute promotion ou mise en avant d'un médicament par rapport à un autre. Les frais de livraison sont en sus et précisés au moment de la commande.
- Les conditions de vente des médicaments : la vente de médicaments est soumise à des conditions spécifiques.
- L’âge minimum du client : la vente de médicaments en ligne est réservée aux personnes ayant au moins 16 ans.
- Les conditions générales de vente : la vente des médicaments en ligne est soumise à des conditions générales de vente (CGV). Les CGV doivent avoir été effectivement acceptées par le client-patient avant la conclusion de la commande, ou au plus tard avant le paiement. Ces conditions sont clairement présentées et facilement accessibles pour le patient.
Il est à préciser que le consommateur qui achète des médicaments en ligne ne bénéficie pas du droit de rétractation. L'absence du droit de rétractation doit être indiquée de manière claire dans les CGV et rappelée avant la validation de la commande.
- La préparation de la commande et la livraison : les délais de traitement de la commande et de livraison sont précisés au patient. La préparation des commandes ne peut se faire qu'au sein de l'officine, dans un espace adapté à cet effet.
Le médicament est envoyé dans un paquet scellé par l'officine de pharmacie, sous la responsabilité du pharmacien. Le patient peut également se déplacer à l'officine pour prendre livraison de la commande.
- Les réclamations : en cas d'erreur de délivrance (erreur de produit ou produit détérioré), le e-pharmacien doit rembourser le patient selon les modalités décrites dans les CGV.
Ainsi, les sites de e-pharmacie peuvent proposer à la vente, non seulement les médicaments non soumis à ordonnance, mais également les autres produits proposés dans l’officine. Le site internet de e-pharmacie devient ainsi le prolongement virtuel d’une officine de pharmacie.
La e-pharmacie est cependant très encadrée depuis la conception du site web jusqu’aux conditions de vente. Aussi, avant de se lancer dans la vente de médicaments en ligne, il est recommandé aux e-pharmaciens de s’assurer de la conformité du site et des modalités de vente aux règles mentionnées ci-dessus ainsi qu’aux règles propres au commerce électronique, sans oublier les règles professionnelles et déontologiques inscrites dans le Code de la santé publique. * * * * * * * * * * * * *
(1) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments ; Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
(2) Arrêté n°AFSP1313848A du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique.
(3) Ordonnance du Conseil d’Etat n°365459 du 14 février 2013
(4) Avis de l’Autorité de la concurrence n°13-A-12 du 10 avril 2013 relatif à un projet d’arrêté de la ministre des affaires sociales et de la santé relatif aux bonnes pratiques de dispensation des médicaments par voie électronique
(5) Voir notre article “La nouvelle réglementation française sur la vente de médicaments sur internet”, publié sur notre Blog le 14 janvier 2013 (http://dwavocat.blogspot.fr/2013/01/la-nouvelle-reglementation-francaise.html).
Article publié sur le Journal du Net le 3/07/2013
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013
Conformément à l’article L.5121-5 du Code de la santé publique, le gouvernement vient de publier l’arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique. Cet arrêté a pour objet de préciser les conditions et recommandations relatives aux sites de e-pharmacie (conception du site et exploitation) et à la vente des médicaments en ligne (présentation des produits et conditions de vente). Il doit entrer en vigueur le 12 juillet 2013. (2)
La mise en place de la réglementation relative à la vente de médicaments en ligne s’élabore cependant dans la douleur. En effet, à la suite de la publication des textes de décembre 2012, le Conseil d’Etat a rendu une ordonnance en référé le 14 février 2013 relative aux catégories de médicaments pouvant être vendus en ligne. La réglementation française se voulant plus restrictive que la directive européenne, le Conseil d’Etat a ordonné la suspension du nouvel article L.5125-4 du Code de la santé publique qui interdisait la vente en ligne non seulement aux médicaments soumis à prescription obligatoire, mais également à une partie des médicaments en vente libre. (3) Or, la vente en ligne devait être autorisée pour tous les médicaments vendus sans ordonnance. Par ailleurs, le premier projet d’arrêté, datant de février, avait fait l’objet d’un avis défavorable de la part de l’Autorité de la concurrence. En effet, ce projet comportait plusieurs mesures restrictives de concurrence, jugées non justifiées par des considérations de santé publique (notamment interdiction de vente, sur le même site, de médicaments et de produits de para-pharmacie, ou restrictions en matière de liberté des prix). (4)
L’arrêté du 20 juin 2013 a levé ces restrictions. Nous rappelons ci-après les principales dispositions de cet arrêté, à savoir les conditions spécifiques relatives à la conception et à l’exploitation d’un site de e-pharmacie, à l’exercice de l’activité de e-pharmacien et à la vente de médicaments en ligne.
1. La conception et l’exploitation du site de e-pharmacie
Afin de respecter les particularités liées à la profession de pharmacien (profession réglementée), et à la vente de médicaments (produits particuliers), le site de e-pharmacie doit respecter certaines obligations de nature technique et interdictions, en sus des règles généralement applicables à la création et à l’exploitation d’un site de commerce électronique.
- L’exploitation du site de e-pharmacie : l’ordonnance de décembre 2012 réserve l’exploitation des sites de e-pharmacie aux pharmaciens titulaires d’une officine. La création du site est soumise au dépôt d’une demande d’autorisation auprès du directeur général de l’Agence Régionale de Santé (DGARS) ainsi que l’information du Conseil de l’Ordre des pharmaciens. (5)
L’arrêté de juin 2013 fixe des règles supplémentaires devant être respectées par le pharmacien souhaitant se lancer dans le commerce de médicaments en ligne.
L’exploitation d’un site de e-pharmacie est soumise à certaines interdictions justifiées par le souci de préserver l’indépendance professionnelle du pharmacien, le secret professionnel, la communication d’informations neutres et objectives, conformément aux règles de déontologie décrites dans le Code de la santé publique.
Il est interdit au e-pharmacien :
- de faire financer la création et l'exploitation du site par une entreprise produisant ou commercialisant des produits de santé (laboratoire pharmaceutique),
- de sous-traiter à un tiers l'activité de vente par internet, à l'exception de la conception et de la maintenance techniques du site,
- de recourir à des techniques de référencement payant via des moteurs de recherche ou des comparateurs de prix.
Enfin, sont interdits les liens hypertextes vers les sites des entreprises pharmaceutiques et les forums de discussion.
- Le choix du nom de domaine : le e-pharmacien n’a pas une liberté totale de choix du nom de domaine pour sa pharmacie en ligne. L’arrêté “recommande” que l'adresse du site internet comprenne le nom du pharmacien, éventuellement accolé à celui de l'officine. Ainsi, le nom de domaine ne doit pas être fantaisiste, ni tromper le patient sur le contenu du site, ou avoir un objectif promotionnel.
En outre, le nom de domaine doit évidemment respecter la réglementation en vigueur et notamment les dispositions du Code des postes et communications électroniques.
- Les mentions légales obligatoires : le site de e-pharmacie doit comporter des informations relatives à l’identification de l’exploitant du site conformément aux règles énoncées dans la loi pour la confiance dans l’économie numérique (LCEN du 21 juin 2004), complétées par les informations spécifiques telles que le numéro Répertoire Partagé des Professionnels de Santé du pharmacien, le numéro de licence de la pharmacie. Le site doit également intégrer des liens hypertextes vers les sites internet de l'Ordre national des pharmaciens et du Ministère chargé de la santé (qui tiennent à jour une liste des sites internet de pharmacies autorisés) et celui de l'Agence nationale de sécurité du médicament et des produits de santé.
- Le contenu du site de e-pharmacie : Le site n’est pas limité à la seule vente de médicaments. Le e-pharmacien pourra ainsi proposer à la vente en ligne toutes les autres gammes de produits vendues dans son officine, notamment les produits de para-pharmacie, de soin ou vétérinaires par exemple.
Le site devra cependant comporter un onglet spécifique à la vente de médicaments, afin de distinguer clairement les médicaments des autres produits vendus par le e-pharmacien.
Un espace privé pour chaque client-patient doit pouvoir être créé. Ce compte personnel du client récapitulera l’intégralité des commandes et des échanges avec le pharmacien.
2. L’exercice de l'activité d’e-pharmacien
L’activité de e-pharmacien s’exerce dans le prolongement de celle de pharmacien. Ainsi, comme mentionné ci-dessus, le pharmacien qui exploite un site de vente en ligne reste soumis à la réglementation prévue au Code de la santé publique, qui vient s’ajouter à celle relative au commerce électronique.
L’arrêté de juin 2013 prévoit plusieurs obligations spécifiques à la charge du e-pharmacien.
- La prolongation de l’obligation d’information et de conseil du patient, en ligne : la vente de médicaments en ligne est soumise à la possibilité d’établir un échange interactif et personnalisé entre le pharmacien et le patient avant la validation de la commande. Les réponses automatisées aux questions des patients ne permettent pas d’assurer une information pertinente et un conseil adapté aux besoins du patient.
Le e-pharmacien doit s'assurer de l'adéquation de la commande à l'état de santé du patient. Pour ce faire, le site de e-pharmacie doit intégrer les éléments suivants :
- un questionnaire à remplir obligatoirement par le patient avant la validation de sa première commande en ligne. Ce questionnaire, dans lequel le patient renseigne son âge, son poids, etc. est validé par le e-pharmacien avant la validation de la commande ;
- un dispositif technique, sécurisé et assurant la confidentialité des échanges, permettant le dialogue entre le pharmacien et le patient, par email ou tchat.
Outre le conseil et l'information au stade de la commande, le patient doit pouvoir poser des questions complémentaires au e-pharmacien, qui a l'obligation d'y répondre, via email ou tchat. Tous les échanges entre le e-pharmacien et le patient sont tracés, chiffrés et archivés.
- Le contrôle pharmaceutique : le contrôle de la quantité de médicaments à délivrer au patient est réalisé par le pharmacien. Un dispositif de blocage des commandes doit être mis en place sur le site pour éviter le dépassement de la quantité maximale autorisée. Une quantité minimale d'achat ne peut être exigée et le patient doit pouvoir ne commander qu'une seule boîte d'un médicament. Le e-pharmacien assure personnellement la délivrance et contrôle que le médicament qu'il délivre est bien celui commandé.
