Ordonnance Souveraine n° 8.337 du 5 novembre 2020 relative aux données de santé à caractère personnel produites ou reçues par les professionnels et établissements de santé.
ALBERT II
PAR LA GRÂCE DE DIEU
PRINCE SOUVERAIN DE MONACO
Vu la Constitution ;
Vu le Code civil, notamment son article 22 ;
Vu la loi n° 127 du 15 janvier 1930 constituant l'hôpital en établissement public autonome ;
Vu la loi n° 636 du 11 janvier 1958 tendant à modifier et à codifier la législation sur la déclaration, la réparation et l'assurance des accidents du travail, modifiée ;
Vu la loi n° 637 du 11 janvier 1958 tendant à créer et à organiser la médecine du travail, modifiée ;
Vu la loi n° 918 du 27 décembre 1971 sur les établissements publics ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.334 du 12 juillet 2007 sur l'éducation, modifiée ;
Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;
Vu la loi n° 1.454 du 30 octobre 2017 relative au consentement et à l'information en matière médicale, notamment son article 12 ;
Vu l'Ordonnance Souveraine n° 92 du 7 novembre 1949 modifiant et codifiant les Ordonnances Souveraines d'application de l'Ordonnance-loi n° 397 du 27 septembre 1944 portant création d'une caisse de compensation des services sociaux, modifiée ;
Vu l'Ordonnance Souveraine n° 3.634 du 8 septembre 1966 fixant les attributions du médecin-inspecteur de santé publique, modifiée ;
Vu l'Ordonnance Souveraine n° 4.739 du 22 juin 1971 fixant le régime des prestations dues aux salariés, en vertu de l'Ordonnance-loi n° 397 du 27 septembre 1944, en cas de maladie, accident, maternité, invalidité et décès, modifiée ;
Vu l'Ordonnance Souveraine n° 5.095 du 14 février 1973 sur l'organisation et le fonctionnement du Centre Hospitalier Princesse Grace, modifiée ;
Vu l'Ordonnance Souveraine n° 7.488 du 1er octobre 1982 fixant les modalités d'application de la loi n° 1.048 du 28 juillet 1982 instituant un régime de prestations sociales en faveur des travailleurs indépendants, modifiée ;
Vu Notre Ordonnance n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993 réglementant les traitements d'informations nominatives, modifiée par la loi n° 1.353 du 4 décembre 2008 relative à la protection des informations nominatives, modifiée ;
Vu Notre Ordonnance n° 5.642 du 14 décembre 2015 fixant les attributions du médecin-inspecteur de l'action et de l'aide sociales ;
Vu Notre Ordonnance n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu Notre Ordonnance n° 8.011 du 12 mars 2020 relative à l'octroi des prestations médicales aux fonctionnaires et agents de l'État et de la Commune ;
Vu l'arrêté ministériel n° 2012-312 du 29 mai 2012 portant approbation du Code de déontologie médicale ;
Vu l'arrêté ministériel n° 2015-70 du 2 février 2015 relatif à l'hémovigilance et à la sécurité transfusionnelle ;
Vu l'arrêté ministériel n° 2018-1108 du 26 novembre 2018 portant application de l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu l'arrêté ministériel n° 2019-791 du 17 septembre 2019 portant application de l'article 2, a) de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu les délibérations de la Commission de contrôle des informations nominatives en date du 18 septembre 2019 et du 17 juin 2020 ;
Vu l'avis du Comité de la santé publique en date du 15 octobre 2019 ;
Vu la délibération du Conseil de Gouvernement en date du 28 octobre 2020 qui Nous a été communiquée par Notre Ministre d'État ;
Avons Ordonné et Ordonnons :
Article Premier.
