L’hébergement des données de santé

Bien sûr les données concernant notre santé sont des informations pour lesquelles les individus souhaitent de la confidentialité ainsi qu’une certaine sécurité face aux différents risques existants de nos jours, tels que les menaces de vols de données, de réutilisation frauduleuse ou encore tout simplement de modification non autorisée pouvant entrainer de graves conséquences pour la santé de l’individu.

 

Qu’est-ce qu’une donnée de santé ?

Avant le nouveau règlement européen sur la protection des données à caractère personnel (RGPD) du 27 avril 2016, la loi n’avait pas défini ce qu’est une donnée de santé, bien qu’il existait un large consensus entre tous les acteurs pour retenir une définition large de cette notion. Avec ce règlement qui entrera bientôt en application, le 25 mai 2018, la donnée de santé connait une définition légale : informations relatives à l’état de santé, physique ou mentale, d’une personne concernant le passé, le futur ou le présent et peu importe la source de la donnée.

 

Des règles particulières pour les données de santé

Afin de répondre à ce besoin de sécurité renforcé pour ce type de données, la loi a qualifié ces données de santé de données « sensibles ».  Ainsi bien évidemment, en plus de la règlementation concernant la protection des données à caractère personnel, des règles spécifiques aux données de santé concernant leurs traitements, c’est-à-dire notamment leur collecte, utilisation, communication et conservation, s’appliquent à ce type de données à caractère personnel. Nous nous concentrerons dans cet article essentiellement sur les règles et obligations concernant l’hébergement de ces données.

 

L’agrément des hébergeurs

Depuis la loi du 4 mars 2002, dite « loi Kouchner », les articles L1111-8 et R1111-9 à 14 Code de Santé Publique imposent aux responsables de traitement, qui font hébergés par un tiers les données de santé, l’obligation de recourir à des hébergeurs ayant obtenus un agrément délivré par le Ministère de la santé. Par contre, si le responsable de traitement héberge par ses propres moyens ces données de santé, il n’a pas l’obligation d’être agréé. Cette loi précise que les données de santé concernées par cette obligation sont celles recueillies à des fins de diagnostic, prévention, soin ou encore de suivi social ou médico-social.

L’agrément délivré permet de certifier que le tiers hébergeur des données de santé a mis en place des mesures suffisantes en termes de sécurité, confidentialité, disponibilité et intégrité de ces données. L’hébergeur qui souhaite obtenir cet agrément doit déposer un dossier, comportant notamment une analyse des risques et une politique de sécurité des systèmes d’information, qui sera étudier par l’ASIP santé, la CNIL et le Comité d’agrément des hébergeurs. Si ces organismes donnent un avis favorable le Ministère de la santé délivrera l’agrément qui sera valable durant 3 ans. Tout au long de cette période, l’hébergeur est soumis au contrôle de l’Inspection générale des affaires sociales et peut se voir retirer son agrément en cas de non-respect des exigences de confidentialité et sécurité des données.

 

La certification des hébergeurs

Il est important de noter que depuis l’ordonnance du 12 janvier 2017, prise en vertu de la loi de modernisation de notre système de santé du 26 janvier 2016, la procédure d’agrément a été remplacée par une procédure de certification. Cette procédure de certification entrera en application au plus tard le 1er janvier 2019 et au plus tôt à la date fixée par le décret qui précisera cette nouvelle procédure. Ce remplacement permettra d’assurer un meilleur niveau de sécurité puisque, contrairement à la procédure d’agrément qui fonctionne sur une logique de déclaration de l’hébergeur, la certification nécessitera un audit sur site par un organisme certificateur indépendant qui vérifiera la réalité des mesures de sécurité mis en place par l’hébergeur.

 

Les sanctions

En cas d’hébergement sans avoir obtenu l’agrément ou la certification nécessaire, l’hébergeur risque une peine de 3 ans d’emprisonnement et 45 000 euros d’amende.

A propos de Justine WANDER

WANDER Justine, étudiante M2 Gestion et droit de l’économie numérique à l’Université de Strasbourg, passionnée par le droit numérique et les nouvelles technologies

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.