- La protection des données personnelles des patients : les données de santé sont des données considérées comme sensibles, faisant l'objet d'une protection renforcée. En qualité de responsable du traitement, le e-pharmacien est soumis aux dispositions de la loi Informatique et Libertés du 6 janvier 1978.
3. Les conditions de vente en ligne des médicaments
Hormis les règles généralement applicables à la vente en ligne, l’arrêté prévoit des conditions spécifiques additionnelles pour la vente de médicaments en ligne.
- Catégorie de médicaments autorisés à la vente en ligne : l’arrêté du juin 2013 confirme la catégorie de médicaments pouvant être vendus sur internet, à savoir les médicaments “de médication officinale qui peuvent être présentés en accès direct au public en officine, ayant obtenu l'autorisation de mise sur le marché (…)”. Les médicaments soumis à prescription obligatoire restent exclus de la vente sur internet.
- La présentation des produits en ligne : les conditions de présentation des médicaments sont strictement encadrées, de manière à rester neutres, claires, non trompeuses et informatives. L’arrêté précise ainsi les informations devant figurer sur les fiches produits, telles que les dénominations de fantaisie et commune du médicament, les indications thérapeutiques de l'autorisation de mise sur le marché, etc. ainsi que la manière de classer les médicaments (par catégorie générale d'indication - douleurs, fièvre, nausées, toux… - puis de substances actives).
- Les prix : l'affichage du prix doit être visuellement identique pour chaque médicament afin d'éviter toute promotion ou mise en avant d'un médicament par rapport à un autre. Les frais de livraison sont en sus et précisés au moment de la commande.
- Les conditions de vente des médicaments : la vente de médicaments est soumise à des conditions spécifiques.
- L’âge minimum du client : la vente de médicaments en ligne est réservée aux personnes ayant au moins 16 ans.
- Les conditions générales de vente : la vente des médicaments en ligne est soumise à des conditions générales de vente (CGV). Les CGV doivent avoir été effectivement acceptées par le client-patient avant la conclusion de la commande, ou au plus tard avant le paiement. Ces conditions sont clairement présentées et facilement accessibles pour le patient.
Il est à préciser que le consommateur qui achète des médicaments en ligne ne bénéficie pas du droit de rétractation. L'absence du droit de rétractation doit être indiquée de manière claire dans les CGV et rappelée avant la validation de la commande.
- La préparation de la commande et la livraison : les délais de traitement de la commande et de livraison sont précisés au patient. La préparation des commandes ne peut se faire qu'au sein de l'officine, dans un espace adapté à cet effet.
Le médicament est envoyé dans un paquet scellé par l'officine de pharmacie, sous la responsabilité du pharmacien. Le patient peut également se déplacer à l'officine pour prendre livraison de la commande.
- Les réclamations : en cas d'erreur de délivrance (erreur de produit ou produit détérioré), le e-pharmacien doit rembourser le patient selon les modalités décrites dans les CGV.
Ainsi, les sites de e-pharmacie peuvent proposer à la vente, non seulement les médicaments non soumis à ordonnance, mais également les autres produits proposés dans l’officine. Le site internet de e-pharmacie devient ainsi le prolongement virtuel d’une officine de pharmacie.
La e-pharmacie est cependant très encadrée depuis la conception du site web jusqu’aux conditions de vente. Aussi, avant de se lancer dans la vente de médicaments en ligne, il est recommandé aux e-pharmaciens de s’assurer de la conformité du site et des modalités de vente aux règles mentionnées ci-dessus ainsi qu’aux règles propres au commerce électronique, sans oublier les règles professionnelles et déontologiques inscrites dans le Code de la santé publique. * * * * * * * * * * * * *
(1) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments ; Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
(2) Arrêté n°AFSP1313848A du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique.
(3) Ordonnance du Conseil d’Etat n°365459 du 14 février 2013
(4) Avis de l’Autorité de la concurrence n°13-A-12 du 10 avril 2013 relatif à un projet d’arrêté de la ministre des affaires sociales et de la santé relatif aux bonnes pratiques de dispensation des médicaments par voie électronique
(5) Voir notre article “La nouvelle réglementation française sur la vente de médicaments sur internet”, publié sur notre Blog le 14 janvier 2013 (http://dwavocat.blogspot.fr/2013/01/la-nouvelle-reglementation-francaise.html).
Article publié sur le Journal du Net le 3/07/2013
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013
lundi 14 janvier 2013
La nouvelle réglementation française sur la vente de médicaments sur internet
Bien que jusqu'à présent le Code de la santé publique (CSP) n’interdisait pas expressément la vente de médicaments en ligne, ce mode de distribution n’était pas pour autant autorisé dans la mesure où les dispositions légales ne permettaient pas en pratique d’utiliser ce canal de vente en France.
Suite à l'adoption de la directive européenne du 8 juin 2011 autorisant la vente de médicaments sur internet, la plupart des pays voisins de la France avaient adopté une législation en la matière, autorisant la vente de médicaments sans et/ou avec prescription, et s'appuyant ou non sur une officine physique.
La vente de médicaments sur internet est désormais prévue par la loi depuis fin décembre 2012, avec la publication de l’ordonnance du 19 décembre 2012 et du décret du 31 décembre.
1. Le cheminement vers l'adoption d'un cadre légal, sous la pression de l'Union européenne
L’encadrement de la vente de médicaments par internet est l’aboutissement d’un long processus, démarré avec l’arrêt DocMorris de la CJCE en 2003 pour arriver à la Directive du 8 juin 2011.
1.1 La reconnaissance de la validité de la vente des médicaments sur internet : l’arrêt DocMorris
Le 11 décembre 2003, la Cour de Justice des Communautés européennes (CJCE) a rendu une décision reconnaissant le droit de vendre des médicaments sur internet. (1) Cette affaire opposait une association allemande (DAV) ayant pour but la défense des intérêts de la profession de pharmacien, à la société néerlandaise DocMorris qui pratiquait la vente de médicaments en officine traditionnelle aux Pays-Bas mais également sur internet. Le site internet était traduit en allemand et offrait la possibilité d'être livré en médicaments, soumis ou non à prescription médicale, en Allemagne. Or, la législation allemande interdisait la vente à distance de médicaments, dont la délivrance était réservée exclusivement aux pharmaciens, et qualifiait d'illégale toute publicité pour la vente de médicaments par correspondance.
Interrogée sur la validité de la réglementation allemande, la CJCE a jugé qu'une telle interdiction constituait une restriction à la libre circulation des marchandises. Cependant, la Cour a distingué entre médicaments soumis à prescription médicale, considérant qu'une telle restriction de vente était justifiée par la nécessité de protéger la santé et la vie des personnes, et les médicaments non soumis à prescription médicale.
Concernant les médicaments non soumis à prescription médicale, la CJCE estime que l’interdiction de vente à distance n'est pas justifiée, dans la mesure où rien ne permet de considérer que les pharmacies virtuelles ne permettent pas de satisfaire aux obligations d'information et de conseil lors de l'achat de ces médicaments.
1.2 La résolution du Conseil de l’Europe sur les bonnes pratiques à adopter en en matière de distribution de médicaments par correspondance
Partant du constat que de plus en plus d’États membres de l’Union européenne autorisaient la vente de médicaments à distance, et que les patients, désireux d’obtenir facilement et rapidement les médicaments dont ils ont besoin, devaient pouvoir le faire en toute confiance, le Conseil de l’Europe a adopté en 2007 une résolution recommandant aux Etats membres d'adopter des normes garantissant la sûreté de la vente de médicaments à distance, la sécurité du patient et la qualité des médicaments délivrés. (2)
1.3 Dernière étape : la directive du 8 juin 2011 autorisant la vente de médicament sur Internet
La Directive du 8 juin 2011 impose aux Etats membres de permettre la vente à distance au public de médicaments, tout en leur laissant la possibilité d’interdire la vente à distance pour les médicaments soumis à prescription. (3) La Directive prévoit notamment que la vente de médicaments sur internet est réservée (i) aux personnes autorisées ou habilitées, en conformité avec la législation de l’Etat membre dans lequel elles sont établies, et (ii) aux médicaments respectant la législation nationale de l'Etat membre de destination.
En outre, pour aider le grand public à identifier les sites internet mettant légalement en vente des médicaments, la directive prévoit la création d’un logo commun à l’ensemble de l’Union européenne renseignant, en outre, sur l’Etat membre dans lequel est établi le pharmacien.
Enfin, les Etats membres doivent mettre en place un site internet comportant notamment la liste des pharmaciens et des sites web proposant des médicaments en ligne, et des informations générales sur les risques liés aux médicaments fournis illégalement au public.
La directive devait être transposée dans les droits des Etats membres avant le 2 janvier 2013. La France s’est mise en conformité en décembre 2012.
2. Le nouveau cadre juridique de la vente de médicaments par internet
Par ordonnance et décret publiés fin décembre 2012, modifiant le Code de la santé publique, le gouvernement vient d'encadrer la vente de médicaments en ligne. (4)
La vente de médicaments en ligne est ainsi soumise à des conditions spécifiques, édictées par la nouvelle réglementation applicable. S’agissant de vente à distance, les règles relatives au commerce électronique s’appliquent également à la vente de médicament sur internet.
2.1 Les principales conditions de la vente en ligne de médicaments
La vente en ligne de médicaments est soumise aux conditions suivantes :
- La création d'un site web destiné à la vente de médicaments est réservée aux pharmaciens titulaires d'une officine (et aux pharmaciens gérants de pharmacies mutualistes ou de secours minière). Les pharmaciens adjoints, ayant reçu délégation du pharmacien d'officine, peuvent participer à l'exploitation du site internet de l'officine de pharmacie. Enfin, les pharmaciens remplaçants de titulaires d'officine, ou gérants d'officine après décès du titulaire, peuvent poursuivre l’exploitation du site de l'officine, créé antérieurement.
- Seuls les médicaments pouvant être présentés "en accès direct" au public en officine (médicaments “OTC” ou “over the counter”) ayant obtenu une autorisation de mise sur le marché peuvent être proposés à la vente en ligne. A contrario, l’interdiction de vente en ligne est maintenue pour les médicaments délivrés sur ordonnance.
- La création d'un site internet est soumise au dépôt d’une demande d'autorisation auprès du directeur général de l'Agence Régionale de Santé (DGARS) dans le ressort duquel est située l'officine.
