L’HÉBERGEMENT DES DONNÉES DE SANTE (HDS)

Hébergement des données de santé

Par Guillaume PERS

Consultant Juriste RGPD

 

Les données de santé constituent des informations révélant les caractéristiques intimes d’une personne. Il peut par exemple s’agir de son état de santé physique, mental, d’un handicap, d’une prédisposition à une certaine pathologie ou d’un traitement suivi dans le passé. 

La protection de la vie privée et plus particulièrement des données à caractère personnel, a franchi un nouveau cap en mai 2018 avec l’entrée en application du RGPD (règlement général sur la protection des données), qui caractérise les données de santé en données particulièrement sensibles.

Le législateur français n’a cependant pas attendu les effets du RGPD pour exiger un niveau élevé de protection des données relatives à la santé. En effet l’article L.1111-8 du code de la santé publique encadre l’hébergement des données de santé. Cet article a fait l’objet de modifications, entrées en vigueur le 1er avril 2018.

Afin de protéger au mieux la vie privée des personnes, l’hébergement des données de santé est encadré par des modalités et conditions ayant pour objectif d’imposer un niveau de sécurité adapté à la criticité de ces données. Concrètement, certaines données ne peuvent être hébergées que par un hébergeur de données de santé certifié.

Dans quels cas le recours à un hébergeur de données de santé est-il obligatoire ?

L’ASIP santé (l’Agence des Systèmes d’Information Partagés en santé) a dans un premier temps considéré que le recours à un hébergeur de données de santé devait s’appliquer à tout responsable de traitement, au sens de la loi Informatique et libertés, qui externalise l’hébergement des données de santé à caractère personnel, incluant notamment les mutuelles et les assurances.

Cependant dans une FAQ du 17 juillet 2018, l’ASIP santé est revenue à une interprétation textuelle de l’article L.1111-8 du CSP, qui dispose que le recours à un hébergeur de données de santé est obligatoire lorsque des données personnelles relatives à la santé sont traitées « à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

On peut donc en déduire que les données de santé qui ne sont pas recueillies dans le cadre médical ou médico-social ne doivent pas obligatoirement être hébergées par un hébergeur de données de santé certifié.

Sont donc, par exemple, dispensés les organismes d’assurance, les mutuelles, les traitements de données dans le cadre d’activités sportives, les données recueillies dans le cadre la relation employeur/salariés, ou à des fins de recherche.

La législation apporte certaines exclusions supplémentaires. Ainsi, il n’est pas obligatoire de recourir à un hébergeur de données de santé certifié lorsque :

  • Les données sont confiées «pour une courte période par les personnes physiques ou morales, à l’origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. » (Article R. 1111-8-8 du CSP).
  • La conservation de données de santé dans le cadre d’un service d’archivage numérique ne relève pas du régime de la certification selon l’ASIP santé, mais doit être agréé par le ministre chargé de la culture (art L. 1111-8 III du CSP).

Quels droits pour les personnes ?

Depuis la modification apportée par l’ordonnance n° 2017-27 du 12/01/2017, il n’est désormais plus nécessaire de recueillir au préalable le consentement de la personne concernée pour l’hébergement de ses données de santé.

Celle-ci doit cependant être informée de la mise en place de ce traitement et dispose d’un droit d’opposition pour motif légitime.

Formalisme et encadrement de la prestation HDS

La prestation d’hébergement de données de santé doit faire l’objet d’un contrat. Cependant les conditions de la prestation ne sont pas libres. Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d’autres fins que l’exécution de la prestation d’hébergement. Lorsqu’il est mis fin à l’hébergement, l’hébergeur doit restituer les données aux personnes qui les lui ont confiées, sans en garder de copie. De plus les personnes placées sous l’autorité de l’hébergeur de données de santé sont soumises au secret professionnel.

Le prestataire d’HDS doit désormais être titulaire d’un certificat de conformité, délivré par un organisme accrédité.

La certification HDS s’appuie sur :

  • La norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;
  • Certaines exigences de l’ISO 20000 « système de gestion de la qualité des services » ;
  • Certaines exigences de l’ISO 27018 « protection des données à caractère personnel » ;
  • Des exigences spécifiques à l’hébergement de données de santé.

Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur et chaque année, un audit de surveillance est effectué.

Avant le 1er avril 2018, les hébergeurs de données de santé devaient être agréés par le ministre de la santé. Les agréments pour l’HDS délivrés avant le 31 mars 2018 ou à la suite de demandes déposées avant cette date, restent valables jusqu’à leur terme.

Enfin, l’article L.1111-8 du CSP dispose que la vente de données de santé à caractère personnel est interdite, même avec l’accord de la personne concernée.

Ce principe rappelle qu’à l’heure où les données personnelles sont considérées comme le nouvel or noir de l’économie digitale, elles restent loin d’être de simples marchandises.

Sources :

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000021941353&cidTexte=LEGITEXT000006072665

https://www.droit-technologie.org/actualites/hebergement-de-donnees-de-sante-lagrement-laisse-place-a-certification/

https://esante.gouv.fr/services/hebergeurs-de-donnees-de-sante/hebergement-des-donnees-de-sante

https://www.pdgb.com/cabinet-PDGB/l-assurance-et-la-recherche-medicale-sont-exclues-du-champ-d-application-des-textes-sur-l-hebergement-des-donnees-de-sante-1136-6-art.htm


accueil Blog Actu-CIL