Econocom a récemment obtenu l’agrément pour l’hébergement de données de santé. Ces données sont considérées comme sensibles et les hébergeurs doivent répondre à des référentiels draconiens. Le point sur leurs obligations.

données-santé-econocom-v2

Econocom a reçu l’agrément en tant qu’hébergeur de données de santé à caractère personnel en avril 2016. Cet agrément « atteste de notre savoir-faire, et démontre la capacité d'Econocom à répondre aux standards les plus élevés en matière d'hébergement et de sécurité dans le domaine de la santé, et plus largement la qualité de ses services d'infogérance pour l’ensemble de ses clients » a souligné Sébastien Lescop, Directeur d'agence, Infrastructure Management Services pour Econocom.

Protégées par le code de la santé publique ou le code de la sécurité sociale, les informations relatives à la santé d'une personne sont considérées par la loi Informatique et Libertés comme des données sensibles.

Données de santé : qui les collecte ?

Les données de santé à caractère personnel sont relatives à l’état de santé (physique et psychique) d’un patient. Elles sont ‘’recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins’’ selon les précisions du Code de la santé publique (CSP) ou à l’occasion de ‘’suivi social ou médico-social’’.

Avant janvier 2016, seules les premières activités étaient définies et les acteurs de ces activités restreints aux professionnels (médecins, infirmières) et les établissements de santé (cliniques et hôpitaux). La loi santé de janvier 2016 a entre autres permis d’enrichir l’éventail des activités  concernées avec celles autour du ‘’suivi social ou médico-social’’.

Cet ajout ouvre potentiellement les obligations autour de la collecte et du traitement des données de santé à caractère personnel à de nouvelles catégories de professionnels, mais sans les nommer directement : services de santé au travail, maisons de retraite, assurances, mutuelles.

Données de santé hébergées : qui en est responsable ?

Les professionnels de santé qui les collecte en étaient les uniques responsables jusqu’en janvier 2016. Pour leur stockage sur support papier, électronique ou en mode Cloud, ils peuvent toujours choisir entre 2 options :

  • Conserver ces données avec leur propre infrastructure IT. Dans ce cas, les professionnels de santé ne sont pas soumis à un agrément spécifique. Mais ils doivent déclarer leurs fichiers à la CNIL.
  • Déposer les données des dossiers patients auprès d’un prestataire, un hébergeur agréé par le Ministère de la Santé, dont la responsabilité s’applique à la confidentialité et à la sécurité des données hébergées.

D’un point de vue des pratiques, ces 2 options sont à moduler si le mode de stockage des données de santé est mutualisé. Un groupement de santé, type communauté hospitalière, qui héberge les données de médecins et de ses membres entre dans la catégorie de l’hébergeur tiers et est soumis à l’obligation d’agrément.

Conditions d’agrément et obligations de l’hébergeur de données de santé

Trois grands types d’activités peuvent être liés aux prestations  d’un hébergeur tiers : stockage, site de sauvegarde ou, stockage et traitement des données.

Chaque hébergeur est chargé d’assurer la confidentialité, la sécurité, l’intégrité et la disponibilité des données. La manipulation de données n’est pas autorisée. Mais l’hébergeur peut héberger des applications avec un accès direct du patient à l’application, à condition de préciser les modalités d’identification et d’authentification de l’utilisateur final.

La procédure d’agrément pour un candidat hébergeur dure environ de 4 à 8 mois. La CNIL évalue en premier lieu les garanties apportées par le candidat ; le comité d’agrément statue ensuite sur les conditions informatiques, éthiques, financières, etc. de l’hébergeur candidat et de ses sous-traitants. Le dossier et les référentiels pour l’attribution de l’agrément sont accessibles à partir du portail de l’ASIP-Santé.

L’agrément est valable pour une durée de 3 ans, renouvelable sur dossier. Il est délivré pour un modèle de contrat relatif à l’hébergement de données de santé et non pas pour l’ensemble des activités d’hébergement de l’entreprise candidate. Cet agrément peut être retiré à l’hébergeur en cas de manquement à ses obligations.

Peut-on héberger des données de santé à l’étranger ?

Oui mais… Comme le précise l’ASIP-Santé : ‘le contrat d’hébergement ainsi que le dossier de demande d’agrément indiquent le(s) lieu(x) où sont hébergées les données. Rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français, sous réserve du respect des dispositions de la loi Informatique et Libertés, relatives aux transferts de données à caractère personnel’’. Les états membres de l’Union européenne bénéficient d’une règlementation identique pour la protection des données à caractère personnel et pas uniquement dans le domaine de la santé.

Hors Europe, onze pays (Andorre, Suisse, Canada, Israël, Nouvelle-Zélande, etc.) ont été reconnus par l’UE comme présentant les conditions de protection adéquates pour les données personnelles.

Quid des droits des patients sur leurs données de santé ?

Depuis 2007, les patients ne peuvent plus s’opposer à l’hébergement de leurs informations de santé par une société tierce. Le patient doit être informé et peut recourir à la loi Informatique et Liberté pour faire valoir ses droits d’opposition pour motif légitime et de rectification.

Les données de santé peuvent aussi être partagées, sauf opposition du patient, entre les professionnels de santé, les équipes de soins, avec les autorités sanitaires en cas d’épidémie mais en dehors de toute exploitation commerciale. À des fins de recherche médicale, le consentement du patient est obligatoire.