- Dans les 15 jours suivant la date d'autorisation du DGARS, le pharmacien doit informer le Conseil de l'Ordre dont il relève, de la création du site internet. L'Ordre national des pharmaciens tiendra à jour une liste des sites internet autorisés et la mettra à la disposition du public sur son site web.
- Dans un souci de sécurité et d’information du public, la nouvelle réglementation prévoit que le site internet doit intégrer les coordonnées de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM, successeur de l’Afssaps), un lien hypertexte vers le site de l'Ordre national des pharmaciens et du Ministère chargé de la santé, ainsi que le logo communautaire, qui devra être affiché sur chaque page du site internet.
- Enfin, la nouvelle réglementation prévoit que toute commande livrée en dehors de l'officine ne peut être remise qu'en paquet opaque et scellé portant le nom et l'adresse de l'acheteur, de telle sorte que le destinataire puisse s'assurer qu'il n'a pu être ouvert par un tiers. En outre, il incombe au pharmacien de veiller à ce que les conditions de transport soient compatibles avec la bonne conservation des médicaments et que toutes explications et recommandations soient mises à la disposition du patient.
2.2 Le nécessaire respect des règles de la vente à distance
A ces règles spécifiques s’ajoutent les règles du commerce électronique, telles que prévues notamment par la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, les règles en matière de protection du consommateur et de la santé publique, ainsi que les règles relatives à la protection des données personnelles ou à la publicité.
- L’information du consommateur : ainsi, bien que non rappelé par la nouvelle réglementation, les sites de vente de médicaments devront contenir, outre les informations relatives aux mises en garde en matière de consommation de médicaments, les informations légales en matière de vente à distance aux consommateurs. Ces règles imposent notamment que l'exploitant d'un site internet s'identifie clairement auprès des internautes et que les caractéristiques essentielles des produits mis en vente, leur prix, leurs conditions de vente et de livraison soient précisés.
- La conclusion du contrat de vente en ligne : la loi ne prévoit pas de conditions spécifiques à la commande de médicaments sur internet. Il appartiendra cependant au pharmacien de respecter les règles relatives à la vente à distance prévues par le Code civil et le Code de la consommation. Ces règles prévoient notamment que pour passer commande, l'internaute doit avoir pris connaissance et effectivement accepté les conditions générales de vente.
- Les règles relatives à la publicité : en matière de vente de médicaments en ligne, il appartiendra aux pharmaciens d'être vigilants en matière de prospection commerciale et d'e-mailing. En effet, conformément aux articles L.5125-25 et R.5125-28 CSP, il leur est interdit de solliciter des commandes auprès du public et d'avoir recours à des moyens de fidélisation de la clientèle.
- Le régime de responsabilité applicable au pharmacien en ligne : le pharmacien est responsable du contenu du site internet qu'il édite et des conditions dans lesquelles est exercée l'activité de commerce électronique de médicaments. En cas de manquement aux règles précitées et aux "bonnes pratiques de dispensation" définies par l'ANSM, le DGARS territorialement compétent peut mettre le pharmacien fautif en demeure de se conformer à ses prescriptions. A défaut de mise en conformité, le DGARS peut prononcer (i) la fermeture temporaire du site internet, pour une durée maximale de 5 mois et/ou (ii) une amende dont le montant ne peut être supérieur à 30% du chiffre d'affaires réalisé par la pharmacie dans le cadre de l'activité de commerce électronique, dans la limite d'un million d'euros.
La transposition des dispositions de la directive européenne en droit français fournit désormais un cadre légal à la vente de médicaments OTC en ligne. Cette nouvelle réglementation est cependant vivement critiquée par l'Ordre des pharmaciens qui s’est prononcé via un communiqué, dès le 20 décembre 2012.
Mettant en avant la priorité d’assurer la sécurité du patient, l’Ordre des pharmaciens rappelle notamment que le médicament n’est pas un bien de consommation ordinaire, rien ne pouvant remplacer les conseils dispensés en officine.
Cependant, d’une part, seuls les médicaments OTC peuvent être vendus en ligne. D’autre part, rien n’empêche le site d’intégrer un service de prise de contact avec un pharmacien pour se faire dispenser les conseils nécessaires.
* * * * * * * * * * * *
(1) CJCE, 11 décembre 2003, Aff. C-322/01, Deutscher Apothekerverband EV / 0800 DocMorris NV et Jacques Waterval.
(2) Résolution ResAP(2007)2 sur les bonnes pratiques en matière de distribution de médicaments par correspondance, visant à protéger la sécurité des patients et la qualité des médicaments délivrés.
(3) Directive n°2011/62/UE du Parlement européen et du Conseil du 8 juin 2011 modifiant la directive n°2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain, en ce qui concerne la prévention de l’introduction dans la chaîne d’approvisionnement légale de médicaments falsifiés
(4) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments. Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
Suite à l'adoption de la directive européenne du 8 juin 2011 autorisant la vente de médicaments sur internet, la plupart des pays voisins de la France avaient adopté une législation en la matière, autorisant la vente de médicaments sans et/ou avec prescription, et s'appuyant ou non sur une officine physique.
La vente de médicaments sur internet est désormais prévue par la loi depuis fin décembre 2012, avec la publication de l’ordonnance du 19 décembre 2012 et du décret du 31 décembre.
1. Le cheminement vers l'adoption d'un cadre légal, sous la pression de l'Union européenne
L’encadrement de la vente de médicaments par internet est l’aboutissement d’un long processus, démarré avec l’arrêt DocMorris de la CJCE en 2003 pour arriver à la Directive du 8 juin 2011.
1.1 La reconnaissance de la validité de la vente des médicaments sur internet : l’arrêt DocMorris
Le 11 décembre 2003, la Cour de Justice des Communautés européennes (CJCE) a rendu une décision reconnaissant le droit de vendre des médicaments sur internet. (1) Cette affaire opposait une association allemande (DAV) ayant pour but la défense des intérêts de la profession de pharmacien, à la société néerlandaise DocMorris qui pratiquait la vente de médicaments en officine traditionnelle aux Pays-Bas mais également sur internet. Le site internet était traduit en allemand et offrait la possibilité d'être livré en médicaments, soumis ou non à prescription médicale, en Allemagne. Or, la législation allemande interdisait la vente à distance de médicaments, dont la délivrance était réservée exclusivement aux pharmaciens, et qualifiait d'illégale toute publicité pour la vente de médicaments par correspondance.
Interrogée sur la validité de la réglementation allemande, la CJCE a jugé qu'une telle interdiction constituait une restriction à la libre circulation des marchandises. Cependant, la Cour a distingué entre médicaments soumis à prescription médicale, considérant qu'une telle restriction de vente était justifiée par la nécessité de protéger la santé et la vie des personnes, et les médicaments non soumis à prescription médicale.
Concernant les médicaments non soumis à prescription médicale, la CJCE estime que l’interdiction de vente à distance n'est pas justifiée, dans la mesure où rien ne permet de considérer que les pharmacies virtuelles ne permettent pas de satisfaire aux obligations d'information et de conseil lors de l'achat de ces médicaments.
1.2 La résolution du Conseil de l’Europe sur les bonnes pratiques à adopter en en matière de distribution de médicaments par correspondance
Partant du constat que de plus en plus d’États membres de l’Union européenne autorisaient la vente de médicaments à distance, et que les patients, désireux d’obtenir facilement et rapidement les médicaments dont ils ont besoin, devaient pouvoir le faire en toute confiance, le Conseil de l’Europe a adopté en 2007 une résolution recommandant aux Etats membres d'adopter des normes garantissant la sûreté de la vente de médicaments à distance, la sécurité du patient et la qualité des médicaments délivrés. (2)
1.3 Dernière étape : la directive du 8 juin 2011 autorisant la vente de médicament sur Internet
La Directive du 8 juin 2011 impose aux Etats membres de permettre la vente à distance au public de médicaments, tout en leur laissant la possibilité d’interdire la vente à distance pour les médicaments soumis à prescription. (3) La Directive prévoit notamment que la vente de médicaments sur internet est réservée (i) aux personnes autorisées ou habilitées, en conformité avec la législation de l’Etat membre dans lequel elles sont établies, et (ii) aux médicaments respectant la législation nationale de l'Etat membre de destination.
En outre, pour aider le grand public à identifier les sites internet mettant légalement en vente des médicaments, la directive prévoit la création d’un logo commun à l’ensemble de l’Union européenne renseignant, en outre, sur l’Etat membre dans lequel est établi le pharmacien.
Enfin, les Etats membres doivent mettre en place un site internet comportant notamment la liste des pharmaciens et des sites web proposant des médicaments en ligne, et des informations générales sur les risques liés aux médicaments fournis illégalement au public.
La directive devait être transposée dans les droits des Etats membres avant le 2 janvier 2013. La France s’est mise en conformité en décembre 2012.
2. Le nouveau cadre juridique de la vente de médicaments par internet
Par ordonnance et décret publiés fin décembre 2012, modifiant le Code de la santé publique, le gouvernement vient d'encadrer la vente de médicaments en ligne. (4)
La vente de médicaments en ligne est ainsi soumise à des conditions spécifiques, édictées par la nouvelle réglementation applicable. S’agissant de vente à distance, les règles relatives au commerce électronique s’appliquent également à la vente de médicament sur internet.
2.1 Les principales conditions de la vente en ligne de médicaments
La vente en ligne de médicaments est soumise aux conditions suivantes :
- La création d'un site web destiné à la vente de médicaments est réservée aux pharmaciens titulaires d'une officine (et aux pharmaciens gérants de pharmacies mutualistes ou de secours minière). Les pharmaciens adjoints, ayant reçu délégation du pharmacien d'officine, peuvent participer à l'exploitation du site internet de l'officine de pharmacie. Enfin, les pharmaciens remplaçants de titulaires d'officine, ou gérants d'officine après décès du titulaire, peuvent poursuivre l’exploitation du site de l'officine, créé antérieurement.
- Seuls les médicaments pouvant être présentés "en accès direct" au public en officine (médicaments “OTC” ou “over the counter”) ayant obtenu une autorisation de mise sur le marché peuvent être proposés à la vente en ligne. A contrario, l’interdiction de vente en ligne est maintenue pour les médicaments délivrés sur ordonnance.
- La création d'un site internet est soumise au dépôt d’une demande d'autorisation auprès du directeur général de l'Agence Régionale de Santé (DGARS) dans le ressort duquel est située l'officine.
