L'Explication Prémisse
Cet article impose que tous les systèmes d'information, outils ou services numériques utilisés par les professionnels de santé intervenant pour les services de prévention et de santé au travail (ou par les personnes sous leur autorité) respectent des référentiels d'interopérabilité et de sécurité élaborés par le groupement d'intérêt public visé à l'article L.1111-24 du Code de la santé publique. Concrètement, il s'agit de garantir la confidentialité, l'intégrité, la sécurité et la capacité d'échanger des données de santé personnelles lorsqu'elles sont traitées, stockées ou transmises électroniquement. Ces référentiels peuvent être adaptés aux particularités de l'activité des services de santé au travail et le respect de ces référentiels est une condition préalable à la certification prévue par l'article L.4622-9-3 du Code du travail.
Une entreprise confie la gestion médicale de ses salariés à un service de santé au travail qui utilise un logiciel cloud pour les dossiers médicaux. Pour être conforme à l'article L4624-8-2, le prestataire doit utiliser un hébergement et des protocoles répondant aux référentiels du groupement d'intérêt public (cryptage des données au repos et en transit, authentification forte, journalisation des accès, gestion fine des droits), assurer l'interopérabilité pour échanger des comptes rendus avec l'établissement de santé local et adapter certaines mesures (par exemple les flux de données spécifiques aux visites médicales en entreprise). Sans conformité à ces référentiels, le service de santé au travail ne pourra pas obtenir la certification requise par le Code du travail.
- Champ d’application : concerne les systèmes/ services/ outils numériques utilisés par les professionnels de santé pour le compte des services de prévention et de santé au travail et les personnes sous leur autorité.
- Objectif : garantir l’échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel.
- Référentiels : obligation de conformité aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public visé à l’article L.1111-24 du Code de la santé publique.
- Adaptation : ces référentiels peuvent être adaptés aux spécificités de l’activité des services de prévention et de santé au travail.
- Portée technique : vise le traitement, la conservation sur support informatique et la transmission électronique des données de santé.
- Exigences pratiques courantes : chiffrement, authentification forte, gestion des droits d’accès, traçabilité/journalisation, hébergement sécurisé et conformité aux standards d’échange.
- Lien avec la certification : la conformité à ces référentiels est une condition pour obtenir la certification prévue à l’article L.4622-9-3 du Code du travail.
- Conséquence du non-respect : impossibilité d’obtenir la certification et risques accrus de non-conformité réglementaire et de mise en jeu de responsabilités en cas de fuite ou d’accès non autorisé.