icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Arrêté Ministériel n° 2020-764 du 5 novembre 2020 portant application de l'Ordonnance Souveraine n° 8.337 du 5 novembre 2020 relative aux données de santé à caractère personnel produites ou reçues par les professionnels et établissements de santé.

  • N° journal 8512
  • Date de publication 13/11/2020
  • Qualité 100%
  • N° de page

Nous, Ministre d'État de la Principauté,
Vu l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu l'Ordonnance Souveraine n° 8.337 du 5 novembre 2020 relative aux données de santé à caractère personnel produites ou reçues par les professionnels et établissements de santé ;
Vu l'arrêté ministériel n° 2017-625 du 16 août 2017 portant application de l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu l'arrêté ministériel n° 2018-1108 du 26 novembre 2018 portant application de l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu la délibération de la Commission de Contrôle des Informations Nominatives en date du 17 juin 2020 ;
Vu la délibération du Conseil de Gouvernement en date du 28 octobre 2020 ;
Arrêtons :

Article Premier.

La délivrance de la qualification d'hébergeur de données de santé à caractère personnel, prévue par l'article 20 de l'Ordonnance Souveraine n° 8.337 du 5 novembre 2020, susvisée, est subordonnée au respect des référentiels d'exigences énoncés à l'article 5.
Toutefois, le Directeur de l'Agence Monégasque de Sécurité Numérique peut, après étude et justification, accorder des dérogations temporaires ou définitives portant sur des exigences de ces référentiels. Ces dérogations sont celles prévues par le référentiel PINH annexé à l'arrêté ministériel n° 2018-1108 du 26 novembre 2018, susvisé, et celles pouvant découler du rapport de l'organisme certificateur visé au b) de l'article 5.

Art. 2.

Conformément aux dispositions de l'article 21 de l'Ordonnance Souveraine n° 8.337 du 5 novembre 2020, susvisée, le Directeur de l'Agence Monégasque de Sécurité Numérique peut suspendre ou abroger la qualification d'hébergeur de données de santé à caractère personnel dans le cas où l'un des référentiels d'exigences énoncés à l'article 5 n'est plus respecté.

Art. 3.

Sans préjudice des dispositions de l'article 2, le titulaire de la qualification d'hébergeur de données de santé à caractère personnel notifie à l'Agence Monégasque de Sécurité Numérique, dans les quarante-huit heures, toute modification effectuée et relevant du périmètre des référentiels d'exigences énoncés à l'article 5.

Art. 4.

Le titulaire de la qualification d'hébergeur de données de santé à caractère personnel reçoit du Directeur de l'Agence Monégasque de Sécurité Numérique une attestation de qualification d'hébergeur de données de santé à caractère personnel qualifié selon les référentiels d'exigences énoncés à l'article 5.

Art. 5.

La qualification d'un hébergeur de données de santé à caractère personnel est réalisée par le Directeur de l'Agence Monégasque de Sécurité Numérique conformément à l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015, modifiée, susvisée, après que le respect par l'hébergeur des exigences :
a) du référentiel PINH au niveau avancé, publié par l'Agence Monégasque de Sécurité Numérique, a été vérifié par un prestataire d'audit de la sécurité des systèmes d'information défini par l'arrêté ministériel n° 2017-625 du 16 août 2017, modifié, susvisé ;
b) du référentiel HDS français, publié par l'Agence des systèmes d'information partagée de santé, a été vérifié par un organisme de certification accrédité par le Comité français d'accréditation et habilité par l'Agence Monégasque de Sécurité Numérique. La liste de ces organismes de certification est disponible et téléchargeable sur le site de l'Agence Monégasque de Sécurité Numérique.
La qualification est attribuée, pour une durée maximale de trois ans, à l'hébergeur par le Directeur de l'Agence Monégasque de Sécurité Numérique au regard des rapports émis par le prestataire d'audit de la sécurité des systèmes d'information et l'organisme de certification, et après délivrance du certificat par ce dernier.
Un audit de surveillance annuel est réalisé par un organisme de certification ou un prestataire d'audit de la sécurité des systèmes d'information après la décision de qualification.
Pour les hébergeurs déjà certifiés en France dont le nom figure sur la liste publiée par l'Agence des systèmes d'information partagée de santé, le Directeur de l'Agence Monégasque de Sécurité Numérique peut prononcer leur qualification pour la Principauté après la vérification du référentiel PINH au niveau avancé.

Art. 6.

Lorsque, en application des dispositions de l'Ordonnance Souveraine n° 8.337 du 5 novembre 2020, susvisée, les données de santé à caractère personnel, quel que soit le support, doivent être éliminées ou détruites, elles le sont en respectant les modalités suivantes :
- l'élimination ne peut être réalisée que par la personne qui a décidé ou qui est tenue, en application des dispositions de ladite Ordonnance, d'effectuer cette élimination ou, pour un établissement de santé, par un membre du personnel désigné à cet effet par le directeur dudit établissement ;
- l'élimination de tels documents est effectuée de façon à rendre impossible toute reconstruction même partielle des informations contenues sur les supports papiers ou informatiques. Cette élimination est effectuée conformément au référentiel PINH ou par un brûlage qui consiste à exposer l'ensemble du support ou de la surface utile à une température de plus de 1.000 degrés Celsius avec un chalumeau, l'incinération qui est une combustion complète réduisant le support à l'état de cendre destinée à empêcher toute dispersion de fragments, le déchiquetage qui consiste à réduire le support en lambeaux et le broyage qui consiste à réduire le support en pulpe ; lorsque des documents doivent être transportés afin d'être incinérés, ils sont préalablement déchiquetés et mélangés ; les opérations d'élimination par déchiquetage ou broyage respectent le niveau de sécurité 5 de la classe 2 de la norme DIN 66399 ;
- après l'opération, un procès-verbal d'élimination est dressé et archivé ; il porte la signature de la personne ayant pratiqué ou ordonné l'élimination.

Art. 7.

Le Conseiller de Gouvernement-Ministre des Affaires Sociales et de la Santé, le Secrétaire Général du Gouvernement et le Directeur de l'Agence Monégasque de Sécurité Numérique sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.
Fait à Monaco, en l'Hôtel du Gouvernement, le cinq novembre deux mille vingt.

Le Ministre d'État,
P. DARTOUT.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14