Au sens de la présente Ordonnance :
- les données de santé à caractère personnel sont l'ensemble des informations concernant la santé d'une personne, mentionnées à l'article 12 de la loi n° 1.454 du 30 octobre 2017, susvisée, lorsque celle-ci est identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
- le professionnel de santé est toute personne qui exerce une activité professionnelle dans le secteur des soins de santé soumise à un statut législatif ou réglementaire particulier ou dont le titre est protégé ;
- l'établissement de santé est l'établissement, public ou privé, qui assure le diagnostic, la surveillance et le traitement des malades, des blessés ou des femmes enceintes et qui délivre les soins avec hébergement et, éventuellement, sous forme ambulatoire ou à domicile, le domicile pouvant s'entendre du lieu de résidence ou d'un établissement médico-social avec hébergement.
Les données de santé à caractère personnel produites ou reçues par un professionnel ou établissement de santé sont des informations sensibles au sens des dispositions réglementaires prises pour l'application de la lettre a) du premier alinéa de l'article 2 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015, modifiée, susvisée.
Art. 2.
Les systèmes d'information utilisés par les professionnels et établissements de santé pour traiter les données de santé à caractère personnel qu'ils ont produites ou reçues sont soumis aux règles établies pour les systèmes d'information sensibles par l'arrêté ministériel n° 2019-791 du 17 septembre 2019, susvisé. Ces données portent la marque de confidentialité « Confidentiel médical ».
CHAPITRE I
DES DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL FIGURANT DANS UN DOSSIER MÉDICAL
Section I
Des données de santé à caractère personnel produites ou reçues dans un établissement de santé
Art. 3.
Un dossier médical est constitué pour chaque patient hospitalisé, en soins externes ou en consultation externe dans un établissement de santé, y compris lorsque le patient, accueilli dans un établissement de santé public, est pris en charge par un médecin y exerçant à titre libéral.
Ce dossier contient l'ensemble des données de santé à caractère personnel du patient, produites et reçues au sein de l'établissement.
Art. 4.
Chaque pièce du dossier médical mentionné à l'article 3 est datée et comporte l'identité du patient avec son nom, son prénom, sa date de naissance ou son numéro d'identification, ainsi que l'identité du professionnel de santé qui a produit ou reçu les informations.
Les prescriptions médicales sont datées avec indication de l'heure et signées. Le nom du médecin signataire est mentionné en caractères lisibles.
Art. 5.
Lorsque le patient est hospitalisé, en soins externes ou en consultation externe dans un établissement de santé, le dossier médical mentionné à l'article 3 contient au moins les éléments suivants classés comme suit :
1) les données relatives à l'identité et à l'identification du patient et, le cas échéant, de ses représentants légaux ou de la personne de confiance ;
2) les informations formalisées recueillies lors des soins externes, des consultations externes ou des hospitalisations dans l'établissement, notamment :
- la lettre du médecin qui est à l'origine des soins, de la consultation ou de l'hospitalisation ;
- les motifs des soins, de consultation ou d'hospitalisation ;
- la recherche d'antécédents et de facteurs de risques ;
- les conclusions de l'examen clinique ou de l'évaluation clinique initiale ;
- le type de prise en charge prévu et les prescriptions effectuées à l'entrée ;
- la nature et le compte rendu des soins dispensés et les prescriptions établies lors des soins externes ou de la consultation externe ;
- les informations relatives à la prise en charge en cours d'hospitalisation : état clinique, soins reçus et examens paracliniques, notamment d'imagerie ;
- les informations sur la démarche médicale, adoptée conformément aux dispositions des articles premier à 5 de la loi n° 1.454 du 30 octobre 2017, susvisée ;
- le dossier d'anesthésie ;
- le compte rendu opératoire ou d'accouchement ;
- le consentement écrit du patient pour les situations où ce consentement est requis sous cette forme par une disposition législative ou réglementaire ;
- la mention des actes transfusionnels pratiqués sur le patient et, le cas échéant, copie des fiches de déclaration prévues par la réglementation relative à l'hémovigilance et à la sécurité transfusionnelle ;
- les éléments relatifs à la prescription médicale, à son exécution et aux examens complémentaires ;
- le dossier de soins contenant les informations relatives aux soins dispensés par les professionnels de santé autres que les médecins ;
- les correspondances échangées entre professionnels de santé ;
3) les informations formalisées établies à la fin de l'hospitalisation, notamment :
- la lettre de liaison, rédigée par le médecin qui a pris en charge le patient et remise à ce dernier le jour de sa sortie, dont le contenu est fixé par l'article 6 ;
- la prescription de sortie et les doubles d'ordonnance de sortie ;
- les modalités de sortie pour un retour au domicile ou une entrée dans une autre structure ;
- la fiche de liaison infirmière ;
4) les informations concernant des tiers, lesquelles ne sont pas communicables au patient selon l'article 12 de la loi n° 1.454 du 30 octobre 2017, susvisée.
