Les règles à respecter pour l'exploitation de données médicales

Temps de lecture estimé : 15 minutes

Les données médicales numérisées sont très encadrées par la loi du fait de leur nature extrêmement sensible. Si la Loi Informatique et Libertés sont toujours d'actualité, elle est complétée depuis mai 2018 par l'application du Règlement pour la Protection des Données (RGPD). Cette réglementation européenne encadre précisément les règles d'exploitation des données médicales depuis la collecte jusqu'à l'hébergement.

Cette étape de la conservation des informations médicales est particulièrement encadrée car un certain nombre de professionnels de santé la sous-traitent à des entreprises informatiques spécialisées. Si c'est ce que vous envisagez de faire, sachez que vous êtes dans l'obligation de passer un contrat avec des sociétés certifiées HDS ou agréées HADS.

01. La collecte des informations de santé
02. Les échanges d'informations médicales
03. L'hébergement des données médicales

01. La collecte des informations de santé

Comme vous collectez des données médicales concernant vos patients, vous êtes obligés de les informer, par un affichage dans votre structure ou en leur remettant un document spécifique. Ils doivent être informés sur les points suivants au minimum :

• votre nom ;
• vos coordonnées ;
• le but de la conservation des données médicales ;
• la durée de conservation ;
• les éventuels destinataires des informations ;
• les droits des patients concernant l'accès, la rectification, voire la suppression de ces données ;

• les droits d'opposition à l'exploitation des informations ;
• les possibilités d'introduction de réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) ;
• le caractère obligatoire de la fourniture des informations et les conséquences en cas de refus.

Les patients ont le droit d'accéder à leurs données personnelles de santé, de les rectifier si besoin, de s'opposer à leur exploitation et de demander leur effacement sous conditions.

02. Les échanges d'informations médicales

Les supports de partage

Sont considérés comme des partages d'information les échanges verbaux (par téléphone, en face-à-face, par visioconférence, etc.) et écrits : courrier postal, courrier électronique, remise de document en mains propres, etc. La Loi Informatique et Libertés ainsi que le RGPD s'appliquent concernant les transmissions par voie informatique.

Avec des patients ou d'autres intervenants

En tant que professionnel de santé, vous devez certainement échanger des informations par voie électronique avec vos patients ainsi qu'avec des confrères. Comme vous avez la responsabilité d'assurer la sécurité des données que vous échangez, vous êtes dans l'obligation de respecter certaines règles. Vous pouvez utiliser un système standard de messagerie électronique uniquement pour des échanges d'informations avec vos patients et d'autres intervenants non considérés comme des professionnels de santé à condition que :

• les pièces sensibles envoyées sont cryptées ;
• le protocole de transfert garantit l'authentification et la confidentialité du serveur destinataire, par exemple, HTTPS (Hyper Text Transfer Protocol Secure) ou SFTP (Secure File Transfer Protocol) ;
• la lecture des fichiers transmis doit être conditionnée par un mot de passe qui sera fourni par téléphone, SMS, etc.

Avec des professionnels de santé

Dans le cas de communication par e-mail avec d'autres professionnels de santé, l'utilisation d'une messagerie sécurisée est obligatoire comme le système de messagerie sécurisée de santé. Créé avant même l'entrée en vigueur du RGPD, il s'agit d'un espace dématérialisé permettant l'échange de données médicales en toute confiance entre professionnels des secteurs de la santé, sanitaire, social et médico-social. Ce système comprend aussi un annuaire des professionnels habilités et des structures auxquelles ils appartiennent.

Le recueil du consentement des patients

Le partage des données médicales dans une équipe de soins demande uniquement d'informer les patients concernés. Par contre, si vous communiquez des informations hors de l'équipe de santé, vous devez procéder :

• à l'information du patient sur les détails du traitement de ces données ;
• à la remise d'un support écrit précisant de manière détaillée les droits du patient ;
• au recueil du consentement préalable du patient, par n »importe quel moyen.

Même si un patient a déjà donné son consentement, il peut à tout moment le retirer.

03. L'hébergement des données médicales

Les entreprises agréées HADS

Avant la mise en place du RGPD, la France avait créé un agrément spécifique pour les sociétés hébergeant les données de santé : l'agrément HADS (Hébergeur Agréé de données de santé). Attribué pour une durée de 3 ans, cet agrément était obtenu après l'étude d'un dossier constitué par les candidats. Ce dossier était examiné par plusieurs organismes publics parmi lesquels la CNIL pour enfin être validé ou pas au niveau du ministère de la Santé. Les derniers agréments ont donc été attribués en mai 2018.

La certification HDS

Cette certification, reconnue au niveau international, a été mise en place en même temps que l'application du RGPD. Contrairement à l'agrément HADS, cette certification n'est pas attribuée par un organisme gouvernemental mais par une entreprise certificatrice indépendante. Le processus d'attribution diffère également. Au lieu d'un simple examen de documents, deux audits sont réalisés.

Le premier est documentaire et le second se passe dans les locaux du candidat. Dans le cas où des non-conformités seraient relevées, l'entreprise a 3 mois pour les corriger et les faire à nouveau auditer. Sinon, l'ensemble de l'audit sur site devra être réalisé à nouveau. Une fois les éventuelles non-conformités levées, le certificat peut être émis pour une durée de 3 ans. De plus, chaque année, un audit de surveillance est effectué.

Une période de transition qui arrive à son terme

Vu que les derniers agréments ont été attribués en mai 2018 et pour une durée de 3 ans, ils expireront au printemps 2021. Jusqu'à ce que leur agrément expire et à condition qu'il ne soit ni suspendu ni retiré, les entreprises agréées HADS peuvent continuer leurs activités d'hébergement des données de santé mais il leur faudra ensuite obtenir la certification HDS.

Comment choisir une entreprise certifiée HDS

En plus du certificat HDS, certains critères peuvent vous aider à choisir votre prestataire comme notamment :

• l'implantation de son siège social : opter pour un sous-traitant français simplifie la rédaction du contrat vu que vos deux structures sont soumises à la même loi française. Cela peut sembler anodin mais c'est fort utile en cas de litige. De plus, il est important de savoir qu'une entreprise américaine par exemple peut être obligée de fournir des informations qu'elle héberge sur demande de certaines instances gouvernementales de son pays en vertu du « Cloud Act ». Cette loi s'applique même si les serveurs sont installés en Europe et que les données concernent de personnes n'ayant pas la citoyenneté américaine.
• la localisation des agences : choisir une société ayant des agences géographiquement proches de votre structure est avantageux non seulement pour la proximité de votre relation mais aussi pour des aspects techniques. Plus vous êtes près des serveurs, plus le temps d'accès aux informations est réduit, tout comme le risque de perte ou de corruption de données. Être dans un même fuseau horaire est également intéressant en termes de service d'assistance 24h/24 et 7j/7.

Vous savez maintenant que l'exploitation des données médicales est très réglementée, depuis la collecte des informations jusqu'à leur partage en passant par leur stockage. Si vous souhaitez sous-traiter l'hébergement des données de vos patients, n'hésitez pas à utiliser la liste à jour des hébergeurs certifiés HDS qui est à votre disposition sur le site de l'Agence Nationale de Santé.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.