Hébergement de données de santé : les règles à connaître.

Temps de lecture estimé : 19 minutes

Les données de santé sont des informations sensibles à caractère personnel qui font l'objet de réglementations spécifiques concernant leur exploitation, leur partage et leur conservation.

Si le cadre pour leur collecte et leur usage par des professionnels de santé était déjà défini dans le Code de la santé publique, l'hébergement de données de santé par des tiers fait l'objet de nouvelles règles au niveau européen qui sont définies par le RGPD (Règlement Général sur la Protection des Données).

01. La donnée de santé : comment est-elle définie ?
02. Quelles situations correspondent à l'hébergement de données de santé ?
03. Règles à suivre par les hébergeurs de données de santé
04. Les règles pour l'échange et le partage des données de santé

01. La donnée de santé : comment est-elle définie ?

Le RGPD (Règlement Général sur la Protection des Données) définit le cadre à suivre, au niveau européen, concernant le traitement et la circulation des données à caractère personnel.

Depuis 2016, c'est donc le RGPD qui établit la définition exacte de la donnée de santé. Cette notion regroupe l'ensemble des informations relatives à la santé physique ou mentale d'une personne physique. Cela inclut les prestations de services en soins de santé du moment qu'elles révèlent des informations sur la santé d'une personne physique.

02. Quelles situations correspondent à l'hébergement de données de santé ?

Qui sont les hébergeurs des données de santé ?

Selon le Code de la santé publique (article L.1111-8), sont concernées les personnes physiques ou morales qui hébergent des données de santé pour le compte d'autres personnes physiques ou morales ou pour le patient concerné.

Ces données à caractère personnel ont pu être recueillies lors de prestations de prévention, de diagnostic ou de soin. Elles peuvent aussi avoir été récupérées pendant des activités de suivi médico-social ou social.

Les personnes physiques ou morales demandant l'hébergement doivent également être à l'origine du recueil ou de la production de ces données. Les personnes physiques ou morales hébergeant ces données de santé sont dans l'obligation de posséder les agréments ou certifications requis.

Les différents types d'hébergement des données

Il est possible de définir deux catégories concernant la conservation des données de santé :

• les hébergeurs pratiquant l'infogérance
• et ceux gérant les structures physiques.

Les hébergeurs proposant des prestations d'infogérance sont concernés par cette réglementation quand leur offre de services comprend :

• l'externalisation de la sauvegarde de données de santé ;
• la gestion et l'exploitation du système d'information dans lequel se trouvent les données de santé ;
• la mise à disposition et le maintien en conditions opérationnelles de l'infrastructure virtuelle du système d'information ou de la plateforme hébergeant les applications du système d'information.

Tous les professionnels de santé sont-ils impactés ?

La législation relative à l'hébergement ne concerne pas systématiquement l'ensemble des professionnels manipulant des données de santé.

Lorsque les données sont conservées en interne par une personne responsable de cette activité mais appartenant à la structure ayant collecté les données, il ne s'agit pas de sous-traitance de l'hébergement.

C'est le cas notamment des services de santé au travail en entreprise. Par ailleurs, la conservation des informations contenues dans le dossier médical, par un médecin ou un établissement de santé notamment, est réglementée par le Code de la santé publique.

Enfin, l'obligation de recourir à un prestataire détenteur de la certification ou de l'agrément HDS (Hébergement des Données de Santé) ne s'applique pas pour :

• les organismes de recherche à condition que les bases de données utilisées n'aient pas été constituées à l'origine pour répondre à des besoins de prévention, de diagnostic, de soin ou de suivi social et/ou médico-social ;
• les organismes d'assurance maladie (obligatoire et complémentaire) car les informations dont ils ont besoin pour établir leurs remboursements des frais de santé ne proviennent pas d'une collecte qu'ils auraient initiée ;
• les fabricants, fournisseurs et distributeurs de dispositifs médicaux, excepté dans le cas où ils participent à des activités de télésurveillance ;
• les associations proposant des activités sportives à des personnes handicapées car les données de santé qu'elles utilisent n'ont pas été collectées de leur propre fait.

L'information du patient est-elle obligatoire ?

Dans le cas où des données de santé d'un patient font l'objet d'un hébergement, la personne concernée doit être informée de façon claire et préalable. Elle a ainsi le droit de s'opposer à cet hébergement. C'est l'hébergeur qui a la responsabilité de cette information.