Art. 6.
La lettre de liaison mentionnée au chiffre 3 de l'article 5 contient :
- l'identification du patient, du médecin traitant, le cas échéant du praticien à l'origine de l'admission, ainsi que l'identification du médecin de l'établissement de santé qui a pris en charge le patient avec les dates et modalités d'entrée et de sortie d'hospitalisation ;
- le motif d'hospitalisation ;
- la synthèse médicale du séjour précisant, le cas échéant, les événements indésirables survenus pendant l'hospitalisation, l'identification de micro-organismes multirésistants ou émergents, l'administration de produits sanguins ou dérivés du sang, la pose d'un dispositif médical implantable ;
- les traitements prescrits à la sortie de l'établissement ou les ordonnances de sortie et les traitements arrêtés durant le séjour ainsi que le motif d'arrêt ou de remplacement, en précisant, notamment pour les traitements médicamenteux, la posologie et leur durée ;
- l'annonce, le cas échéant, de l'attente de résultats d'examens ou d'autres informations qui compléteront cette lettre de liaison ;
- les suites à donner, le cas échéant, telles que les actes prévus et à programmer, les recommandations et les surveillances particulières.
Le jour de sa transmission au patient, cette lettre de liaison est également transmise à son médecin traitant et, le cas échéant, au médecin qui est à l'origine de son hospitalisation. Elle leur est adressée par tout moyen garantissant la confidentialité de son contenu.
Art. 7.
Les dossiers médicaux des patients accueillis dans un établissement de santé sont soit conservés au sein dudit établissement, soit déposés par celui-ci auprès d'un hébergeur de données de santé à caractère personnel.
En cas d'hébergement sur support électronique, le directeur de l'établissement de santé s'assure préalablement que l'hébergeur est titulaire de la qualification mentionnée à l'article 20\. En cas d'hébergement sur support papier, il s'assure préalablement que l'hébergeur est à même de répondre aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
Le directeur de l'établissement veille, avec le médecin responsable de l'information médicale qu'il désigne à cet effet après avis de la commission médicale d'établissement, à ce que toutes mesures soient prises pour assurer la disponibilité, l'intégrité, la confidentialité et la traçabilité des dossiers ainsi conservés ou hébergés.
En cas d'incident de sécurité des systèmes d'information, il en informe l'Agence Monégasque de Sécurité Numérique dès qu'il en a connaissance au moyen du formulaire de déclaration d'incident de sécurité des systèmes d'information disponible et téléchargeable sur https://amsn.gouv.mc/oiv.
Cette déclaration comporte, lorsque le déclarant en dispose au moment de la découverte de l'incident, les informations suivantes :
- les informations permettant d'identifier la structure concernée par l'incident ainsi que le déclarant ;
- la description de l'incident, notamment la date du constat, le périmètre de l'incident, les systèmes d'information et données concernées et l'état de la prise en charge ;
- la description de l'impact de l'incident sur les données, sur les personnes, sur les systèmes d'information et sur la structure ;
- les causes de l'incident, si celles-ci sont identifiées.
Le directeur de l'établissement en informe aussi la Commission de contrôle des informations nominatives dans les meilleurs délais lorsque l'incident a un impact sur les données de santé à caractère personnel.
Art. 8.
Le dossier médical mentionné à l'article 3 est conservé pendant une durée de vingt ans à compter de la date du dernier séjour du patient concerné dans ledit établissement ou de sa dernière consultation externe en son sein. Toutefois, lorsque cette durée de conservation s'achève avant le vingt-huitième anniversaire du patient, elle est prorogée jusqu'à cette date.