- Dans les 15 jours suivant la date d'autorisation du DGARS, le pharmacien doit informer le Conseil de l'Ordre dont il relève, de la création du site internet. L'Ordre national des pharmaciens tiendra à jour une liste des sites internet autorisés et la mettra à la disposition du public sur son site web.
- Dans un souci de sécurité et d’information du public, la nouvelle réglementation prévoit que le site internet doit intégrer les coordonnées de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM, successeur de l’Afssaps), un lien hypertexte vers le site de l'Ordre national des pharmaciens et du Ministère chargé de la santé, ainsi que le logo communautaire, qui devra être affiché sur chaque page du site internet.
- Enfin, la nouvelle réglementation prévoit que toute commande livrée en dehors de l'officine ne peut être remise qu'en paquet opaque et scellé portant le nom et l'adresse de l'acheteur, de telle sorte que le destinataire puisse s'assurer qu'il n'a pu être ouvert par un tiers. En outre, il incombe au pharmacien de veiller à ce que les conditions de transport soient compatibles avec la bonne conservation des médicaments et que toutes explications et recommandations soient mises à la disposition du patient.
2.2 Le nécessaire respect des règles de la vente à distance
A ces règles spécifiques s’ajoutent les règles du commerce électronique, telles que prévues notamment par la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, les règles en matière de protection du consommateur et de la santé publique, ainsi que les règles relatives à la protection des données personnelles ou à la publicité.
- L’information du consommateur : ainsi, bien que non rappelé par la nouvelle réglementation, les sites de vente de médicaments devront contenir, outre les informations relatives aux mises en garde en matière de consommation de médicaments, les informations légales en matière de vente à distance aux consommateurs. Ces règles imposent notamment que l'exploitant d'un site internet s'identifie clairement auprès des internautes et que les caractéristiques essentielles des produits mis en vente, leur prix, leurs conditions de vente et de livraison soient précisés.
- La conclusion du contrat de vente en ligne : la loi ne prévoit pas de conditions spécifiques à la commande de médicaments sur internet. Il appartiendra cependant au pharmacien de respecter les règles relatives à la vente à distance prévues par le Code civil et le Code de la consommation. Ces règles prévoient notamment que pour passer commande, l'internaute doit avoir pris connaissance et effectivement accepté les conditions générales de vente.
- Les règles relatives à la publicité : en matière de vente de médicaments en ligne, il appartiendra aux pharmaciens d'être vigilants en matière de prospection commerciale et d'e-mailing. En effet, conformément aux articles L.5125-25 et R.5125-28 CSP, il leur est interdit de solliciter des commandes auprès du public et d'avoir recours à des moyens de fidélisation de la clientèle.
- Le régime de responsabilité applicable au pharmacien en ligne : le pharmacien est responsable du contenu du site internet qu'il édite et des conditions dans lesquelles est exercée l'activité de commerce électronique de médicaments. En cas de manquement aux règles précitées et aux "bonnes pratiques de dispensation" définies par l'ANSM, le DGARS territorialement compétent peut mettre le pharmacien fautif en demeure de se conformer à ses prescriptions. A défaut de mise en conformité, le DGARS peut prononcer (i) la fermeture temporaire du site internet, pour une durée maximale de 5 mois et/ou (ii) une amende dont le montant ne peut être supérieur à 30% du chiffre d'affaires réalisé par la pharmacie dans le cadre de l'activité de commerce électronique, dans la limite d'un million d'euros.
La transposition des dispositions de la directive européenne en droit français fournit désormais un cadre légal à la vente de médicaments OTC en ligne. Cette nouvelle réglementation est cependant vivement critiquée par l'Ordre des pharmaciens qui s’est prononcé via un communiqué, dès le 20 décembre 2012.
Mettant en avant la priorité d’assurer la sécurité du patient, l’Ordre des pharmaciens rappelle notamment que le médicament n’est pas un bien de consommation ordinaire, rien ne pouvant remplacer les conseils dispensés en officine.
Cependant, d’une part, seuls les médicaments OTC peuvent être vendus en ligne. D’autre part, rien n’empêche le site d’intégrer un service de prise de contact avec un pharmacien pour se faire dispenser les conseils nécessaires.
* * * * * * * * * * * *
(1) CJCE, 11 décembre 2003, Aff. C-322/01, Deutscher Apothekerverband EV / 0800 DocMorris NV et Jacques Waterval.
(2) Résolution ResAP(2007)2 sur les bonnes pratiques en matière de distribution de médicaments par correspondance, visant à protéger la sécurité des patients et la qualité des médicaments délivrés.
(3) Directive n°2011/62/UE du Parlement européen et du Conseil du 8 juin 2011 modifiant la directive n°2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain, en ce qui concerne la prévention de l’introduction dans la chaîne d’approvisionnement légale de médicaments falsifiés
(4) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments. Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
jeudi 24 mai 2012
Internet et handicap : les règles applicables face à la réalité du net
Le 6e Forum Européen de l’Accessibilité Numérique s’est tenu à Paris au mois de mars 2012. Intitulé “Placer l’accessibilité numérique au coeur des systèmes d’information”, les thèmes abordés couvraient des questions telles que Les enjeux industriels de l’accessibilité numérique, Concevoir pour tous, ou l’Edition numérique. Bien que pouvoirs publics et industriels reconnaissent le caractère primordial de la problématique de l’accessibilité pour tous aux technologies de l’information, le constat sur l’état de l’accessibilité du net reste très contrasté.
L’accessibilité numérique (ou “e-accessibilité”) peut se définir comme l’accessibilité pour tous, personnes valides et personnes souffrant d’un handicap, aux sites internet et à leurs contenus, et de manière plus générale, à toute information sous format numérique, quels que soient le moyen d’accès et le mode de consultation. L’accès à internet et aux contenus numériques font désormais partie intégrante de notre vie quotidienne et sont devenus un droit fondamental au titre du droit à l'information. Le fait de ne pouvoir accéder à internet, pour des raisons techniques, économiques, mais également pour des raisons de handicap est un facteur de discrimination et d’exclusion sociale et professionnelle.
Cependant, bien que la question de l’accessibilité numérique soit au cœur des préoccupations des pouvoirs publics, la réalité de la mise en œuvre de ces principes reste très en-deçà des souhaits et engagements exprimés.
1. L’accessibilité numérique : des actions visant à favoriser l’accès de tous à internet et aux contenus numériques
Des initiatives tant publiques que privées ont permis l’élaboration de normes internationales dont le législateur français s’est inspiré pour instaurer une réglementation spécifique à l’accessibilité numérique.
1.1 L’e-accessibilité : une volonté des instances internationales et européennes
Les standards internationaux - Fondé en 1994 avec le soutien de la Commission européenne, le consortium du World Wide Web (“W3C”) définit des spécifications communes pour l’internet et émet des recommandations ayant valeur de standards internationaux. Depuis 1997, un département du W3C, le WAI (Web Accessibility Initiative) travaille sur la question de l’accessibilité. Les recommandations du WAI, dénommées WCAG (ou Règles pour l’accessibilité des contenus Web), visent à assurer l’accessibilité des contenus web et proposent un ensemble de solutions permettant de développer des sites internet accessibles à tous. (1)
La Convention de l’ONU - La Convention de l'ONU du 13 décembre 2006 relative aux droits des personnes handicapées invite, dans son article 9 "Accessibilité", les Etats à prendre des mesures appropriées pour assurer et promouvoir l’accès des personnes handicapées aux systèmes et technologies de l’information et de la communication, y compris l’internet. (2)
Les publications des institutions européennes - Le Parlement, le Conseil, et la Commission ont publié entre 2002 et 2008 plusieurs résolutions, communications ou déclarations visant à (i) rendre obligatoire la mise en œuvre des mesure d'e-accessibilité aux sites web publics d’ici 2010, (ii) encourager les Etats membres à intensifier la promotion d’initiatives destinées à favoriser l’accès de tous aux technologies de l’information et des communications, en particulier les personnes handicapées et les personnes âgées et, (iii) adopter des normes européenne en matière d’e-accessibilité, sur la base des WCAG.
Parmi ces publication, on peut citer la résolution du Parlement européen de 2002 sur la communication de la Commission "eEurope 2002 : Accessibilité des sites web publics et de leur contenu", la résolution du Conseil de 2003 relative à la promotion de l'emploi et de l'intégration sociale des personnes handicapées et les communications de la Commission européenne de 2005 et 2008, portant sur l’e-accessiblité et intitulées "Vers une société de l’information accessible". (3)
La certification - Sur le plan de la certification, le label européen Euracert (European eAccessibility Certification) est attribué aux sites web conformes aux recommandations WCAG du W3C/WAI. Le contrôle de conformité est réalisé à la demande des exploitants de sites web, par rapport à des documents de référence sur l’accessibilité numérique des sites. Le label Euracert est attribué après que le site web en cause ait été labellisé par l’organisme partenaire du label Euracert dans le pays de l’exploitant du site. En France, l’organisme de labellisation en matière d’accessibilité numérique, partenaire d’Euracert est l’association BrailleNet qui a créé le label AccessiWeb. La liste des sites web labellisés AccessiNet est publiée sur le site. (3)
1.2 L’e-accessibilité : une obligation légale pour les sites web du secteur public français
L’accessibilité numérique (ou “e-accessibilité”) peut se définir comme l’accessibilité pour tous, personnes valides et personnes souffrant d’un handicap, aux sites internet et à leurs contenus, et de manière plus générale, à toute information sous format numérique, quels que soient le moyen d’accès et le mode de consultation. L’accès à internet et aux contenus numériques font désormais partie intégrante de notre vie quotidienne et sont devenus un droit fondamental au titre du droit à l'information. Le fait de ne pouvoir accéder à internet, pour des raisons techniques, économiques, mais également pour des raisons de handicap est un facteur de discrimination et d’exclusion sociale et professionnelle.
Cependant, bien que la question de l’accessibilité numérique soit au cœur des préoccupations des pouvoirs publics, la réalité de la mise en œuvre de ces principes reste très en-deçà des souhaits et engagements exprimés.
1. L’accessibilité numérique : des actions visant à favoriser l’accès de tous à internet et aux contenus numériques
Des initiatives tant publiques que privées ont permis l’élaboration de normes internationales dont le législateur français s’est inspiré pour instaurer une réglementation spécifique à l’accessibilité numérique.
