10 MAI 2015. - Arrêté royal relatif à la force probante des données enregistrées, traitées, communiquées au moyen de techniques photographiques et optiques par les hôpitaux, ainsi qu'à leur reproduction sur papier ou sur tout autre support lisible pour l'application dans les soins de santé
RAPPORT AU ROI
Sire,
L'arrêté royal que j'ai l'honneur de soumettre à la signature de Votre Majesté est pris en exécution de l'article 36/1, § 2, de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions.
Aux termes de cet article 36/1, § 2, le Roi s'est vu confier par le législateur la mission de déterminer les conditions selon lesquelles une force probante jusqu'à preuve du contraire peut être attribuée à des données enregistrées, traitées ou communiquées au moyen de techniques photographiques et optiques, ainsi qu'à leur reproduction sur papier ou sur tout autre support lisible pour l'application dans les soins de santé.
Les acteurs du secteur des soins de santé, et en particulier les hôpitaux - auxquels le présent projet est limité -, traitent de plus en plus les informations qui leur sont nécessaires pour remplir leurs missions au moyen de techniques photographiques et optiques. Cette façon de procéder présente, en effet, plusieurs avantages. Ainsi, par exemple, il peut s'avérer utile de numériser des documents papier pour notamment faciliter leur gestion et leur accès, pour les préserver d'éventuelles menaces ou encore pour tout simplement gagner de la place en détruisant les documents papier.
L'introduction de ces procédés soulève cependant une question juridique relative à la force probante.
L'existence de cette force probante est néanmoins nécessaire pour garantir le bon fonctionnement du secteur des soins de santé.
Le présent projet a pour objectif de définir les conditions auxquelles les procédures d'enregistrement, de traitement, de communication et de reproduction utilisées par les hôpitaux doivent satisfaire pour être suffisamment sûres.
Dans la mesure où les procédures utilisées par les hôpitaux répondent aux critères énoncés dans le projet, les données enregistrées, traitées ou communiquées au moyen de techniques photographiques et optiques, ainsi que leur reproduction sur papier ou sur tout autre support lisible reçoivent force probante, jusqu'à preuve du contraire.
Lors de l'élaboration du présent arrêté royal, il a été tenu compte de normes internationalement reconnues et éprouvées. Le cadre de référence est (partiellement) basé sur la liste de normes non-exhaustive suivante :
- la norme ISO 13028 (Information et documentation - Mise en oeuvre des lignes directrices pour la numérisation des enregistrements);
- la norme de sécurité ISO/IEC 27002, Technologies de l'information - Techniques de sécurité;
- le code de bonne pratique pour le management de la sécurité de l'information;
- la norme ISO 15489 (Information et documentation - « Records management »);
- le MoReq2 (Model Requirements for the management of electronic records);
- la norme ISO 15801 : 2009, Images électroniques - Stockage électronique d'informations - Recommandations pour les informations de valeur et leur fiabilité;
- la norme NF Z 42-013 d'AFNOR (Association française de normalisation);
- PDF/A (Portable Document Format Archivable, connu aussi comme la norme ISO 19005-1);
- la norme ISO 23081 : 2006 (Processus de gestion des enregistrements - Métadonnées pour les enregistrements);
- la norme ISO 14721 : 2002 (modèle de référence pour un OAIS).
Le RODIN (Referentiekader Opbouw Digitaal Informatiebeheer), un instrument pour l'organisation des environnements de gestion numériques, qui a été mis au point par le Nederlandse Landelijk Overleg van Provinciale Archiefinspecteurs (LOPAI) constitue également une importante référence pour le présent arrêté royal.
COMMENTAIRES DES ARTICLES
Art. 1. Cet article définit le champ d'application matériel des dispositions proposées par le projet.
Art. 2. Cet article prévoit que les informations enregistrées, traitées ou communiquées selon des procédés photographiques et optiques ainsi que leur reproduction sur papier ou sur tout autre support lisible ont force probante, jusqu'à preuve du contraire, si la procédure fixée par l'hôpital pour leur enregistrement, leur traitement, leur communication ou leur reproduction satisfait aux conditions énumérées dans le présent projet et si les données sont enregistrées, traitées ou communiquées conformément à cette procédure.
Le second alinéa dispose que les données numérisées ne peuvent être privées de leur validité juridique au seul motif qu'il est contesté que la procédure réellement suivie réponde aux conditions du présent arrêté si celui qui a recours à ces données est en mesure de montrer par tous les moyens de droit que la dérogation par rapport aux conditions du présent arrêté n'a pas remis en question la fiabilité des données.
