Se reporter à "Déclarer la modification d’un programme d’ETP" dans la page "Elaborer et déclarer un programme d’ETP"
La déclaration du programme qui n’a pas été mis en œuvre dans les douze mois qui suivent sa déclaration ou qui n’est plus mis en œuvre pendant six mois consécutifs, devient caduque.
La mise en œuvre s’entend comme le fonctionnement effectif du programme. En l’absence de signalement fait à l’ARS, la non remise de l’évaluation quadriennale permet d’interroger l’effectivité réelle du programme et pourra déclencher la caducité.
Toutefois, si le non fonctionnement est lié à une décision du Directeur Général de l’ARS, cette mesure ne s’applique pas.
La cessation du programme doit être déclarée à l’ARS dans un délai de 3 mois à compter de sa prise d'effet.
Si le programme n’a pas fait l’objet d’une déclaration, le Directeur général de l’ARS ordonne la cessation de la mise en œuvre du programme.
Des sanctions administratives en cas de mise en œuvre d'un programme d'éducation thérapeutique du patient sans déclaration sont prévues :
- Le coordonnateur du programme doit, dans un délai de 30 jours, procéder à la déclaration du programme ou cesser celui-ci ;
- à défaut, une amende administrative d’un montant maximum de 30 000 € peut être prononcée à son encontre.
Les modalités de mise en œuvre des sanctions financières sont précisées aux articles L. 1435-7-1 et R. 1435-37 du CSP.
Conformément à l’Art. R 1161-5 du code de la santé publique, une décision d’opposition à la mise en œuvre d’un programme peut être décidée par le Directeur Général de l’ARS si le programme ne répond pas aux exigences réglementaires.
- Le coordonnateur du programme doit, dans un délai de 30 jours qui suit la notification de la mise en demeure, mettre fin aux manquements constatés.
- En l’absence de réponse, le Directeur Général de l’ARS prend à l’issue de ce délai une décision d’opposition à la mise en œuvre du programme et peut prononcer une amende administrative à l’encontre du ou des professionnels responsables du manquement aux exigences réglementaires.
Dans le cas où les modalités de mise en œuvre d’un programme d’éducation thérapeutique du patient sont susceptibles de mettre en danger la santé des patients, le Directeur Général d’ARS met en demeure le coordonnateur du programme de cesser sa mise en œuvre sans délai.
- En l’absence de cessation immédiate, le directeur général de l’ARS prend une décision d’opposition à la poursuite du programme et peut prononcer une amende administrative à l’encontre du ou des professionnels responsables du manquement.
Depuis le Règlement Général de Protection des Données (RGPD) entré en vigueur le 25 mai 2018, le régime déclaratif a laissé place à un contrôle a posteriori exercé par la CNIL. L’exploitation des données afférentes aux programmes d’ETP ne fait plus l’objet d’une demande d’autorisation CNIL (excepté dans l’hypothèse de traitements de données à des fins de recherche). Pour autant, les responsables de programmes ETP, en tant que responsables de traitement de données, doivent à cette fin respecter un certain nombre d’obligations à savoir notamment :
- Tenir un registre interne qui décrit les traitements mis en œuvre. Ce registre doit inclure le nom et les coordonnées du responsable de traitement, ainsi que les éléments essentiels dudit traitement (la finalité du traitement de données, les personnes concernées par ce traitement, les destinataires, la durée du traitement, la durée d’archivage…).
- Assurer le droit à l’information des personnes dont les données sont traitées. Cette information peut être effectuée par voie d’affichage dans l’établissement ou bien par la production d’un document spécifique. Les informations fournies devront comporter :
- l’identité du responsable du traitement ;
- l’identification du délégué à la protection des données (par exemple par une adresse mail générique) ;
- la finalité du traitement ;
- le caractère obligatoire ou facultatif des réponses et les conséquences éventuelles d'un défaut de réponse ;
- les destinataires ou catégories de destinataires des données collectées ;
- les droits des personnes (droit d’opposition au traitement, droit d’accès, droit de rectification et d’effacement des données) ;
- l’existence du droit à la limitation du traitement, du droit à l’oubli, du droit à la portabilité des données, du droit de retirer son consentement à tout moment, du droit d’introduire une action devant une autorité de contrôle (en France, droit de formuler une réclamation auprès de la CNIL) ;
- les éventuels transferts de données à caractère personnel envisagés à destination d'un état non membre de l’union européenne (UE) ;
- la durée de conservation des données et leur archivage ; lorsque ce n’est pas possible d’indiquer la durée de conservation des données, indiquer les critères utilisés pour déterminer cette durée ;
- la base juridique du traitement ;
- l’intention d’effectuer un traitement ultérieur pour une autre finalité et les informations pertinentes relatives à ce traitement ultérieur.
- Réaliser une étude d’impact relative à chaque traitement de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La CNIL détaille les critères permettant de définir les cas où cette analyse (ou étude) d’impact est obligatoire et a mis en ligne un outil permettant de la réaliser. (Les traitements déjà en cours ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 sont dispensés de cette obligation durant 3 ans à compter de cette date, dès lors qu’ils n’ont fait l’objet d’aucune modification significative).
- Désigner un délégué à la protection des données (DPD ou DPO).
- Les établissements publics de santé sont tous concernés par cette obligation, tandis que les établissements privés de santé sont potentiellement concernés, selon qu’ils mettent ou non en œuvre un traitement de données sensibles "à grande échelle". La mutualisation d’un DPD entre plusieurs établissements est possible.
- Porter une attention particulière à l’encadrement contractuel des prestations des tiers fournisseurs de service (sous-traitants article 28 du RGPD).
- Mettre en place des procédures permettant de garantir la sécurité et la confidentialité des données.
- Signaler auprès de la CNIL tout incident de sécurité impliquant des données personnelles.