1.1 L’e-accessibilité : une volonté des instances internationales et européennes
Les standards internationaux - Fondé en 1994 avec le soutien de la Commission européenne, le consortium du World Wide Web (“W3C”) définit des spécifications communes pour l’internet et émet des recommandations ayant valeur de standards internationaux. Depuis 1997, un département du W3C, le WAI (Web Accessibility Initiative) travaille sur la question de l’accessibilité. Les recommandations du WAI, dénommées WCAG (ou Règles pour l’accessibilité des contenus Web), visent à assurer l’accessibilité des contenus web et proposent un ensemble de solutions permettant de développer des sites internet accessibles à tous. (1)
La Convention de l’ONU - La Convention de l'ONU du 13 décembre 2006 relative aux droits des personnes handicapées invite, dans son article 9 "Accessibilité", les Etats à prendre des mesures appropriées pour assurer et promouvoir l’accès des personnes handicapées aux systèmes et technologies de l’information et de la communication, y compris l’internet. (2)
Les publications des institutions européennes - Le Parlement, le Conseil, et la Commission ont publié entre 2002 et 2008 plusieurs résolutions, communications ou déclarations visant à (i) rendre obligatoire la mise en œuvre des mesure d'e-accessibilité aux sites web publics d’ici 2010, (ii) encourager les Etats membres à intensifier la promotion d’initiatives destinées à favoriser l’accès de tous aux technologies de l’information et des communications, en particulier les personnes handicapées et les personnes âgées et, (iii) adopter des normes européenne en matière d’e-accessibilité, sur la base des WCAG.
Parmi ces publication, on peut citer la résolution du Parlement européen de 2002 sur la communication de la Commission "eEurope 2002 : Accessibilité des sites web publics et de leur contenu", la résolution du Conseil de 2003 relative à la promotion de l'emploi et de l'intégration sociale des personnes handicapées et les communications de la Commission européenne de 2005 et 2008, portant sur l’e-accessiblité et intitulées "Vers une société de l’information accessible". (3)
La certification - Sur le plan de la certification, le label européen Euracert (European eAccessibility Certification) est attribué aux sites web conformes aux recommandations WCAG du W3C/WAI. Le contrôle de conformité est réalisé à la demande des exploitants de sites web, par rapport à des documents de référence sur l’accessibilité numérique des sites. Le label Euracert est attribué après que le site web en cause ait été labellisé par l’organisme partenaire du label Euracert dans le pays de l’exploitant du site. En France, l’organisme de labellisation en matière d’accessibilité numérique, partenaire d’Euracert est l’association BrailleNet qui a créé le label AccessiWeb. La liste des sites web labellisés AccessiNet est publiée sur le site. (3)
1.2 L’e-accessibilité : une obligation légale pour les sites web du secteur public français
Afin de répondre aux exigences communautaires, le législateur français a adopté une série de textes venant définir et encadrer l’accessibilité numérique.
La loi du 21 juin 2004 - La loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) dispose sous le titre 1er “De la liberté de communication en ligne”, en son article 3 que “L'Etat, les collectivités territoriales, les établissements publics et les personnes privées chargées d'une mission de service public veillent à ce que l'accès et l'usage des nouvelles technologies de l'information permettent à leurs agents et personnels handicapés d'exercer leurs missions.”
La loi du 11 février 2005 - L’obligation d’accessibilité numérique des services publics a été instaurée par la loi du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées. Cette loi dispose que les services de communication en ligne développés par l'Etat, les collectivités territoriales et les établissements publics qui en dépendent, doivent être accessibles aux personnes handicapées. L'accessibilité concerne l'accès à tout type d'information sous forme numérique quels que soient le moyen d'accès, les contenus et le mode de consultation et les recommandations internationales pour l'accessibilité de l'internet doivent être appliquées.
Le décret du 14 mai 2009 - Le décret du 14 mai 2009 est venu fixer les règles relatives à l'accessibilité numérique, à savoir :
- des règles techniques, sémantiques, organisationnelles et d'ergonomie à mettre en oeuvre par les services de communication publique en ligne des administrations, permettant aux personnes handicapées de réceptionner et comprendre les informations diffusées, d'utiliser ces services et, le cas échéant, d'interagir avec ces derniers. Ces règles constituent le "référentiel d'accessibilité". L’autorité administrative compétente doit attester, par le biais d’une déclaration de conformité, que ses services de communication en ligne sont conformes au référentiel d’accessibilité ;
- une formation du personnel des administrations portant sur l’accessibilité numérique et sur la conformité aux règles et standards nationaux et internationaux ;
- des délais de mise en conformité des sites existants de deux ans pour les services de l’Etat (et établissements publics qui en dépendent) et trois ans pour les collectivités territoriales (et établissements publics qui en dépendent), à compter de la publication du décret. A défaut de conformité dans les délais, le ministre chargé des personnes handicapées peut mettre en demeure l’autorité administrative compétente de se conformer au référentiel d’accessibilité dans un délai ne pouvant excéder six mois, au-delà duquel le service sera inscrit sur une liste de services non conformes.
L'arrêté du 21 octobre 2009 - Cet arrêté, portant sur le référentiel général d’accessibilité pour les administrations (RGAA), précise les exigences techniques à respecter par les autorités administratives. Le RGAA est un recueil de règles et de bonnes pratiques qui visent à améliorer l’e-accessibilité des sites web des administrations. Il se fonde sur les normes et standards en vigueur, en particulier sur le standard international WCAG 2.0. (5)
Concrètement, l'e-accessibilitié consiste, pour un site web, à intégrer des fonctionnalités permettant notamment d'agrandir la taille des caractères des textes, ou la possibilité d'accéder à la version audio des contenus.
En dépit d’un tel dispositif légal, force est de constater que la mise en œuvre des standards de l’accessibilité numérique reste encore très limitée sur le web français.
2. L’accessibilité numérique pour tous : un constat mitigé
En France, l’accessibilité numérique peine à se développer et ce pour plusieurs raisons.
2.1 La question de l’accessibilité des sites web du secteur privé
L’une des premières raisons de la lenteur des sites web français à déployer des techniques améliorant leur e-accessibilité tient au fait que la réglementation relative à l'obligation d'accessibilité numérique ne s'impose pas aux sites web du secteur privé. Les textes réglementaires cités plus haut concernent le secteur public.
L'obligation d’e-accessibilité pour les sites du secteur privé n’est mentionnée ni par les textes internationaux, ni par les textes européens. Les instances européennes, dans le cadre d’une résolution du Parlement de 2002 et d'une communication de la Commission de 2008, prévoient seulement, d’une part de parvenir à l’accessibilité des sites web privés, en commençant par les sites qui bénéficient d’un financement public, "dès que possible", et d’autre part d’encourager "les prestataires de services non publics, en particulier les propriétaires de sites web fournissant des services d'intérêt général et les fournisseurs de sites web commerciaux (…)" à améliorer l'accessibilité du web.
On peut regretter que les exploitants des sites web du secteur privé, notamment les grands sites de e-commerce, ne déploient pas les fonctionnalités améliorant l’accessibilité de leurs services en ligne. Ainsi, parmi les sites labellisés AccessiWeb, on ne trouve que quelques sites du secteur privé, tels que Carrefour, Axa ou Groupama par exemple.
2.2 Les sites web du secteur public ne donnent pas l'exemple
L'obligation d’e-accessibilité pour les sites du secteur privé n’est mentionnée ni par les textes internationaux, ni par les textes européens. Les instances européennes, dans le cadre d’une résolution du Parlement de 2002 et d'une communication de la Commission de 2008, prévoient seulement, d’une part de parvenir à l’accessibilité des sites web privés, en commençant par les sites qui bénéficient d’un financement public, "dès que possible", et d’autre part d’encourager "les prestataires de services non publics, en particulier les propriétaires de sites web fournissant des services d'intérêt général et les fournisseurs de sites web commerciaux (…)" à améliorer l'accessibilité du web.
On peut regretter que les exploitants des sites web du secteur privé, notamment les grands sites de e-commerce, ne déploient pas les fonctionnalités améliorant l’accessibilité de leurs services en ligne. Ainsi, parmi les sites labellisés AccessiWeb, on ne trouve que quelques sites du secteur privé, tels que Carrefour, Axa ou Groupama par exemple.
2.2 Les sites web du secteur public ne donnent pas l'exemple
Malgré la réglementation applicable en France, les sites du secteur public français ne donnent pas l’exemple de la mise en oeuvre de l’accessibilité numérique. Ainsi, le décret du 14 mai 2009 est entré en application depuis trois ans. Les délais de mise en conformité à l'accessibilité numérique des sites du secteur public sont arrivés à échéance depuis un an pour les services de communications en ligne de l’Etat ; le délai de trois ans pour les collectivités territoriales expirant ces jours-ci.
Bien que les délais de mise en conformité des sites web du secteur public aient expiré, plusieurs études montrent que la grande majorité de ces sites demeurent, en pratique, inaccessibles pour les handicapés. Ce constat est notamment dressé par le collectif citoyen "Article 47", qui a publié, le 1er février 2011, une Lettre ouverte pour l’accessibilité numérique des services publics adressée aux ministres concernés. Dans cette lettre, le collectif demandait l’application effective de l’article 47 de la loi du 11 février 2005, visant à rendre les sites web des services publics accessibles aux personnes handicapées.
Selon le collectif, les sites internet conformes au Référentiel général d’accessibilité pour les administrations (RGAA) restent des exceptions dans le paysage web des services publics français. Seulement quelques éditeurs de sites publics se sont saisis de la question et ont mis les sites web en conformité avec les exigences du référentiel d’accessibilité.
Parmi les sites e-accessibles, on notera par exemple, au niveau des sites gouvernementaux le site service-public.fr (www.service-public.fr), pour les collectivités locales le site du Conseil général de Loire-Atlantique (www.loire-atlantique.fr) ou le site de la ville de Saint-Maur des Fossés (www.saint-maur.com), pour les entreprises publiques, le site TER SNCF (www.ter-sncf.com).
