Intervention de Viviane Malet

La rédaction actuelle du code de la santé publique contraint les collectivités territoriales à obtenir une certification pour l’hébergement de données de santé lorsque cet hébergement est le fruit d’une convention constitutive, comme c’est le cas pour les conseils départementaux, qui hébergent les données des maisons départementales des personnes handicapées, les MDPH, ou d’un transfert décidé par délibération, comme c’est le cas pour les communes, qui hébergent les données des centres communaux d’action sociale, les CCAS.

Cette obligation contrevient manifestement à l’esprit de la loi Touraine de janvier 2016, qui entendait circonscrire l’obligation de certification aux personnes morales de droit privé hébergeant pour le compte de tiers, les textes réglementaires d’application allant même jusqu’à définir une relation contractuelle entre l’hébergeur et son client.

De même, elle expose potentiellement ces collectivités à des sanctions pénales, alors même que l’hébergement des données de santé à caractère personnel correspond à leur mission de service public. C’est pourquoi il est proposé de les exclure du champ de l’obligation de certification.