Dans tous les cas, si le patient décède moins de dix ans après son dernier passage dans l'établissement, le dossier est conservé pendant une durée de dix ans à compter de la date du décès.
Quelle que soit la durée du délai de conservation, celui-ci est suspendu par l'introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l'établissement ou d'un professionnel de santé à raison de son intervention au sein de l'établissement.
Art. 9.
À l'expiration du délai de conservation mentionné à l'article 8 et après, le cas échéant, restitution à l'établissement de santé des données ayant fait l'objet d'un hébergement, le dossier médical du patient accueilli dans ledit établissement peut être éliminé.
La décision d'élimination est prise par le directeur de l'établissement après avis du médecin responsable de l'information médicale.
Avant toute décision d'élimination, le patient est informé de son droit de prendre possession du dossier médical le concernant dans le délai qui lui est imparti et qui ne peut être inférieur à un mois.
Cette décision d'élimination ne peut être prise que si le patient concerné n'a pu être contacté en raison d'une impossibilité ou de la nécessité de mettre en œuvre des efforts disproportionnés, que s'il a refusé de prendre possession du dossier médical le concernant ou que s'il n'en a pas pris possession dans le délai imparti.
Les modalités d'élimination sont fixées par arrêté ministériel.
Section II
Des données de santé à caractère personnel produites ou reçues par un médecin, un chirurgien-dentiste ou une sage-femme n'exerçant pas au sein d'un établissement de santé
Art. 10.
Tout médecin, chirurgien-dentiste ou sage-femme qui n'exerce pas au sein d'un établissement de santé tient, pour chacun de ses patients, un dossier médical.
Ce dossier contient l'ensemble des données de santé à caractère personnel du patient, produites et reçues par le professionnel de santé mentionné au premier alinéa.
Lorsqu'un médecin-inspecteur, un médecin du travail, un médecin conseil d'un organisme de sécurité sociale ou un médecin contrôleur d'un assureur loi pratique ou fait pratiquer, en application de dispositions légales ou réglementaires, un ou plusieurs examens médicaux sur une personne, il tient, pour celle-ci, un dossier médical soumis aux dispositions des articles 11 et 12 et à celles des premier et quatrième alinéas de l'article 13 et contenant l'ensemble des données de santé à caractère personnel de cette personne, produites et reçues dans le cadre de ces examens.
Art. 11.
Les dossiers médicaux des patients d'un professionnel de santé mentionné au premier alinéa de l'article 10 sont soit conservés au lieu d'exercice dudit professionnel de santé, soit déposés par celui-ci auprès d'un hébergeur de données de santé à caractère personnel.
En cas d'hébergement sur support électronique, ce professionnel de santé ou la personne responsable dans les situations visées au dernier alinéa de l'article 10 s'assure préalablement que l'hébergeur est titulaire de la qualification mentionnée à l'article 20\. En cas d'hébergement sur support papier, il s'assure préalablement que l'hébergeur est à même de répondre aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée.
Le professionnel de santé ou la personne responsable susmentionnée prend toutes mesures pour assurer la disponibilité, l'intégrité, la confidentialité et la traçabilité des dossiers qu'il conserve au lieu d'exercice et veille à ce que ces mesures soient prises pour les dossiers hébergés.
En cas d'incident de sécurité des systèmes d'information ayant un impact sur les données de santé à caractère personnel, le professionnel de santé ou la personne responsable susmentionnée en informe la Direction de l'Action Sanitaire. Cette déclaration comporte les informations prévues au cinquième alinéa de l'article 7.
Le professionnel de santé ou la personne responsable susmentionnée en informe aussi la Commission de contrôle des informations nominatives dans les meilleurs délais lorsque l'incident a un impact sur les données de santé à caractère personnel.
Art. 12.
Le dossier médical mentionné à l'article 10 est conservé pendant une durée de vingt ans à compter de la date de la dernière consultation du patient concerné. Toutefois, lorsque cette durée de conservation s'achève avant le vingt-huitième anniversaire du patient, elle est prorogée jusqu'à cette date.