Dans son avis n° 57.117/3 du 18 mars 2015, le Conseil d'Etat constate que plusieurs conditions prévues dans les articles 4 à 11 (actuels) du projet portent non seulement sur les exigences intrinsèques auxquelles doivent répondre les données numérisées, mais aussi sur l'organisation proprement dite des systèmes informatiques des hôpitaux. La compétence résiduaire des pouvoirs fédéraux de définir le régime de preuve pour des données ne devrait pas être interprétée de manière aussi large que cela implique que la détermination des conditions de la procédure d'enregistrement, de traitement, de communication ou de reproduction de données numérisées dans les hôpitaux règle également l'organisation générale de leurs systèmes informatiques, ceci étant une compétence des communautés.
Les conditions prévues dans les articles en question sont toutefois indistinctement essentielles pour garantir que les données numérisées soient conformes à la réalité. Afin de garantir la sécurité juridique, la force probante ne peut être accordée aux données numérisées que si des mesures strictes ont été appliquées lors de la numérisation. Bien que les conditions imposées aient certes, dans une certaine mesure, un impact sur la manière dont les hôpitaux gèrent leurs systèmes informatiques, ces conditions visent uniquement la qualité des données numérisées. Conformément aux articles 4, 5 et 10 (précédemment 3, 4 et 9), les hôpitaux qui souhaitent avoir recours au régime doivent développer à cet effet une procédure minutieusement documentée qui ne laisse aucun doute quant à la concordance complète entre les données initiales et les données numérisées. L'article 6 (précédemment 5) dispose explicitement que l'hôpital applique ses propres règles pour l'accès aux données numérisées. Les articles 7 et 8 (précédemment 6 et 7) visent un enregistrement parfait des données numérisées. L'article 9 (précédemment 8) vise le traitement correct des données numérisées : ces données peuvent uniquement être traitées conformément à la réglementation stricte de l'Union européenne en matière de protection de la vie privée. Finalement, l'article 11 (précédemment 10) dispose que l'hôpital est tenu de développer une politique de sécurité de l'information répondant à certaines conditions.
Il est à noter que l'application du régime proposé est tout à fait libre. Les hôpitaux ne sont pas obligés d'y avoir recours. Or s'ils l'appliquent, ils sont tenus de respecter les conditions précitées.
Art. 3. Le système prévu dans le présent projet concernant la force probante des données enregistrées, traitées ou communiquées au moyen de techniques photographiques et optiques, ainsi que leur reproduction sur papier ou sur tout autre support lisible s'appliquera à toutes les informations que les hôpitaux sont amenés à traiter dans le cadre de leurs missions.
Art. 4. Cette disposition énonce les conditions générales auxquelles les procédures doivent satisfaire. Ainsi, l'hôpital s'assurera que la procédure mise en oeuvre prévoit l'enregistrement systématique et sans lacunes des données. L'hôpital veillera également, compte tenu du volume des données numérisées à conserver, à les organiser et les rationaliser avec soin afin de pouvoir les retrouver au moment opportun. L'intégrité des informations, ainsi que leur lisibilité devront être garanties durant toute la période de conservation. A cet égard, il est renvoyé aux règles en matière de délai de conservation prévues par les règlementations en vigueur.
Art. 5. L'hôpital doit disposer d'une documentation détaillée et actualisée de la procédure utilisée contenant au minimum les éléments énoncés dans cette disposition.
Le présent projet autorise la sous-traitance (complète ou partielle). En ce domaine, il peut en effet être intéressant de recourir au savoir-faire d'un tiers. Cela ne pourra cependant avoir lieu qu'à la condition d'encadrer son intervention de certaines garanties contractuelles relatives notamment aux mesures de sécurité mises en place (article 11 du présent projet). En cas de sous-traitance (complète ou partielle), la documentation mentionnera le nom, l'adresse, le numéro d'identification à la T.V.A. du tiers concerné.
Concernant la dénomination du logiciel utilisé, il semble opportun que celle-ci soit la plus complète possible (nom, numéro de version, date de release, fournisseur et, le cas échéant, les services packs ou les patches installés).
Quant aux contrôles de qualité dont il est question au 6°, il est utile que ce processus de contrôle soit systématique et permanent.
Toutes les modifications apportées à la procédure utilisée devront être consignées sans délai dans la documentation. Ainsi par exemple, les éventuelles migrations d'un système vers un autre système (interne ou externe à l'hôpital) devront faire l'objet d'une documentation qui devra être ajoutée à la documentation de la procédure utilisée.
Aux termes de l'article 5, alinéa 4, toute procédure utilisée par un hôpital peut faire l'objet d'un contrôle a posteriori du Comité sectoriel de la sécurité sociale et de la santé.
Art. 6. Seules les personnes physiques habilitées à consulter les données numérisées pourront y avoir accès. Cette habilitation se justifie notamment par la profession de l'utilisateur.
Toute opération (création, consultation, modification des...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI