Les données de santé sont des données sensibles. Pour cette raison, elles doivent être traitées dans le respect de quelques règles. En effet, leur accès et les conditions de leur hébergement doivent être encadrés. Il faut noter que pour obtenir le statut d’hébergeur de données, il ne suffit pas uniquement de recueillir des informations de santé. L’acquisition de ce statut est soumise à des obligations.
Les personnes concernées par le statut d’hébergeur et les types de données traitées
En vertu de l’article L 1111-98 du Code de la santé publique, un hébergeur de données de santé est une personne qui conserve des informations de santé sensibles, collectées à différents moments :
- lors d’un diagnostic ;
- durant des soins spécifiques ;
- pour un suivi médical ou médico-social ;
- à l’occasion d’une activité de prévention…
Elles peuvent être pour le compte du patient ou de celui de personnes physiques ou morales ayant ordonné leur collecte. Dans l’un ou dans l’autre cas, utiliser un logiciel rgpd est fortement conseillé afin d’assurer leur sécurité. Vous pouvez également solliciter l’expertise d’une agence spécialisée dans la conformité RGPD pour vous aider.
Par contre, le Code de la santé publique précise que si l’hébergement est réalisé en interne, est de courte durée et destiné à effectuer une mise en forme, un traitement ou une matérialisation des données, obtenir le statut d’hébergeur ne relève pas d’une obligation.
Cependant, si le traitement est effectué pour le compte d’un responsable de traitement, le statut est indispensable. Afin de respecter les directives du règlement européen sur la protection des données, n’oubliez pas de recourir à un registre rgpd. Rappelons que la tenue d’un répertoire des traitements est obligatoire pour les personnes physiques et morales qui stockent et gèrent des informations à caractère personnel.
Est-ce que le statut d’hébergeur concerne uniquement la France ?
La France serait une exception à ce sujet. Plusieurs pays tels que les Pays-Bas, l’Espagne et la Belgique semblent voter le dossier médical partagé, ce qui permet de sécuriser le traitement et l’hébergement des données de santé. En effet, les articles L 1111-8, R 1111-9 et suivants concernent uniquement les données personnelles collectées ou générées en France. De ce fait, tout traitement de données de personnes de nationalité étrangère n’est pas soumis à la législation française.
Lorsque ces conditions sont remplies, l’obtention d’un agrément ou d’une certification est requise.
Quand faut-il obtenir un agrément et une certification ?
L’agrément
Il est délivré par le Ministère de la Culture et est nécessaire quand les données sont hébergées sur un support numérique (pour un service d’archivage électronique) ou sur un support papier.
La certification
Un certificat de conformité est utile quand les données sont hébergées sur un support numérique (en dehors de l’archivage électronique). Il est délivré par des organismes de certification.
La délivrance de l’agrément et du certificat
Un décret en conseil d’État fixe les conditions de délivrance de l’agrément ou du certificat après que les conseils nationaux des ordres de professions de santé ainsi que la CNIL aient donné leur avis (d’après le décret n°2018-137 du 26 février 2018, JO 28 février).
En 2018, ces procédures ont été simplifiées. En effet, seule la certification d’hébergeur est désormais requise. Pour cela, les organismes doivent s’assurer que l’hébergeur concerné respecte le référentiel de certification. Il faut noter que l’activité doit être mentionnée dans la candidature.
Enfin, selon l’article L 1111-8, I, al.3 du Code de la santé publique, l’établissement d’un contrat d’hébergement est indispensable. Il doit contenir toutes les mentions énumérées dans l’article R 1111-1 du Code de la santé publique.
Bien que ces formalités puissent être contraignantes, si elles ne sont pas respectées, l’hébergeur s’expose à des risques de sanctions.
Pour vous permettre de prendre conscience de vos obligations en matière de protection des données, des ateliers rgpd sont disponibles en ligne et gratuitement.
Les principaux risques en cas de non-respect des conditions
Le RGPD prévoit des sanctions dans le cas où un hébergeur ne respecte pas les conditions citées plus haut. En effet, il risque une peine d’amende de 45 000 € et de 3 ans d’emprisonnement en vertu de l’article L 1115-1 du Code de la santé publique.
En 2017, un médecin de l’AP-HM ou Assistance publique-Hôpitaux de Marseille a été contraint de payer 5 000 € d’amende, car un de ses patients a retrouvé son dossier médical par hasard sur une plateforme web. Il pouvait également y accéder et le modifier librement (sans authentification préalable). Or, l’hébergeur de ces données ne bénéficiait d’aucun agrément.
Afin d’éviter le même problème, il est donc essentiel d’obtenir le statut d’hébergeur. Sachez que les établissements de santé ne sont pas les seuls concernés. Parmi les hébergeurs certifiés, on peut aussi citer Google, AWS ou encore Microsoft. La liste s’allonge continuellement.