2.3 Les freins au développement de l’e-accessibilité
Bien que les délais de mise en conformité des sites web du secteur public aient expiré, plusieurs études montrent que la grande majorité de ces sites demeurent, en pratique, inaccessibles pour les handicapés. Ce constat est notamment dressé par le collectif citoyen "Article 47", qui a publié, le 1er février 2011, une Lettre ouverte pour l’accessibilité numérique des services publics adressée aux ministres concernés. Dans cette lettre, le collectif demandait l’application effective de l’article 47 de la loi du 11 février 2005, visant à rendre les sites web des services publics accessibles aux personnes handicapées.
Selon le collectif, les sites internet conformes au Référentiel général d’accessibilité pour les administrations (RGAA) restent des exceptions dans le paysage web des services publics français. Seulement quelques éditeurs de sites publics se sont saisis de la question et ont mis les sites web en conformité avec les exigences du référentiel d’accessibilité.
Parmi les sites e-accessibles, on notera par exemple, au niveau des sites gouvernementaux le site service-public.fr (www.service-public.fr), pour les collectivités locales le site du Conseil général de Loire-Atlantique (www.loire-atlantique.fr) ou le site de la ville de Saint-Maur des Fossés (www.saint-maur.com), pour les entreprises publiques, le site TER SNCF (www.ter-sncf.com).
2.3 Les freins au développement de l’e-accessibilité
Comment expliquer que les sites web conformes aux règles de l’e-accessibilité restent si peu nombreux en 2012 ? Quels sont les freins au développement de l’e-accessibilité ?
Les outils techniques - La technologie du logiciel a évolué ces dernières années et propose des outils permettant une utilisation différente de la technologie numérique. Outre la fonctionnalité permettant de modifier la taille des caractères des textes ou la taille de l’écran d’un site web, le marché du logiciel propose depuis plusieurs années des systèmes de reconnaissance vocale (intégré dans Windows Vista notamment) permettant d’utiliser un ordinateur sans contact tactile, ou de lecteur d’écran (par exemple VoiceOver dans MacOS et iOS) permettant aux malvoyants d’utiliser un ordinateur.
La formation des développeurs web - Les programmes de formation au développement web n’intègrent pas systématiquement de module de formation technique à l’e-accessibilité des sites web. Les développeurs n’ont donc pas le réflexe, dès la conception des sites pour le secteur privé ou le secteur public, d’intégrer une approche d’e-accessibilité en proposant la modulation de la taille des textes, une version audio des contenus, etc.
Une réglementation peu claire - Le collectif du l’article 47 souligne que la réglementation “souffre d’un problème de lisibilité”, notamment concernant le périmètre de son application et des dérogations.
En outre, la certification des sites web est une procédure volontaire et non obligatoire. Il est même possible de s’auto-déclarer conforme aux recommandations, sans contrôle d’un organisme tiers.
L’ignorance ou la sous-estimation de l’importance de l’e-accessibilité - Enfin, la question de l’accessibilité numérique reste encore ignorée ou sous-estimée par un grand nombre d’entreprises qui ont encore du mal à percevoir que l'accessibilité et plus généralement, la prise en compte de la diversité, devraient constituer un élément important de leur stratégie commerciale.
A une époque où les questions liées aux discriminations et à la protection des libertés fondamentales restent sensibles, la reconnaissance du droit des handicapés à l’accès aux technologies de l’information, mais également de toute personne physiquement diminuée par la maladie ou par l’âge, demeure un véritable enjeu de société.
Enfin, au-delà de la “simple” accessibilité à internet se pose la question de l’évolution des technologies de l’information. Qu’en est-il de la “mobile e-accessibilité” si l’on étend le périmètre d’application aux smartphones et aux tablettes ?
* * * * * * * * * * *
Les outils techniques - La technologie du logiciel a évolué ces dernières années et propose des outils permettant une utilisation différente de la technologie numérique. Outre la fonctionnalité permettant de modifier la taille des caractères des textes ou la taille de l’écran d’un site web, le marché du logiciel propose depuis plusieurs années des systèmes de reconnaissance vocale (intégré dans Windows Vista notamment) permettant d’utiliser un ordinateur sans contact tactile, ou de lecteur d’écran (par exemple VoiceOver dans MacOS et iOS) permettant aux malvoyants d’utiliser un ordinateur.
La formation des développeurs web - Les programmes de formation au développement web n’intègrent pas systématiquement de module de formation technique à l’e-accessibilité des sites web. Les développeurs n’ont donc pas le réflexe, dès la conception des sites pour le secteur privé ou le secteur public, d’intégrer une approche d’e-accessibilité en proposant la modulation de la taille des textes, une version audio des contenus, etc.
Une réglementation peu claire - Le collectif du l’article 47 souligne que la réglementation “souffre d’un problème de lisibilité”, notamment concernant le périmètre de son application et des dérogations.
En outre, la certification des sites web est une procédure volontaire et non obligatoire. Il est même possible de s’auto-déclarer conforme aux recommandations, sans contrôle d’un organisme tiers.
L’ignorance ou la sous-estimation de l’importance de l’e-accessibilité - Enfin, la question de l’accessibilité numérique reste encore ignorée ou sous-estimée par un grand nombre d’entreprises qui ont encore du mal à percevoir que l'accessibilité et plus généralement, la prise en compte de la diversité, devraient constituer un élément important de leur stratégie commerciale.
A une époque où les questions liées aux discriminations et à la protection des libertés fondamentales restent sensibles, la reconnaissance du droit des handicapés à l’accès aux technologies de l’information, mais également de toute personne physiquement diminuée par la maladie ou par l’âge, demeure un véritable enjeu de société.
Enfin, au-delà de la “simple” accessibilité à internet se pose la question de l’évolution des technologies de l’information. Qu’en est-il de la “mobile e-accessibilité” si l’on étend le périmètre d’application aux smartphones et aux tablettes ?
* * * * * * * * * * *
(1) Le site web du consortium W3C est accessible à l’URL: http://www.w3.org/
(2) La Convention de l’ONU relative aux droits des personnes handicapées, adoptée le 13 décembre 2006 est entrée en vigueur le 3 mai 2008. L’article 9 “Accessibilité” dispose : “Afin de permettre aux personnes handicapées de vivre de façon indépendante et de participer pleinement à tous les aspects de la vie, les États Parties prennent des mesures appropriées pour leur assurer, sur la base de l’égalité avec les autres, l’accès (…) aux systèmes et technologies de l’information et de la communication. (…) Les États Parties prennent également des mesures appropriées pour : (…) Promouvoir l’accès des personnes handicapées aux nouveaux systèmes et technologies de l’information et de la communication, y compris l’internet;”.
(3) Résolution du Parlement européen du 13 juin 2002 sur la communication de la Commission « eEurope 2002 : Accessibilité des sites web publics et de leur contenu » (COM (2001)529-C-5-0074/2002-2002/2032(COS)) ; Résolution du Conseil du 15 juillet 2003 relative à la promotion de l'emploi et de l'intégration sociale des personnes handicapées (2003/C175/01) ; Communication de la Commission européenne, du 13 septembre 2005, sur « l’e-accessiblité » (COM (2005)425) ; Communiqué de presse du 12/06/2006 : « L’internet pour tous : les ministres européens s’engagent en faveur d’une société de l’information accessible fondée sur l’inclusion » : déclaration de Riga (Lettonie), dans laquelle les ministres européens fixent comme objectif une accessibilité totale des sites web publics en 2010 ; Communiqué de presse de la Commission européenne du 2 juillet 2008 informant du lancement d’une consultation publique portant sur les actions des Etats membres permettant d’améliorer l’accessibilité aux sites web ; Communication de la Commission européenne du 1er déc. 2008 :”Vers une société de l’information accessible”, (COM (2008)804 final).
(4) Les sites Euracert et AccessiWeb sont accessibles à : http://www.euracert.org/fr/ et http://www.accessiweb.org/
(5) Voir Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ; Loi n°2005-102 du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées, notamment article 47 ; Décret n°2009-546 du 14 mai 2009 pris en application de l’article 47 de la loi n° 2005-102 du 11 février 2005 sur l'égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées et créant un référentiel d'accessibilité des services de communication publique en ligne ; Arrêté du 21 octobre 2009 relatif au référentiel général d'accessibilité pour les administrations (RGAA) (NOR: BCFJ0917114A) et enfin, voir le site internet : www.references.modernisation.gouv.fr
Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2012
samedi 24 mars 2012
L'hébergement de données de santé en Cloud soumis à des contraintes juridiques particulières
Les professionnels de santé (médecins exerçant en cabinet, en clinique ou dans un établissement de santé publique, pharmaciens, etc.) collectent une multitude de données à caractère personnel dans le cadre de leur activité, concernant le patient et sa santé. Ces informations apparaissent, entre autres, dans le dossier médical du patient, les résultats d'examen, les comptes rendus d'hospitalisation.
Le recours à un prestataire informatique pour le stockage et la conservation des données est devenu une pratique courante, y compris en mode Cloud, le cloud computing permettant notamment une gestion des données simplifiée (accessibilité, flexibilité, portabilité, etc.) et une réduction des coûts (investissements en matériel et logiciel réduits et facturation à l'usage).
Le recours à un prestataire informatique pour le stockage et la conservation des données est devenu une pratique courante, y compris en mode Cloud, le cloud computing permettant notamment une gestion des données simplifiée (accessibilité, flexibilité, portabilité, etc.) et une réduction des coûts (investissements en matériel et logiciel réduits et facturation à l'usage).
Toutefois, professionnels de santé et prestataires Cloud doivent être vigilants : d'une part, le recours à un tiers pour héberger des données de santé ne décharge pas le professionnel de santé de ses obligations légales en matière de collecte et de traitement des données ; d'autre part, la fourniture de services d'hébergement de données de santé est soumise à un certain nombre de conditions.
1. Le professionnel de santé : responsable de traitement des données hébergées
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(1)
1.1 Les obligations spécifiques en matière de collecte et de traitement de données de santé
Les données de santé sont considérées comme des données sensibles, dont le traitement est en principe interdit, sauf exceptions. Les exceptions sont en réalité assez nombreuses puisqu’elles comprennent notamment, outre la plupart des traitements pour lesquels la personne concernée a donné son consentement exprès, les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d’une profession de santé.(2)
Les traitements de données comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver (et donc héberger), modifier, diffuser, détruire des données.
Les formalités préalables à la collecte de données de santé :
Selon le type de traitement envisagé, le professionnel de santé doit soit déclarer à la CNIL, soit obtenir son autorisation, préalablement à la mise en oeuvre du traitement de données. Les formalités (déclaration ou demande d'autorisation), varient en fonction du traitement concerné (ex: gestion des laboratoires d'analyses, traitements relatifs au dossier médical partagé, etc.).
Les obligations du responsable de traitement :
En matière de données de santé, le responsable de traitement est en principe le médecin exerçant à titre libéral, le dirigeant d'une clinique ou le chef de service de l'établissement de santé public en charge des traitements de données.
En qualité de responsable de traitement, le professionnel de santé est tenu de respecter plusieurs obligations. En cas de manquement à la loi, le responsable de traitement engage sa responsabilité. Ces obligations restent à sa charge, même en cas de recours à la sous-traitance pour l'hébergement des données. Il répond ainsi des manquements à la loi et des failles de sécurité causés par le prestataire Cloud. Le professionnel de santé doit notamment :
- Garantir la sécurité et la confidentialité des données : les données de santé sont soumises à un haut niveau de sécurité. Le Code de la santé publique impose au professionnel de santé le respect de référentiels de sécurité. En pratique, il doit prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Il est donc tenu de mettre en oeuvre, au sein de son établissement de santé, des mesures de sécurité physique (telles que l’accès contrôlé aux locaux hébergeant les serveurs et/ou une liste des personnes autorisées à accéder aux données) et techniques (telles que serveurs sécurisés, utilisation de la carte de professionnel de santé pour accéder aux données). En cas d’hébergement par un tiers, il devra s'assurer que le prestataire Cloud met en oeuvre des mesures de sécurité suffisantes.
- Obtenir le consentement des patients concernés, les informer et garantir leurs droits : le consentement des patients pour la collecte et l'hébergement informatisé de données de santé doit être recueilli. Ce type de traitement ne peut être réalisé à leur insu, sauf exceptions.(3) En outre, le professionnel de santé doit : (i) informer le patient de l'identité des destinataires des données et, le cas échéant, des éventuels transferts de données hors Union européenne, et (ii) assurer le respect des droits des patients concernés, à savoir les droits d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données.
1.2 Les sanctions encourues en cas de non-respect des obligations en matière de collecte et de traitement de données
En cas de manquement à ses obligations légales, le professionnel de santé encourt les sanctions suivantes :
- Sanctions administratives : en cas de manquement constaté à la suite d'un contrôle sur place, la CNIL peut prononcer un avertissement, une mise en demeure de faire cesser le manquement constaté dans un certain délai, ou si le professionnel de santé ne se conforme pas à la mise en demeure, une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou, le cas échéant un retrait de l’autorisation accordée par la CNIL.(4)
- Sanctions pénales : est puni d’un an d'emprisonnement et 15.000€ d'amende, le fait d'obtenir ou de tenter d'obtenir la communication de données de santé sans le consentement du patient concerné. Sont notamment punis de 5 ans d’emprisonnement et 300.000€ d’amende :
- tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l'accord du patient concerné ;
- le fait de procéder à un traitement de données : (i) y compris par négligence, sans respecter les formalités préalables ; (ii) malgré l'opposition du patient concerné ; (iii) sans prendre les mesures de sécurité prescrites par la loi et (iv) sans le consentement exprès du patient concerné.
2. Le prestataire Cloud de données de santé à caractère personnel : des services d'hébergement soumis à conditions
L'activité d'hébergement de données de santé en Cloud nécessite, pour le prestataire, de respecter un certain nombre de conditions spécifiques.(5)
2.1 La nécessité d'un agrément pour l’hébergement de données de santé à caractère personnel
Le prestataire d'hébergement de données de santé à caractère personnel doit obtenir un agrément pour exercer son activité. Cet agrément est délivré par le ministre chargé de la santé, qui se prononce après avis de la CNIL et d'un comité d'agrément des hébergeurs. L’agrément est valable pour une durée de 3 ans, renouvelable. A ce jour, 32 sociétés ou organismes ont obtenu l’agrément, soit pour l’hébergement des traitements de données de santé de leurs patients, soit pour l’hébergement de données de santé (dossier médical partagé ou dossier médical personnel) des patients d’organismes tiers.
L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.(6)
2.2 Des engagements contractuels précis adaptés aux contraintes des professionnels de santé
Le prestataire Cloud de données de santé devra proposer un service adapté aux contraintes spécifiques des professionnels de santé, compte tenu notamment de la nature des informations hébergées, de leur niveau de confidentialité, de leur volume, etc. Que le professionnel opte pour un hébergement en Cloud public (ressources mutualisées, la plateforme cloud peut donc être partagée entre plusieurs utilisateurs), privé (infrastructure fermée, dédiée à l'utilisateur), ou hybride (permettant la communication entre les deux infrastructures), les engagements du prestataire devront être contractualisés.
Le Code de la santé publique (art. L1111-8) exige que la prestation de service d'hébergement conclue avec un professionnel de santé fasse l'objet d'un contrat écrit comprenant a minima, les éléments suivants :
- la description des prestations couvertes par le contrat et des moyens mis en oeuvre par l'hébergeur pour la fourniture des services ;
- les modalités de mise à disposition des données, ainsi que la description des conditions de recueil de l'accord des patients concernés par ces données s'agissant tant de leur hébergement que de leurs modalités d'accès et de transmission. Seuls pourront accéder aux données hébergées les patients concernés et les professionnels de santé qui les prennent en charge ;
- la mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé (convention de performance ou Service Level Agreement) ;
- une information sur les garanties permettant de couvrir la défaillance éventuelle de la plateforme par la mise en oeuvre, par exemple, d’une solution de redondance (duplication de l’infrastructure) afin de permettre la continuité de service sans interruption en cas de chute de l’infrastructure principale en routant le service vers l’infrastructure secondaire ;
- une clause de réversibilité relative à la restitution au professionnel de santé de l'ensemble des données externalisées, au terme du contrat.
En sus de ces informations, il conviendra de préciser au contrat : les mesures de sécurité mises en oeuvre (systèmes de traçabilité des accès, chiffrement des données), la répartition des responsabilités entre le professionnel de santé et le prestataire, et la localisation des centres serveurs.
En matière de cloud computing, il est en effet fréquent que les données circulent entre des centres serveurs situés dans des pays différents. Ces transferts, même s’ils sont transparents pour l’utilisateur, restent soumis aux dispositions de la loi Informatique et Libertés. Les transferts de données depuis le territoire européen vers des pays situés en dehors de l'Union européenne sont interdits, sauf vers un pays reconnu comme offrant un niveau de protection adéquat. En cas de recours à un service Cloud, le professionnel de santé, responsable de traitement, devra s’informer sur la localisation des centres serveurs auprès du prestataire, et en cas de transfert hors Union européenne, procéder aux formalités auprès de la CNIL, préalablement à la mise en oeuvre du service.
Il appartient donc tant au professionnel de santé qu'au prestataire Cloud de prendre des précautions suffisantes quant au traitement des données de santé : le professionnel de santé en communiquant ses contraintes d’utilisation du service au prestataire et en s’informant auprès de celui-ci sur la teneur des prestations et du contrat préalablement à sa conclusion, et le prestataire en faisant jouer son obligation de conseil auprès du professionnel de santé.
Les contraintes réglementaires dans le domaine des données de santé à caractère personnel étant particulièrement strictes, tout manquement à ses obligations par l’une ou l’autre des parties est soumise soit à des sanctions administratives, soit à des sanctions pénales, sans oublier la mise en oeuvre de la responsabilité contractuelle et l’impact négatif fort de ces manquements sur la réputation du professionnel de santé et/ou sur le prestataire de service Cloud. En atteste par exemple l'avertissement récemment prononcé par la CNIL à l'encontre d'un hébergeur de données de santé, ayant fait une déclaration mensongère dans son dossier de demande d'agrément. Celui-ci prétendait chiffrer les données médicales hébergées, ce qui était inexact.(7)
* * * * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée ; Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique ; Articles 226-16 et suivants du Code pénal.
(2) Sur les données de santé, voir l’article 8 de la loi Informatique et Libertés.
(3) En cas d'hébergement, ce consentement n'est pas exigé dès lors que l'accès aux données détenues n'est pas partagé mais limité au professionnel ou à l'établissement de santé qui les a déposées, ainsi qu'au patient concerné.
(4) La CNIL dispose du pouvoir de réaliser des contrôles sur place de conformité à la loi Informatique et Libertés auprès des responsables de traitement. Ainsi, les agents de la CNIL peuvent, sur décision de son Président, accéder aux locaux des cabinets médicaux et autres établissements de santé, demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile, accéder aux programmes informatiques et aux données. L’objectif est d’obtenir un maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données personnelles. Depuis quelques années, les contrôles de la CNIL auprès des professionnels de la santé se sont intensifiés.
(5) Voir les articles L.1111-8 et R.1111-9 à 1111-15 du CSP.
(6) Les conditions de l’agrément et la liste des hébergeurs agréés sont accessibles sur le site web de l'Agence des Systèmes d'Informations Partagés de Santé (ASIP santé: http://esante.gouv.fr/).
(7) Voir communiqué CNIL du 9 janvier 2012 : "La CNIL sanctionne une déclaration mensongère d'un hébergeur de données de santé". En 2009, une société avait déclaré dans son dossier de demande d’agrément qu'elle chiffrait l'ensemble des données médicales hébergées, par un procédé dit de "chiffrage fort", et a obtenu l'agrément. Début 2011, lors d’un contrôle de la CNIL, celle-ci a constaté que les données médicales n'étaient pas chiffrées et qu'elles étaient accessibles aux administrateurs informatiques de l’hébergeur et non pas exclusivement au personnel de santé habilité (la société avait uniquement protégé certaines des données de santé par un codage créé en interne). La CNIL a considéré que le traitement de données était contraire à loi Informatique et Libertés et au Code de la santé publique qui impose de prévenir le Ministre de la santé de tout changement affectant les informations fournies lors de la candidature. En prétendant chiffrer toutes les données médicales, ce qui était inexact, et en n'informant pas le Ministre de la santé d'un tel changement de procédure, l’hébergeur n'avait pas respecté le Code de la santé publique et traitait donc les données de manière illicite.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mars 2012
Les traitements de données comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver (et donc héberger), modifier, diffuser, détruire des données.