Dans tous les cas, si le patient décède moins de dix ans après sa dernière consultation, le dossier est conservé pendant une durée de dix ans à compter de la date du décès.
Quelle que soit la durée du délai de conservation, celui-ci est suspendu par l'introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité du médecin, du chirurgien-dentiste ou de la sage-femme.
Art. 13.
À l'expiration du délai de conservation mentionné à l'article 12 et après, le cas échéant, restitution au médecin, au chirurgien-dentiste ou à la sage-femme des données ayant fait l'objet d'un hébergement, le dossier médical du patient peut être éliminé par ce professionnel de santé.
Avant toute décision d'élimination, le professionnel de santé informe le patient de son droit de prendre possession du dossier médical le concernant dans le délai qui lui est imparti et qui ne peut être inférieur à un mois.
Cette décision d'élimination ne peut être prise que si le patient concerné n'a pu être contacté en raison d'une impossibilité ou de la nécessité de mettre en œuvre des efforts disproportionnés, que s'il a refusé de prendre possession du dossier médical le concernant ou que s'il n'en a pas pris possession dans le délai imparti.
Les modalités d'élimination sont fixées par arrêté ministériel.
Art. 14.
Lorsque le professionnel de santé mentionné au premier alinéa de l'article 10 décède, la personne chargée de son secrétariat informe individuellement les patients de ce professionnel de santé du décès de ce dernier et, dans le délai d'au moins un mois qu'elle leur a imparti, de leur droit de prendre possession du dossier médical les concernant.
Les dossiers médicaux des patients qui n'ont pas pu être contactés en raison d'une impossibilité ou de la nécessité de mettre en œuvre des efforts disproportionnés, qui ont refusé d'en prendre possession ou qui n'en ont pas pris possession dans le délai imparti sont éliminés sous le contrôle d'un médecin-inspecteur de santé publique.
En l'absence de secrétariat, ces dossiers sont éliminés par l'héritier le plus diligent.
Dans tous les cas, l'élimination des dossiers médicaux est effectuée selon les mêmes modalités que celles fixées en application du dernier alinéa de l'article 13.
Art. 15.
Lorsque le professionnel de santé mentionné au premier alinéa de l'article 10 cesse définitivement son exercice, pour quelque cause que ce soit autre que son décès, il informe individuellement ses patients de sa cessation d'exercice et, dans le délai d'au moins quinze jours qu'il leur a imparti, de leur droit de prendre possession d'une copie du dossier médical les concernant ou de la faire transmettre à un médecin, à un chirurgien-dentiste ou à une sage-femme de leur choix.
Le professionnel de santé qui cesse définitivement son exercice ne peut transmettre à son successeur que les dossiers médicaux ou une copie des dossiers médicaux des patients ayant préalablement consenti à cette transmission.
À moins qu'ils n'aient été transmis à son successeur, les dossiers médicaux continuent à être conservés conformément aux dispositions des articles 11 à 13 par le professionnel de santé ayant cessé définitivement son exercice, sous réserve qu'ils soient conservés soit à son domicile, soit auprès d'un hébergeur de données de santé à caractère personnel. En cas de décès, ces dossiers sont éliminés par l'héritier le plus diligent selon les mêmes modalités que celles fixées en application du dernier alinéa de l'article 13.
CHAPITRE II
DE L'HÉBERGEMENT DES DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL PRODUITES OU REÇUES PAR LES PROFESSIONNELS ET ÉTABLISSEMENTS DE SANTÉ
Section I
Dispositions générales
Art. 16.
L'hébergement, pour le compte du responsable du traitement au sens de la législation relative à la protection des données personnelles, de données de santé à caractère personnel, quel qu'en soit le support, papier ou électronique, produites ou reçues par un professionnel ou établissement de santé, peut être réalisé après que le patient concerné en a été préalablement informé. Celui-ci peut s'y opposer, sous réserve de justifier d'un motif légitime.
