Bien sûr les données concernant notre santé sont des informations pour lesquelles les individus souhaitent de la confidentialité ainsi qu’une certaine sécurité face aux différents risques existants de nos jours, tels que les menaces de vols de données, de réutilisation frauduleuse ou encore tout simplement de modification non autorisée pouvant entrainer de graves conséquences pour la santé de l’individu.
Qu’est-ce qu’une donnée de santé ?
Avant le nouveau règlement européen sur la protection des données à caractère personnel (RGPD) du 27 avril 2016, la loi n’avait pas défini ce qu’est une donnée de santé, bien qu’il existait un large consensus entre tous les acteurs pour retenir une définition large de cette notion. Avec ce règlement qui entrera bientôt en application, le 25 mai 2018, la donnée de santé connait une définition légale : informations relatives à l’état de santé, physique ou mentale, d’une personne concernant le passé, le futur ou le présent et peu importe la source de la donnée.
Des règles particulières pour les données de santé
Afin de répondre à ce besoin de sécurité renforcé pour ce type de données, la loi a qualifié ces données de santé de données « sensibles ». Ainsi bien évidemment, en plus de la règlementation concernant la protection des données à caractère personnel, des règles spécifiques aux données de santé concernant leurs traitements, c’est-à-dire notamment leur collecte, utilisation, communication et conservation, s’appliquent à ce type de données à caractère personnel. Nous nous concentrerons dans cet article essentiellement sur les règles et obligations concernant l’hébergement de ces données.
L’agrément des hébergeurs
Depuis la loi du 4 mars 2002, dite « loi Kouchner », les articles L1111-8 et R1111-9 à 14 Code de Santé Publique imposent aux responsables de traitement, qui font hébergés par un tiers les données de santé, l’obligation de recourir à des hébergeurs ayant obtenus un agrément délivré par le Ministère de la santé. Par contre, si le responsable de traitement héberge par ses propres moyens ces données de santé, il n’a pas l’obligation d’être agréé. Cette loi précise que les données de santé concernées par cette obligation sont celles recueillies à des fins de diagnostic, prévention, soin ou encore de suivi social ou médico-social.
L’agrément délivré permet de certifier que le tiers hébergeur des données de santé a mis en place des mesures suffisantes en termes de sécurité, confidentialité, disponibilité et intégrité de ces données. L’hébergeur qui souhaite obtenir cet agrément doit déposer un dossier, comportant notamment une analyse des risques et une politique de sécurité des systèmes d’information, qui sera étudier par l’ASIP santé, la CNIL et le Comité d’agrément des hébergeurs. Si ces organismes donnent un avis favorable le Ministère de la santé délivrera l’agrément qui sera valable durant 3 ans. Tout au long de cette période, l’hébergeur est soumis au contrôle de l’Inspection générale des affaires sociales et peut se voir retirer son agrément en cas de non-respect des exigences de confidentialité et sécurité des données.
La certification des hébergeurs
Il est important de noter que depuis l’ordonnance du 12 janvier 2017, prise en vertu de la loi de modernisation de notre système de santé du 26 janvier 2016, la procédure d’agrément a été remplacée par une procédure de certification. Cette procédure de certification entrera en application au plus tard le 1er janvier 2019 et au plus tôt à la date fixée par le décret qui précisera cette nouvelle procédure. Ce remplacement permettra d’assurer un meilleur niveau de sécurité puisque, contrairement à la procédure d’agrément qui fonctionne sur une logique de déclaration de l’hébergeur, la certification nécessitera un audit sur site par un organisme certificateur indépendant qui vérifiera la réalité des mesures de sécurité mis en place par l’hébergeur.
Les sanctions
En cas d’hébergement sans avoir obtenu l’agrément ou la certification nécessaire, l’hébergeur risque une peine de 3 ans d’emprisonnement et 45 000 euros d’amende.