Les formalités préalables à la collecte de données de santé :
Selon le type de traitement envisagé, le professionnel de santé doit soit déclarer à la CNIL, soit obtenir son autorisation, préalablement à la mise en oeuvre du traitement de données. Les formalités (déclaration ou demande d'autorisation), varient en fonction du traitement concerné (ex: gestion des laboratoires d'analyses, traitements relatifs au dossier médical partagé, etc.).
Les obligations du responsable de traitement :
En matière de données de santé, le responsable de traitement est en principe le médecin exerçant à titre libéral, le dirigeant d'une clinique ou le chef de service de l'établissement de santé public en charge des traitements de données.
En qualité de responsable de traitement, le professionnel de santé est tenu de respecter plusieurs obligations. En cas de manquement à la loi, le responsable de traitement engage sa responsabilité. Ces obligations restent à sa charge, même en cas de recours à la sous-traitance pour l'hébergement des données. Il répond ainsi des manquements à la loi et des failles de sécurité causés par le prestataire Cloud. Le professionnel de santé doit notamment :
- Garantir la sécurité et la confidentialité des données : les données de santé sont soumises à un haut niveau de sécurité. Le Code de la santé publique impose au professionnel de santé le respect de référentiels de sécurité. En pratique, il doit prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Il est donc tenu de mettre en oeuvre, au sein de son établissement de santé, des mesures de sécurité physique (telles que l’accès contrôlé aux locaux hébergeant les serveurs et/ou une liste des personnes autorisées à accéder aux données) et techniques (telles que serveurs sécurisés, utilisation de la carte de professionnel de santé pour accéder aux données). En cas d’hébergement par un tiers, il devra s'assurer que le prestataire Cloud met en oeuvre des mesures de sécurité suffisantes.
- Obtenir le consentement des patients concernés, les informer et garantir leurs droits : le consentement des patients pour la collecte et l'hébergement informatisé de données de santé doit être recueilli. Ce type de traitement ne peut être réalisé à leur insu, sauf exceptions.(3) En outre, le professionnel de santé doit : (i) informer le patient de l'identité des destinataires des données et, le cas échéant, des éventuels transferts de données hors Union européenne, et (ii) assurer le respect des droits des patients concernés, à savoir les droits d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données.
1.2 Les sanctions encourues en cas de non-respect des obligations en matière de collecte et de traitement de données
En cas de manquement à ses obligations légales, le professionnel de santé encourt les sanctions suivantes :
- Sanctions administratives : en cas de manquement constaté à la suite d'un contrôle sur place, la CNIL peut prononcer un avertissement, une mise en demeure de faire cesser le manquement constaté dans un certain délai, ou si le professionnel de santé ne se conforme pas à la mise en demeure, une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou, le cas échéant un retrait de l’autorisation accordée par la CNIL.(4)
- Sanctions pénales : est puni d’un an d'emprisonnement et 15.000€ d'amende, le fait d'obtenir ou de tenter d'obtenir la communication de données de santé sans le consentement du patient concerné. Sont notamment punis de 5 ans d’emprisonnement et 300.000€ d’amende :
- tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l'accord du patient concerné ;
- le fait de procéder à un traitement de données : (i) y compris par négligence, sans respecter les formalités préalables ; (ii) malgré l'opposition du patient concerné ; (iii) sans prendre les mesures de sécurité prescrites par la loi et (iv) sans le consentement exprès du patient concerné.
2. Le prestataire Cloud de données de santé à caractère personnel : des services d'hébergement soumis à conditions
L'activité d'hébergement de données de santé en Cloud nécessite, pour le prestataire, de respecter un certain nombre de conditions spécifiques.(5)
2.1 La nécessité d'un agrément pour l’hébergement de données de santé à caractère personnel
Le prestataire d'hébergement de données de santé à caractère personnel doit obtenir un agrément pour exercer son activité. Cet agrément est délivré par le ministre chargé de la santé, qui se prononce après avis de la CNIL et d'un comité d'agrément des hébergeurs. L’agrément est valable pour une durée de 3 ans, renouvelable. A ce jour, 32 sociétés ou organismes ont obtenu l’agrément, soit pour l’hébergement des traitements de données de santé de leurs patients, soit pour l’hébergement de données de santé (dossier médical partagé ou dossier médical personnel) des patients d’organismes tiers.
L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.(6)
2.2 Des engagements contractuels précis adaptés aux contraintes des professionnels de santé
Le prestataire Cloud de données de santé devra proposer un service adapté aux contraintes spécifiques des professionnels de santé, compte tenu notamment de la nature des informations hébergées, de leur niveau de confidentialité, de leur volume, etc. Que le professionnel opte pour un hébergement en Cloud public (ressources mutualisées, la plateforme cloud peut donc être partagée entre plusieurs utilisateurs), privé (infrastructure fermée, dédiée à l'utilisateur), ou hybride (permettant la communication entre les deux infrastructures), les engagements du prestataire devront être contractualisés.
Le Code de la santé publique (art. L1111-8) exige que la prestation de service d'hébergement conclue avec un professionnel de santé fasse l'objet d'un contrat écrit comprenant a minima, les éléments suivants :
- la description des prestations couvertes par le contrat et des moyens mis en oeuvre par l'hébergeur pour la fourniture des services ;
- les modalités de mise à disposition des données, ainsi que la description des conditions de recueil de l'accord des patients concernés par ces données s'agissant tant de leur hébergement que de leurs modalités d'accès et de transmission. Seuls pourront accéder aux données hébergées les patients concernés et les professionnels de santé qui les prennent en charge ;
- la mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé (convention de performance ou Service Level Agreement) ;
- une information sur les garanties permettant de couvrir la défaillance éventuelle de la plateforme par la mise en oeuvre, par exemple, d’une solution de redondance (duplication de l’infrastructure) afin de permettre la continuité de service sans interruption en cas de chute de l’infrastructure principale en routant le service vers l’infrastructure secondaire ;
- une clause de réversibilité relative à la restitution au professionnel de santé de l'ensemble des données externalisées, au terme du contrat.
En sus de ces informations, il conviendra de préciser au contrat : les mesures de sécurité mises en oeuvre (systèmes de traçabilité des accès, chiffrement des données), la répartition des responsabilités entre le professionnel de santé et le prestataire, et la localisation des centres serveurs.
En matière de cloud computing, il est en effet fréquent que les données circulent entre des centres serveurs situés dans des pays différents. Ces transferts, même s’ils sont transparents pour l’utilisateur, restent soumis aux dispositions de la loi Informatique et Libertés. Les transferts de données depuis le territoire européen vers des pays situés en dehors de l'Union européenne sont interdits, sauf vers un pays reconnu comme offrant un niveau de protection adéquat. En cas de recours à un service Cloud, le professionnel de santé, responsable de traitement, devra s’informer sur la localisation des centres serveurs auprès du prestataire, et en cas de transfert hors Union européenne, procéder aux formalités auprès de la CNIL, préalablement à la mise en oeuvre du service.
Il appartient donc tant au professionnel de santé qu'au prestataire Cloud de prendre des précautions suffisantes quant au traitement des données de santé : le professionnel de santé en communiquant ses contraintes d’utilisation du service au prestataire et en s’informant auprès de celui-ci sur la teneur des prestations et du contrat préalablement à sa conclusion, et le prestataire en faisant jouer son obligation de conseil auprès du professionnel de santé.
Les contraintes réglementaires dans le domaine des données de santé à caractère personnel étant particulièrement strictes, tout manquement à ses obligations par l’une ou l’autre des parties est soumise soit à des sanctions administratives, soit à des sanctions pénales, sans oublier la mise en oeuvre de la responsabilité contractuelle et l’impact négatif fort de ces manquements sur la réputation du professionnel de santé et/ou sur le prestataire de service Cloud. En atteste par exemple l'avertissement récemment prononcé par la CNIL à l'encontre d'un hébergeur de données de santé, ayant fait une déclaration mensongère dans son dossier de demande d'agrément. Celui-ci prétendait chiffrer les données médicales hébergées, ce qui était inexact.(7)
* * * * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée ; Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique ; Articles 226-16 et suivants du Code pénal.
(2) Sur les données de santé, voir l’article 8 de la loi Informatique et Libertés.
(3) En cas d'hébergement, ce consentement n'est pas exigé dès lors que l'accès aux données détenues n'est pas partagé mais limité au professionnel ou à l'établissement de santé qui les a déposées, ainsi qu'au patient concerné.
(4) La CNIL dispose du pouvoir de réaliser des contrôles sur place de conformité à la loi Informatique et Libertés auprès des responsables de traitement. Ainsi, les agents de la CNIL peuvent, sur décision de son Président, accéder aux locaux des cabinets médicaux et autres établissements de santé, demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile, accéder aux programmes informatiques et aux données. L’objectif est d’obtenir un maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données personnelles. Depuis quelques années, les contrôles de la CNIL auprès des professionnels de la santé se sont intensifiés.
(5) Voir les articles L.1111-8 et R.1111-9 à 1111-15 du CSP.
(6) Les conditions de l’agrément et la liste des hébergeurs agréés sont accessibles sur le site web de l'Agence des Systèmes d'Informations Partagés de Santé (ASIP santé: http://esante.gouv.fr/).
(7) Voir communiqué CNIL du 9 janvier 2012 : "La CNIL sanctionne une déclaration mensongère d'un hébergeur de données de santé". En 2009, une société avait déclaré dans son dossier de demande d’agrément qu'elle chiffrait l'ensemble des données médicales hébergées, par un procédé dit de "chiffrage fort", et a obtenu l'agrément. Début 2011, lors d’un contrôle de la CNIL, celle-ci a constaté que les données médicales n'étaient pas chiffrées et qu'elles étaient accessibles aux administrateurs informatiques de l’hébergeur et non pas exclusivement au personnel de santé habilité (la société avait uniquement protégé certaines des données de santé par un codage créé en interne). La CNIL a considéré que le traitement de données était contraire à loi Informatique et Libertés et au Code de la santé publique qui impose de prévenir le Ministre de la santé de tout changement affectant les informations fournies lors de la candidature. En prétendant chiffrer toutes les données médicales, ce qui était inexact, et en n'informant pas le Ministre de la santé d'un tel changement de procédure, l’hébergeur n'avait pas respecté le Code de la santé publique et traitait donc les données de manière illicite.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mars 2012
Inscription à :
Articles (Atom)