En raison de leur caractère personnel et sensible, les données de santé sont strictement réglementées. Cela englobe leur exploitation, leur partage ainsi que leur conservation. C’est le Code de la santé publique qui définit la collecte et l’usage de ces informations par les professionnels de santé. Mais pour leur hébergement par des tiers, c’est le RGPD (Règlement Général sur la Protection des Données) qui établit les règles à l’échelle européenne.
Qu’est-ce qu’on entend par données de santé ?
C’est depuis l’année 2016 que le RGPD a annoncé la définition de données de santé. La notion rassemble toutes les informations concernant la santé mentale et physique d’une personne physique. Cela comprend également les prestations de services en soins de santé révélant des informations sur l’état de santé passé, présent ou futur de cette personne. Afin de bien les définit, la CNIL propose des éclaircissements. Elle tient compte de la nature des données (antécédents, pathologies, traitements et examens, soins réalisés…), des informations résultant de leur croisement et la finalité de leur utilisation. On peut se tourner vers un opérateur national de Services Hébergés pour leur hébergement.
L’hébergement des données de santé
À cause de leur sensibilité, l’hébergement des données de santé est très sécurisé. Ainsi, tous les hébergeurs (personnes physiques ou morales) de ce type d’informations doivent être certifiés ou agréés. L’agrément donné par le ministère de la santé est remplacé par la certification HDS (Hébergement des Données de Santé). Elle renforce la protection des données tout en bâtissant un cadre de confiance vis-à-vis de l’e-santé. Les conditions de certification sont établies par l’article L.1111-8 du Code de santé publique. La réglementation concerne les hébergeurs gérant les structures physiques ainsi que les hébergeurs offrant des services d’infogérance (externalisation, gestion et exploitation du système d’information, la mise à disposition ainsi que le maintien en condition opérationnelle).
Qui sont concerné par l’hébergement données de santé
La législation en rapport avec l’hébergement ne touche pas tous les professionnels qui manipulent des données de santé. En effet, quand elles sont stockées en interne, on ne parle pas de sous-traitance de l’hébergement. C’est le cas des services de santé au travail au sein des entreprises. À noter que faire appel à un hébergeur de données de santé certifié ou agréé ne concerne pas les organismes de recherche, les organismes d’assurance maladies, les associations offrant des activités sportives aux handicapés et les fabricants, les fournisseurs ainsi que les distributeurs de dispositifs médicaux.
Bon à savoir
Pour les données de santé hébergées chez un tiers, il est obligatoire d’informer au préalable les personnes concernées de manière claire. À préciser qu’elles ont le droit de refuser cet hébergement. La responsabilité de cette information revient à l’hébergeur. Afin de trouver un prestataire certifié et agréé, on va sur le site gouvernemental de l’ANS (Agence du Numérique en Santé). Il y a une liste d’hébergeurs proposant un haut niveau de sécurisation et de protection, et elle est souvent mise à jour. Notons qu’il y a aussi la certification ISO 27001, gage de la présence d’un SMSI (Système de Management de la Sécurité de l’Information).
