L’hébergement des données de santé en question(s)

L’entrée en vigueur du RGPD pose question(s) dans le domaine de la santé, où de nombreuses données plus ou moins sensibles sont collectées et stockées. Marie-Christelle Mellouet, en charge de la réglementation Santé pour Orange, nous aide à comprendre ces enjeux et leurs évolutions. Le point en 5 questions.

1. Données de santé : de quoi parle-t-on ?

Depuis l’entrée en vigueur du RGPD, la notion de « données de santé » est précisément définie. La définition proposée par le règlement englobe les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique – y compris la prestation de services de soins de santé – qui révèlent des informations sur l’état de santé de cette personne.

 

2. Quels sont les organismes concernés par la règlementation relative à l’hébergement des données de santé ?

Les personnes concernées par l'hébergement de données de santé (HDS) sont d’une part, les patients qui confient l’hébergement de leurs données de santé à un tiers, et d’autre part les responsables de traitements de données de santé à caractère personnel ayant pour finalité la prévention, la prise en charge sanitaire (soins et diagnostic) ou la prise en charge sociale et médico-sociale de personnes. « C’est l’externalisation de l’hébergement qui rend obligatoire la certification : les établissements de santé hébergeant eux-mêmes leurs propres données n’ont pas à être certifiés », précise Marie-Christelle Mellouet.

 

3. Quelle est la procédure de certification en vigueur depuis 2018 ?

Jusqu’en 2018, les hébergeurs de données de santé devaient obtenir un agrément ministériel pour stocker les données des patients. « Le décret du 26 février 2018 a défini la nouvelle procédure de certification et organisé la transition entre l’agrément et la certification », explique Marie-Christelle Mellouet. Le passage à la certification est entré en vigueur le 1er avril 2018. Ce changement de procédure marque la transition d’un modèle déclaratif appliqué à des prestations au périmètre variable vers un système ou les activités sont déterminées. La conformité aux référentiels de certification est garantie par des audits documentaires et sur site, menés par des organismes certificateurs accrédités par le Comité Français d’Accréditation (Cofrac).

On distingue deux certificats définissant les activités entrant dans le périmètre de l’hébergement des données de santé sur support numérique :

  • le certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
  • le certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructures virtuelles, de plateformes logicielles, d’infogérance et de sauvegarde externalisée.

 

« Ces certifications se fondent sur des standards internationaux. La procédure prévoit par exemple d’encadrer l’activité d’hébergement par une évaluation de conformité à un référentiel de certification qui s’appuie sur la norme ISO 27001 Système de Management de la sécurité de l’information. Un des objectifs de cet alignement sur les standards internationaux ISO est d’assurer une meilleure transparence et une plus grande lisibilité à l’international », analyse l’experte.

 

4. Quelle est l’articulation entre le RGPD et la règlementation sur l’hébergement des données de santé ?

Dans les faits, règlement européen et textes nationaux peuvent se recouper mais sont aussi complémentaires. D’une part, le RGPD définit les obligations générales, comme la nomination d’un Data Protection Officer (DPO), la déclaration des incidents de sécurité ou encore la réalisation d’analyses d’impact sur la vie privée. D’autre part, la réglementation HDS précise et renforce les mesures de sécurité à mettre en œuvre et dont la conformité aux référentiels sera certifiée avant toute opération d’hébergement. Le processus de certification ou le recours à un prestataire certifié apparaît finalement comme un outil de conformité au RGPD pour le responsable de traitement.

Par ailleurs, le RGPD prévoit que les États membres puissent disposer de certaines marges de manœuvre concernant la gestion des données sensibles dont font partie les données de santé à caractère personnel. Ils peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. « D’une certaine manière, il existe donc une exception pour les données de santé à caractère personnel », observe Marie-Christelle Mellouet. « La France fait par exemple usage des marges de manœuvre qui lui sont accordées en conservant un régime d’autorisation pour certains traitement de données de santé à caractère personnel ; par ailleurs, la réglementation sectorielle sur l’HDS est également en soit une spécificité nationale.... »

 

5. Quel consentement pour les patients ?

Depuis la loi du 26 janvier 2016, le consentement exprès et préalable à l’hébergement des données de santé est remplacé par la nécessité d’informer le patient de manière claire quant à l’hébergement et au traitement des données le concernant.

« L’hébergeur n’ayant généralement pas de lien direct avec le patient, il reporte cette obligation de transparence sur son client, l’établissement de santé, qui est souvent le responsable de traitement », complète Marie-Christelle Mellouet. L’établissement de santé, en sa qualité de responsable de traitement, doit s’assurer du respect des droits des personnes concernées : droit d’accès, de rectification, de portabilité ou encore de suppression de la data.

Un patient peut en effet demander à établissement médical de rectifier ou d’effacer ses données de santé si elles sont inexactes, équivoques, incomplètes ou périmées, ceci à condition de justifier d'un « motif légitime ». Par exemple, un patient hospitalisé a pu obtenir l'effacement de certaines informations médicales le concernant au motif qu'un membre de sa famille travaillait dans cet établissement et qu'il ne souhaitait pas que sa famille soit informée des traitements qu'il suivait. Enfin, le droit à l’effacement ne doit pas aller à l’encontre de l’utilisation des données du patient si elles concernent un intérêt public dans le domaine de la santé.