Il doit donc définir dans le contrat HDS de quelle manière le patient va pouvoir être informé, que ce soit par l'hébergeur lui-même ou par le client ayant demandé l'hébergement.

03. Règles à suivre par les hébergeurs de données de santé

À condition qu'il ne s'agisse pas d'une activité d'archivage numérique, les hébergeurs doivent posséder la certification HDS, qui remplace l'actuel agrément HDS.

Déroulement de la procédure de certification HDS

L'organisme certificateur procède à un audit en 2 étapes :

• un audit documentaire : il consiste à évaluer la conformité documentaire du système d'information par rapport aux exigences du référentiel de certification ;
• un audit sur site : il s'agit de récupérer les preuves d'audit.

Cet organisme va vérifier également la possible équivalence des certifications ISO 27001 (norme internationale relative à la gestion des risques liés à la sécurité de l'information) et ISO/IEC 20000 (norme internationale concernant les systèmes d'information).

Suite à l'audit sur site, l'organisme certificateur peut éventuellement notifier des non-conformités. Dans ce cas, l'hébergeur audité doit procéder aux corrections dans un délai maximum de 3 mois puis faire auditer ces corrections.

Si au-delà de cette période, l'entreprise auditée n'a pris aucune action, la procédure d'audit sur site est annulée et doit de nouveau être réalisée.

Si l'audit sur site aboutit favorablement, directement ou après correction de non-conformités, le certificat HDS est délivré. Il est valide pour une durée de 3 ans. Pendant cette période de 36 mois, l'organisme certificateur va réaliser un audit de surveillance annuel.

Comment trouver un hébergeur certifié HDS ?

Sur le site gouvernemental de l'Agence du Numérique en Santé (ANS), vous pouvez accéder à la liste des hébergeurs certifiés qui est régulièrement mise à jour.

Les entreprises certifiées y sont classées par ordre alphabétique. Pour chacune d'entre elles, vous savez rapidement quels services sont certifiés grâce à des codes numériques (1 à 6) et quel est l'organisme qui les a certifiés. Les services sont classifiés de la manière suivante :

• mise à disposition et maintien en conditions opérationnelles de sites physiques hébergeant l'infrastructure informatique traitant les données de santé ;
• mise à disposition et maintien en conditions opérationnelles de l'infrastructure informatique traitant les données de santé ;
• mise à disposition et maintien en conditions opérationnelles de la plateforme hébergeant les applications informatiques traitant les données de santé ;
• mise à disposition et maintien en conditions opérationnelles de l'infrastructure informatique virtuelle traitant les données de santé ;
• administration et exploitation du système informatique traitant les données de santé ;
• sauvegarde des données de santé.

Exodata est depuis début 2020, certifiée HDS.

Quels sont les organismes habilités à produire la certification HDS ?

Le gouvernement a défini une liste précise d'organismes pouvant délivrer les certificats HDS.

Ces entreprises, après avoir obtenu une recevabilité technique d'un organisme d'accréditation (la COFRAC en France ou tout organisme équivalent au niveau européen), sont habilitées à délivrer des certificats HDS pendant 9 mois à partir de la date d'accréditation. Leur liste est également disponible sur le site gouvernemental de l'ANS.

04. Les règles pour l'échange et le partage des données de santé

L'échange et le partage de données de santé se basent sur :

• le respect du secret professionnel ;
• la notion d'équipe de soins ;
• le couple information/droit d'opposition ;
• des règles légales spécifiques.

Cet échange et ce partage de données de santé peuvent s'opérer entre professionnels faisant partie ou pas de la même équipe de soin afin d'assurer la continuité des soins, la coordination ou un suivi médico-social.

Un article du Code de la santé publique (L.1110-4-1) est entièrement consacré à ce sujet. Il prévoit notamment que les systèmes d'information utilisés pour la conservation et la transmission des données de santé doivent être conformes à des référentiels qui sont :

• élaborés et maintenus par l'Agence des Systèmes d'Information Partagés (ASIP) ; devenue l'ANS. 
• approuvés, après avis de la CNIL, par le Ministre en charge de la Santé.

Avant de confier l'hébergement de données de santé à un tiers, vous devez vous assurer de trouver une entreprise certifiée HDS.

Vous êtes ainsi certain que l'hébergeur répond à tous les critères légaux requis pour assurer la protection de ces données sensibles.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.