Publications

Le statut d’hébergeur de données : mode d’emploi
Publié le 16 décembre 2019

Par leur caractère sensible, les données de santé doivent être traitées dans le respect de certaines règles contraignantes. En ce sens, leur accès mais également les conditions dans lesquelles elles doivent être hébergées sont strictement encadrés.

Qu’est-ce qu’un hébergeur de données de santé ? Que prévoit la législation en la matière ?

Le simple fait d’héberger des données de santé ne permet pas d’obtenir de facto le statut d’hébergeur de données. En effet, obtenir ce statut est conditionné à un certain nombre d’obligations.

 

1.  Qui est concerné par ce statut ? Quelles données doivent être traitées ?

 

Comme le précise le Code de la santé publique en son article L1111-8, un hébergeur de données de santé est une personne hébergeant des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même.

3 conditions sont donc requises :

  • Le recueil de données de santé à caractère personnel
  • Dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social
  • Pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même

En revanche, le Code de la santé publique vient préciser que dans le cadre d’un hébergement de données de courte durée, pour effectuer un traitement de saisie, de mise en forme, de matérialisation de ces données, il n’est pas nécessaire d’obtenir le statut d’hébergeur de données. De même, le traitement de données effectué pour le compte d’un responsable de traitement nécessite l’obtention de ce statut. Un traitement effectué en interne n’est pas soumis à ces formalités.

 

2.  Le statut d’hébergeur de données est-il une exception française ?

 

La France semble en effet faire office d’exception à ce sujet. Les pays tels que la Belgique, l’Espagne ou encore les Pays-Bas semblent plébisciter le dossier médical partagé, qui permet ainsi de garantir un traitement et un hébergement de données de santé suffisamment sécurisé. Les articles L.1111-8 et R 1111-9 et suivants du Code de la santé publique s’appliquent aux données de santé à caractère personnel produites ou recueillies en France. Ainsi, seules les personnes concernées de nationalité française sont concernées. Un traitement de données de santé provenant de personnes de nationalité étrangère effectué pour le compte d’un responsable de traitement français ne sera pas soumis à la législation française en la matière.

Une fois ces conditions remplies, il est également nécessaire d’obtenir un agrément ou une certification.

 

3.  Agrément ou certification ?

 

Lorsque les données sont hébergées sur un support numérique hors cas d’archivage électronique, l’hébergeur doit obtenir un certificat de conformité, délivré par des organismes de certification accrédités par l’instance française d’accréditation.

Lorsque les données sont hébergées sur un support papier ou sur un support numérique dans le cadre d’un service d’archivage électronique, l’hébergeur doit obtenir un agrément de la part du ministère de la Culture.

Le décret n°2018-137, 26 février 2018, JO 28 février précise que les conditions de délivrance d’un certificat ou d’un agrément sont fixées par décret en Conseil d’Etat, après avis de la CNIL et des conseils nationaux des ordres des professions de santé.

Le périmètre des activités d’hébergement de données de santé relevant de la certification est exposé à l’article R.1111-9 du Code de la Santé publique.

Une simplification des procédures énumérées ci-dessus a été opérée en 2018. Désormais, seule la certification d’hébergeur doit être obtenue. Les organismes de certification vérifient que l’hébergeur respecte le référentiel de certification. Celui-ci doit préciser son activité dans sa candidature, celles-ci étant listées à l’article R. 1111-9 du Code de la santé publique

Enfin, la mise en place d’un contrat d’hébergement est essentielle comme l’indique l’article L1111-8, I, al.3 du Code de la santé publique. Celui-ci doit comporter l’ensemble des mentions obligatoires fixées à l’article R1111-11 du Code de la santé publique.

En dépit du fait que ces formalités soient contraignantes, la personne qui souhaite s’affranchir de cette certification s’expose à un certain nombre de sanctions.

 

4.  Quels sont les risques en cas de non-respect de ces conditions ?

 

Le non-respect des conditions d’agrément est puni de trois ans d’emprisonnement et de 45 000€ d’amende selon l’article L.1115-1 du Code de la santé publique.

Le 7 juin 2017[1], un médecin de l’Assistance publique-Hôpitaux de Marseille (AP-HM) a été condamné à une amende de 5 000,00 euros pour traitement illicite de données relatives à la santé lorsque l’un de ses patients a été en mesure de trouver son dossier médical sur internet par le biais d’un moteur de recherche. Il pouvait également accéder et modifier son dossier médical via la plateforme sur laquelle celui-ci se trouvait sans qu’il soit nécessaire de s’identifier ou de s’authentifier. L’hébergeur de la base de données en question n’était pas agréé pour l’hébergement de données de santé.

L’obtention du statut d’hébergeur de données est donc indispensable afin de se prémunir de ce type de sanction. Les établissements de santé ne sont pas les seuls concernés par ce statut, Microsoft, AWS ou encore Google font désormais partie de la liste, plus si réduite, des hébergeurs certifiés.

 

[1] TGI de Marseille, 6e ch. corr., jugement du 7 juin 2017. Le Procureur de la République, AP-HM / M. X., Mme Y. et M. Z.

 

Par Floriane Collombel

 

Suivez-nous sur Linkedin, Twitter et Facebook