Les données de santé font partie d’une catégorie particulière des données à caractère personnel, catégorie appelée « données sensibles ». De ce fait, ces dernières nécessitent des mesures spécifiques pour leur hébergement.
Un hébergement spécifique aux données de santé
La certification Hébergement Données de Santé (HDS) est désormais nécessaire pour héberger des données de santé depuis le décret 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel. Ce décret vient remplacer le décret 2006-6 du 4 janvier 2006 qui prévoyait une procédure d’agrément pour l’hébergement des données de santé à caractère personnel sur support numérique.
La certification HDS est une des conditions pour héberger des données de santé. Cette certification a différents rôles. Tout d’abord, elle permet de protéger les personnes concernées, ainsi que les personnes physiques ou morales qui détiennent ces données. Cette certification permet également de protéger les organismes de santé.
C’est l’article 9 du Règlement Général sur la Protection des Données (RGPD) qui fait des données de santé une catégorie particulière des données à caractère personnel. La Commission Nationale de l’Informatique et des Libertés (CNIL) propose une définition des données de santé. Ce sont les « données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique […] qui révèlent des informations sur l’état de santé de cette personne ».
Les personnes concernées par la certification HDS
Seules les personnes physiques ou morales qui hébergent des données de santé pour le compte de patients, de personnes physiques ou morales sont concernées par l’hébergement de données de santé.
Les établissements de santé qui traitent directement leurs données sans les transmettre à un tiers sont exemptés de la certification HDS. Cette exemption est valable uniquement pour les dossiers médicaux.
Les organismes de recherche, agissant en tant que responsable de traitement, ne bénéficient, en principe, pas de cette exemption. Ces organismes bénéficient de l’exemption uniquement lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic ou de soins.
La réglementation ne s’applique pas aux traitements des données de santé à l’usage exclusif de la personne. C’est le cas, par exemple, des applications mobiles en santé.
Le processus de certification HDS
L’organisme souhaitant obtenir une certification HDS doit suivre un processus de
certification. Cet organisme doit être audité par un organisme accrédité par le Comité français d’accréditation (COFRAC). La mission du COFRAC est d’instaurer la confiance. L’accréditation qu’elle délivre permet de réguler techniquement le marché concurrentiel du contrôle et d’éviter les comportements dangereux ou déloyaux.
L’audit pour obtenir la certification HDS se déroule en deux étapes.
Il y a tout d’abord un audit documentaire. L’organisme certificateur doit réaliser une revue documentaire du système d’information pour déterminer sa conformité aux exigences du référentiel de certification.
Le deuxième audit est un audit sur site.
Une fois cet audit passé, l’hébergeur dispose de trois mois pour corriger les éventuelles non-conformités. Si les corrections ne sont pas effectuées au bout de trois mois, la procédure d’audit devra être réalisée à nouveau.
Une fois l’audit réussi, l’organisme obtient la certification HDS pendant trois ans.
La certification HDS peut être renouvelée au bout du délai par le biais d’un audit de renouvellement.
Pour veiller au maintien du niveau de sécurité de l’hébergeur, un audit de surveillance est réalisé chaque année.
Les sanctions en cas de non-respect de la réglementation
Un contrat de service d’hébergement doit être établi entre l’hébergeur et la personne souhaitant héberger les données. Ce contrat doit inclure certaines clauses obligatoires qui sont prévues à l’article R.1111-13 du Code de la santé publique (CSP).
En cas de manquement, les sanctions prévues sont : trois ans d’emprisonnement, une amende de 45 000 euros pour les personnes physiques et 225 000 euros pour les personnes morales, une amende administrative prévue par le RGPD et une injonction de cesser le traitement des données.
Les données complètement anonymisées ne constituent plus des données de santé soumises au RGPD, elles ne sont donc pas soumises à la législation sur l’hébergement HDS.
L’hébergement en interne est toujours soumis à l’obligation de sécurité prévue par l’article 32 du RGPD. Il doit également respecter les exigences de l’article L.1110-4-1 du CSP qui prévoient que ces personnes doivent respecter des référentiels d’interopérabilité et de sécurité des dispositifs médicaux de l’Agence du Numérique en Santé.
Maud Igersheim
M2 Cyberjustice – Promotion 2022/2023