L’HÉBERGEMENT DES DONNÉES DE SANTE (HDS)

Hébergement des données de santé

Par Guillaume PERS

Consultant Juriste RGPD


 

Les données de santé constituent
des informations révélant les caractéristiques intimes d’une personne. Il peut
par exemple s’agir de son état de santé physique, mental, d’un handicap, d’une
prédisposition à une certaine pathologie ou d’un traitement suivi dans le
passé. 

La protection de la vie privée et
plus particulièrement des données à caractère personnel, a franchi un nouveau
cap en mai 2018 avec l’entrée en application du RGPD (règlement général sur la
protection des données), qui caractérise les données de santé en
données particulièrement sensibles.

Le législateur français n’a
cependant pas attendu les effets du RGPD pour exiger un niveau élevé de
protection des données relatives à la santé. En effet l’article L.1111-8 du code de la santé publique encadre l’hébergement
des données de santé.
Cet article a fait l’objet de modifications, entrées en vigueur
le 1er avril 2018.

Afin de protéger au mieux la vie
privée des personnes, l’hébergement des données de santé est encadré par des
modalités et conditions ayant pour objectif d’imposer un niveau de sécurité
adapté à la criticité de ces données. Concrètement, certaines données ne peuvent être hébergées que par un hébergeur de
données de santé certifié.

Dans quels cas le recours à un hébergeur de données de
santé est-il obligatoire ?

L’ASIP santé (l’Agence des Systèmes d’Information Partagés en santé) a dans un premier temps considéré que le recours à un hébergeur de données de santé devait s’appliquer à tout responsable de traitement, au sens de la loi Informatique et libertés, qui externalise l’hébergement des données de santé à caractère personnel, incluant notamment les mutuelles et les assurances.

Cependant dans une FAQ du 17 juillet 2018, l’ASIP santé est revenue à une interprétation textuelle de l’article L.1111-8 du CSP, qui dispose que le recours à un hébergeur de données de santé est obligatoire lorsque des données personnelles relatives à la santé sont traitées « à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

On peut donc en déduire que les données de santé qui ne sont pas
recueillies dans le cadre médical ou médico-social ne doivent pas
obligatoirement être hébergées par un hébergeur de données de santé certifié.

Sont donc, par exemple,
dispensés les organismes d’assurance, les mutuelles, les traitements de
données dans le cadre d’activités sportives, les données recueillies dans le
cadre la relation employeur/salariés, ou à des fins de recherche.

La législation apporte certaines
exclusions supplémentaires. Ainsi, il n’est pas obligatoire de recourir à un
hébergeur de données de santé certifié lorsque :

  • Les données sont confiées «pour une courte période par les personnes physiques ou morales, à l’origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. » (Article R. 1111-8-8 du CSP).
  • La conservation de données de santé dans le cadre d’un service d’archivage numérique ne relève pas du régime de la certification selon l’ASIP santé, mais doit être agréé par le ministre chargé de la culture (art L. 1111-8 III du CSP).

Quels droits pour les personnes ?

Depuis la modification apportée
par l’ordonnance n° 2017-27 du 12/01/2017, il n’est désormais plus nécessaire
de recueillir au préalable le consentement de la personne concernée pour
l’hébergement de ses données de santé.

Celle-ci doit cependant être informée
de la mise en place de ce traitement et dispose d’un droit d’opposition pour
motif légitime.

Formalisme et encadrement de la prestation HDS

La prestation d’hébergement de données de santé doit faire l’objet d’un
contrat
. Cependant les conditions de la prestation ne sont pas libres. Les
hébergeurs ne peuvent utiliser les données qui leur sont confiées à d’autres
fins que l’exécution de la prestation d’hébergement. Lorsqu’il est mis fin à
l’hébergement, l’hébergeur doit restituer les données aux personnes qui les lui
ont confiées, sans en garder de copie. De plus les personnes placées sous
l’autorité de l’hébergeur de données de santé sont soumises au secret
professionnel.

Le prestataire d’HDS doit désormais être titulaire d’un certificat de
conformité, délivré par un organisme accrédité.

La certification HDS s’appuie
sur :

  • La
    norme ISO 27001 « système de gestion de la sécurité des systèmes d’information
    » ;
  • Certaines
    exigences de l’ISO 20000 « système de gestion de la qualité des services » ;
  • Certaines
    exigences de l’ISO 27018 « protection des données à caractère personnel » ;
  • Des
    exigences spécifiques à l’hébergement de données de santé.

Le certificat est délivré pour
une durée de trois ans, par l’organisme certificateur et chaque année, un audit
de surveillance est effectué.

Avant le 1er avril
2018, les hébergeurs de données de santé devaient être agréés par le ministre
de la santé. Les agréments pour l’HDS
délivrés avant le 31 mars 2018 ou à la suite de demandes déposées avant cette
date, restent valables jusqu’à leur terme.

Enfin, l’article L.1111-8 du CSP dispose
que la vente de données de santé à
caractère personnel est interdite, même avec l’accord de la personne concernée
.

Ce principe rappelle qu’à l’heure
où les données personnelles sont considérées comme le nouvel or noir de
l’économie digitale, elles restent loin d’être de simples marchandises.

Sources :

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000021941353&cidTexte=LEGITEXT000006072665

https://www.droit-technologie.org/actualites/hebergement-de-donnees-de-sante-lagrement-laisse-place-a-certification/

https://esante.gouv.fr/services/hebergeurs-de-donnees-de-sante/hebergement-des-donnees-de-sante

https://www.pdgb.com/cabinet-PDGB/l-assurance-et-la-recherche-medicale-sont-exclues-du-champ-d-application-des-textes-sur-l-hebergement-des-donnees-de-sante-1136-6-art.htm


Actualité du Groupe


10 juillet 2019 : e-Assistance RGPD : la nouvelle offre d’assistance ACTECIL est en ligne !
5 juillet 2019 : Mise en conformité RGPD des associations sportives
27 juin 2019 : RGPD ACADEMY, site dédié aux formations RGPD se lance sur les réseaux sociaux !
25 juin 2019 : #LOGEMENT #BAILLEURS SOCIAUX – Comment répondre à une demande de droit d’accès ?
24 juin 2019 : La Maison de l’Artisanat propose une Conférence sur la Cybersécurité, animée par ActeCIL, à Colmar, le 27 juin 2019, à partir de 18h00 !
18 juin 2019 : Publicité ciblée, Stratégie de Digital Marketing et RGPD
10 mai 2019 : L’outil APM dévoile toutes ses fonctionnalités lors du Congrès : « Compliance & Technologie » de l’IRC
10 avril 2019 : La Minute RGPD : Le registre du traitement
10 avril 2019 : MEET’UP RGPD À TOULOUSE : ENCORE QUELQUES PLACES DISPONIBLES !
10 avril 2019 : NOUVELLE FORMATION E-LEARNING : LES BAILLEURS SOCIAUX ET LE RGPD
accueil Blog Actu-CIL