Ne constitue pas une activité d'hébergement, le fait de se voir confier ces données pour une durée n'excédant pas quinze jours, par le professionnel ou établissement de santé ayant produit ou reçu lesdites données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données.
Art. 17.
Les traitements de données de santé à caractère personnel produites ou reçues par un professionnel ou établissement de santé, quel qu'en soit le support, papier ou électronique, que nécessite l'hébergement pour le compte du responsable du traitement ou du patient sont réalisés dans le respect des dispositions de la législation et de la réglementation relatives à la protection des données personnelles.
La prestation d'hébergement fait l'objet d'un contrat écrit.
Ce contrat fixe, dans le respect des dispositions légales et réglementaires, les modalités d'accès aux données de santé à caractère personnel hébergées.
Art. 18.
L'hébergeur de données de santé à caractère personnel produites ou reçues par un professionnel ou établissement de santé tient celles qui ont été déposées auprès de lui à la disposition du responsable du traitement ou du patient pour le compte duquel il assure l'hébergement desdites données. Il ne peut les utiliser à d'autres fins. Il ne peut les transmettre à une autre personne que le responsable du traitement ou le patient pour le compte duquel il assure l'hébergement.
Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données au responsable du traitement ou au patient pour le compte duquel il assurait cet hébergement, sans en garder de copie.
Section II
Dispositions particulières relatives à l'hébergement sur support électronique de données de santé à caractère personnel
Art. 19.
Est une activité d'hébergement sur support électronique de données de santé à caractère personnel, produites ou reçues par un professionnel ou établissement de santé, le fait d'assurer pour le compte du responsable du traitement ou du patient, tout ou partie des activités suivantes :
1) la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé ;
2) la mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle ou virtuelle du système d'information utilisé pour le traitement des données de santé ;
3) la mise à disposition et le maintien en condition opérationnelle de la plate-forme d'hébergement d'applications du système d'information ;
4) l'administration et l'exploitation du système d'information contenant les données de santé ;
5) la sauvegarde des données de santé.
Sous-section I
De la qualification de l'hébergeur
Art. 20.
Lorsqu'il a lieu sur support électronique, l'hébergement mentionné à l'article 19 ne peut être réalisé que par un titulaire d'une qualification d'hébergeur de données de santé à caractère personnel délivrée par le Directeur de l'Agence Monégasque de Sécurité Numérique.
Les conditions de délivrance de cette qualification sont fixées par arrêté ministériel.
Art. 21.
Le Directeur de l'Agence Monégasque de Sécurité Numérique peut suspendre, pour une durée qu'il détermine, ou abroger la qualification mentionnée à l'article 20 lorsque son titulaire a cessé de remplir l'une des conditions ou exigences imposées dans le cadre de sa qualification ou a méconnu, dans l'exercice de son activité, les prescriptions légales ou réglementaires qui lui sont applicables.
Art. 22.
La suspension ou l'abrogation prononcée en application de l'article 21 ne peut l'être sans que le titulaire de la qualification ait été préalablement entendu en ses explications ou dûment appelé à les fournir.
Avant de se prononcer, le Directeur de l'Agence Monégasque de Sécurité Numérique peut adresser au titulaire, par lettre recommandée avec demande d'avis de réception postal, une mise en demeure dans laquelle il lui précise les manquements constatés et lui demande de mettre en œuvre, dans un délai qui lui est fixé, les mesures correctives. Cette mise en demeure précise que le titulaire dispose, à compter de la date de sa première présentation, d'un délai de quinze jours pour présenter ses observations.
Art. 23.
La perte, pour quelque cause que ce soit, de la qualification mentionnée à l'article 20 met fin de plein droit à l'hébergement des données de santé à caractère personnel confiées à l'hébergeur et entraîne leur restitution au responsable du traitement ou au patient pour le compte duquel il assurait cet hébergement.
Sous-section II
Du contrat d'hébergement
Art. 24.
