Les données à caractère personnel font l’objet d’un encadrement juridique particulier défini par le droit européen de la protection des données (Règlement général sur la protection des données), mais aussi par le droit national. En effet, les règles applicables à l’hébergement de données à caractère personnel de santé fait l’objet d’une évolution notable : l’agrément délivré par le ministère de la santé fait place nette à la certification.

Rappelons que les données à caractère personnel de santé sont désignées par le Règlement général sur la protection des données par la notion de « données concernant la santé« . Elles sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (Article 4, 15) du RGPD).

Mathias Avocats vous en dit plus sur la certification des hébergeurs de données à caractère personnel de santé et ses impacts.

L’agrément, un système complexe

Jusqu’à présent, il était nécessaire d’obtenir un agrément spécifique du ministère de la santé pour pouvoir exercer une activité d’hébergement de données à caractère personnel de santé. L’article L1111-8 du Code de la santé publique fixait les modalités de l’obtention de cet agrément, ainsi que les obligations auxquelles devaient se soumettre les prestataires d’hébergement de telles données.

Ce système d’agrément apparaissant comme lourd, le législateur a entendu le simplifier à l’occasion de l’adoption de la loi de modernisation de notre système de santé du 26 janvier 2016. L’article 204, I, 5° de cette loi habilitait le gouvernement à prendre des ordonnances pour mettre en place un nouveau système de certification applicable à l’hébergement de données de santé.

L’ordonnance n°2017-27 du 12 janvier 2017, que nous évoquions avec vous, a donc eu pour objet d’instaurer un système de certification, plus souple et pouvant être délégué à des organismes certificateurs.

Pour que ce nouveau système rentre en application, un décret précisant ses modalités était nécessaire. C’est désormais chose faite avec le décret n°2018-137 du 26 février 2018 relatif à l’hébergement des données de santé à caractère personnel.

Qu’advient-il du système d’agrément à compter du 1er avril 2018 ?

Le nouvel article L1111-8 du Code de la santé publique, issue de l’ordonnance et du décret, entre en vigueur à compter du 1er avril 2018.

Le recours à la certification n’est pas ouvert à tous les hébergeurs de données de santé. Certains demeureront soumis à la procédure d’agrément. C’est le cas des hébergeurs sur support papier, et des hébergeurs sur support numérique dans le cadre d’un archivage électronique. Le ministre chargé de la culture devra superviser la délivrance des agréments à ces hébergeurs, selon de modalités fixées par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés (CNIL).

Quant à la question des agréments déjà délivrés, elle est réglée par le décret qui met en place une période transitoire. Les agréments délivrés avant le 31 mars 2018 ou à la suite de demandes déposées avant cette date restent valables jusqu’à leur terme. Ils demeurent régis par les dispositions antérieures. De plus, les agréments pour l’hébergement de données sur support informatique arrivant à échéance avant le 31 mars 2019 voient leur durée de validité prolongée de six mois. Cette extension vise à donner aux hébergeurs un délai pour effectuer les démarches nécessaires à la certification.

La certification : pour qui, pourquoi ?

Les hébergeurs devront désormais être titulaires d’un certificat de conformité pour exercer légalement cette activité. Précisons qu’il s’agit de données de santé collectées « à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ».

Sera considéré comme une activité d’hébergement de données de santé à caractère personnel sur support numérique le fait d’assurer pour le compte du responsable du traitement ou du patient lui-même tout ou partie des activités suivantes :

  • Héberger l’infrastructure matérielle du système d’information servant au traitement des données de santé ;
  • Mettre à disposition et opérer la maintenance de l’infrastructure matérielle du système d’information servant au traitement des données de santé ;

  • Mettre à disposition et opérer la maintenance de l’infrastructure logicielle du système d’information servant au traitement des données de santé ;

  • Mettre à disposition et opérer la maintenance de la plateforme à distance servant au traitement des données de santé ;

  • Administrer ou exploiter le système d’information servant au traitement des données de santé ;

  • Assurer la sauvegarde des données de santé.

Il est précisé que ne constitue pas une activité d’hébergement de données de santé soumis à l’obligation d’être titulaire du certificat « le fait de se voir confier des données pour une courte période par les personnes physiques ou morales à l’origine de la production ou du recueil de ces données pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».

La délivrance des certificats est confiée à des organismes certificateurs, accrédités par le Comité Français d’Accréditation (COFRAC) ou par un organisme européen équivalent. Pour obtenir un certificat, les hébergeurs devront prouver qu’ils respectent un référentiel de certification élaboré et régulièrement mis à jour par le groupement d’intérêt public chargé du développement des systèmes d’information de santé partagés. Ce référentiel devra être approuvé par arrêté du ministre de la santé, pris après avis de la CNIL.

Le contrat d’hébergement encadré

Un contrat devra être conclu entre l’hébergeur et son client, et contenir une série de stipulations introduites par le décret et listées au sein de l’article R. 1111-11 du Code de la santé publique. Ces stipulations portent notamment sur l’activité d’hébergement, son encadrement, les garanties présentées par l’hébergeur en termes de niveaux de service, etc. Si l’hébergeur a lui-même recours à un prestataire pour tout ou partie de l’activité d’hébergement des données de santé, il devra reprendre ces stipulations à l’identique dans le contrat qui le lie à son sous-traitant.

Un certain nombre de stipulations obligatoires font écho à celles devant figurer au sein de tout contrat de sous-traitance d’un traitement de données à caractère personnel. Il sera nécessaire pour les responsables du traitement de s’assurer que toutes informations requises par le Règlement général sur la protection des données (RGPD) soient également présentes dans le contrat les unissant à leurs hébergeurs.

Mathias Avocats se tient à votre disposition pour vous conseiller et vous accompagner sur ces enjeux.