Par Yaël COHEN-HADRIA et Enzo FALCONIERI
Les données de santé sont depuis 1978 qualifiées en France de données à caractère personnel très sensibles voir « interdites » (art. 8 loi Informatique et libertés). Leur collecte, traitement et conservation est soumis à une réglementation renforcée. Alors que certains pensent que les nouveautés règlementaires en France et le RGPD viennent assouplir la possibilité d’héberger des données de santé, il est bon de rappeler que pour héberger des données de santé est obligatoire ou fortement recommandé d’être agréé « Hébergeur de Données de Santé ».
Le temps est assurément au Règlement Général sur la Protection des Données (« RGPD »).
Cependant, la réglementation en matière de protection des données relatives aux personnes physiques ne se compose pas du seul RGPD mais également de lois nationales.
En effet, depuis 2002[1], la France s’est dotée d’une réglementation spécifique en matière d’hébergement de données à caractère personnel relative à la santé. Cette règlementation en cours de mise à jour pour 2018-2019 peut donc « compléter » et « utiliser » les marges de manœuvres laissées par le RGPD mais ne saurait être incompatible avec le RGPD.
Hébergeurs de données de santé : d’un agrément à une certification
Pour renforcer la confiance dans les tiers auxquels des données de santé sont confiées, le législateur a souhaité que l’hébergement des données à caractère personnel relative à la santé soit réalisé dans des conditions de sécurité adaptées à leur criticité. Par exemple en respectant le principe du « DICA » (disponibilité, intégrité, confidentialité et audibilité).
En ce sens, l’ordonnance n°2017-27 du 12 janvier 2017 et le décret n°2018-137 du 26 février 2018 ont fait évoluer les procédures et conditions requises pour pouvoir héberger des données de santé.
L’article L1111-8 du code de la santé publique distingue désormais :
Les hébergeurs de données de santé sur support numérique :Est considérée comme un hébergeur de données de santé « toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social :
pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ;ou pour le compte du patient lui-même ».Les activités visées sont précisées à l’article R1111-9 du code de la santé publique.
Depuis le 1er avril 2018 :
Les prestataires HDS doivent être certifiés dans les conditions prévues à l’article R1111-10 du code de la santé publique ; et Le contrat conclu avec le prestataire HDS certifié doit contenir a minima les clauses prévues à l’article R1111-11 du code de la santé publique. Ces clauses s’ajoutent à celles prévues à l’article 28 du RGPD en matière de contrat de sous-traitance de données à caractère personnel.A noter : Les agréments pour l'hébergement de données de santé délivrés avant le 1er avril 2018 continuent à produire leurs effets jusqu'à leur terme initial.
Les hébergeurs de données de santé d’archivage électronique :
Les activités de service d'archivage électronique font l’objet de règles spécifiques et notamment d’un agrément dans des conditions fixées par décret en Conseil d’Etat.
Concernant ces services, le Gouvernement français vient de notifier le décret à venir à la Commission européenne. Ce projet de décret : (1) définit ce qu’il faut entendre par « service d'archivage électronique », (2) définit les conditions d’obtention de l’agrément spécifique et (3) prévoit les clauses que doit contenir le contrat conclu avec le prestataire agréé.
Les hébergeurs de données de santé sur support papier :Des règles spécifiques sont prévues pour l’hébergement des données de santé à caractère personnel sur support papier qui doivent être agréés[2].
Qui doit être certifié « HDS » ?
Selon les débats actuels : certaines dérogations sont possiblesDans une note explicative du 11 juillet 2018, le Ministère des solidarités et de la santé a apporté deux précisions importantes, à ce jour encore débattues. Ne seraient pas obligés d’être agréé ou certifié « HDS » :
les organismes d’assurance maladie obligatoire ou complémentaires ;les organismes de recherche ;et les fabricants/fournisseurs/distributeurs de dispositifs médicaux ;les prestataires de services qui se voient confier des données de santé pour une courte période pour effectuer : « un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».Selon le RGPD : tous doivent présenter les mêmes garanties de protection des données
Les hébergeurs de données de santé et leurs clients ne doivent pas oublier qu’à côté de cette réglementation spécifique « HDS », il existe le RGPD.
Or le RGPD classe les données de santé comme des données « interdites » au sens de l’article 9 du RGPD. Pour être autorisé à déroger à cette interdiction, il faut présenter des garanties très fortes au regard du RGPD (art. 9, 25, 32 et 35).
Dans ce contexte, les entreprises qui collectent, traitent, conservent des données de santé doivent tout de même respecter un cadre très strict pour être « autorisées » à déroger à l’interdiction de l’article 9. Ces entreprises doivent notamment justifier d’un niveau suffisant de protection des données de santé.
Cette justification peut donc se faire facilement pour une entreprise qui eu une certification/agréement HDS.
A défaut, les entreprises devront prouver qu’elles ont un niveau de sécurité et de traitement des données au moins égal à celui du référentiel de l’agréement de données de santé….ce qui implique obligatoirement des investissements financiers similaires.
En conclusions, la certification/l’agrément n’en est pas moins (1) un vecteur de mise à niveau des normes de sécurité, (2) un vecteur de confiance des patients et des partenaires et (3) la preuve d’une conformité au RGPD.
[1] Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé
[2] Article R1111-16 du code de la santé publique