Le contrat d'hébergement sur support électronique mentionné à l'article 17 est conclu entre l'hébergeur et son client. Il contient au moins les clauses suivantes :
1) l'indication du périmètre de la qualification, mentionnée à l'article 20, obtenue par l'hébergeur, ainsi que ses dates de délivrance et de renouvellement ;
2) la description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l'intégrité, la confidentialité, la traçabilité et l'auditabilité des données hébergées ;
3) l'indication des lieux d'hébergement ;
4) les mesures mises en œuvre pour garantir le respect des droits des personnes concernées par les données de santé dont notamment :
- les modalités d'exercice des droits de portabilité des données ;
- les modalités de signalement, au responsable du traitement ou au patient pour le compte duquel il héberge les données, de la violation desdites données ;
- les modalités de conduite des audits par le délégué à la protection des données ;
5) la mention du référent contractuel du client de l'hébergeur à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
6) la mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l'existence ou l'absence de pénalités applicables au non-respect de ceux-ci ;
7) une information sur les conditions de recours à d'éventuels prestataires techniques externes et les engagements de l'hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l'hébergeur ;
8) les modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées ;
9) les obligations de l'hébergeur, à l'égard du responsable du traitement ou du patient pour le compte duquel il héberge les données, en cas de modifications ou d'évolutions techniques introduites par l'hébergeur ou imposées par la législation ou la réglementation ;
10) une information sur les garanties et les procédures mises en place par l'hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
11) la mention de l'interdiction pour l'hébergeur d'utiliser les données de santé hébergées à d'autres fins que l'exécution de l'activité d'hébergement desdites données, ainsi que de l'interdiction de les transmettre à une autre personne que le responsable du traitement ou le patient pour le compte duquel il héberge lesdites données ;
12) une présentation des prestations de la fin de l'hébergement, notamment en cas de perte de la qualification mentionnée à l'article 20, et les modalités de mise en œuvre de la réversibilité de la prestation d'hébergement de données de santé ;
13) l'engagement de l'hébergeur de restituer, à la fin de la prestation, la totalité des données de santé au responsable du traitement ou au patient pour le compte duquel il héberge lesdites données ;
14) l'engagement de l'hébergeur de détruire, à la fin de la prestation et selon les modalités définies par arrêté ministériel, les données de santé après l'accord formel du responsable du traitement ou du patient pour le compte duquel il héberge lesdites données et sans en garder de copie.
Art. 25.
Lorsque le responsable du traitement de données de santé à caractère personnel, produites ou reçues par un professionnel ou établissement de santé, ou le patient fait appel à un prestataire qui recourt lui-même pour l'hébergement desdites données à un hébergeur titulaire de la qualification mentionnée à l'article 20, le contrat qui lie le responsable du traitement ou le patient avec son prestataire reprend les clauses mentionnées à l'article 24 telles qu'elles figurent dans le contrat liant le prestataire et l'hébergeur qualifié.
CHAPITRE III
DISPOSITIONS FINALES
Art. 26.
Les établissements de santé se mettent en conformité avec les dispositions des articles 4 à 6 dans un délai d'un an à compter de la publication au Journal de Monaco de la présente ordonnance.
Sans préjudice de la responsabilité du professionnel ou établissement de santé concerné et des obligations légales et réglementaires qui lui incombent, les dispositions des articles 8 et 12 ne sont pas applicables aux données de santé à caractère personnel produites ou reçues avant la date d'entrée en vigueur de la présente ordonnance lorsque lesdites données n'ont pas été conservées jusqu'à cette date.
Art. 27.
Les dispositions des articles 7 et 11 relatives à la qualification ainsi que les dispositions des articles 20 à 25 entrent en vigueur deux ans après la publication au Journal de Monaco de la présente ordonnance, y compris pour les contrats d'hébergement en cours d'exécution.
Art. 28.
Notre Secrétaire d'État, Notre Secrétaire d'État à la Justice, Directeur des Services Judiciaires et Notre Ministre d'État sont chargés, chacun en ce qui le concerne, de l'exécution de la présente ordonnance.
Donné en Notre Palais à Monaco, le cinq novembre deux mille vingt.
ALBERT.
Par le Prince,
Le Secrétaire d'État :
J. BOISSON.