Hébergement des données de santé : bon à savoir

Sommaire

Les données de santé font l’objet de réglementations strictes en matière de conservation et d’exploitation. Le RGPD (Règlement Général sur la Protection des Données) définit les règles à suivre pour héberger ces données. En plus de ce règlement européen, en France, les données à caractère personnel, notamment les données de santé, sont régies par la loi Informatique et Libertés.

Les données de santé : qu’est-ce que c’est ?

Selon le RGPD, les données de santé comprennent l’ensemble des données à caractère personnel concernant l’état de santé mentale ou physique d’une personne ainsi que les soins reçus et les antécédents médicaux, Ces informations peuvent être récoltées lors de l’inscription d’une personne pour recevoir des soins, par exemple.

Il est à noter que les réglementations ne sont pas applicables dans le cas où les données sont stockées localement sur l’appareil de l’utilisateur sans aucune connexion extérieure. Exemple : les applications de santé qui récoltent les données de leurs utilisateurs. Pour plus de détails, consulter cet article.

Envie d’aller plus loin ?

Hébergement des données de santé : que dit la loi ?

Le Conseil National de l’Ordre des Médecins a publié un référentiel intitulé « guide pratique sur la protection des données personnelles », inspiré des textes de loi du RGPD et la loi Informatique et Libertés. Il enjoint à :

Fournir aux patients les informations relatives au traitement de leurs données personnelles.
Protéger les données hébergées contre tout dégât ou perte. La sécurité des systèmes d’hébergement des données de santé est ainsi un enjeu majeur.
Travailler avec des fournisseurs de service d’hébergement agréés. Ces derniers doivent être certifiés HDS. Nous expliquons ce point plus bas.
Désigner un délégué à la protection des données (DPO) qui a pour mission la mise en conformité avec le RGPD.
Permettre aux patients d’accéder, de modifier et de limiter le traitement de leurs données personnelles.

La certification HDS : définition et conditions

Selon l’article L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016, les fournisseurs de services d’hébergement des données de santé doivent obtenir la certification HDS. Les entreprises qui traitent les données en local et gèrent leurs propres systèmes informatiques ne sont pas concernées par cette obligation, sauf dans le cas d’un groupement hospitalier. Sont également exclus de cette obligation les services d’archivage numérique. D’autres cas sont cités ci-après.

Pour qu’ils soient certifiés HDS, les hébergeurs doivent assurer :

La disponibilité instantanée des données
La traçabilité de toute intervention de modification
La sécurité nécessaire pour garantir l’intégrité et la confidentialité des données.

Il est bon de savoir que la certification HDS se présente sous forme de deux certifications :

La certification hébergeur d’infrastructure physique
La certification hébergeurs infogéreurs

Cela permet en effet d’adapter la certification à la nature des services proposés par les hébergeurs à savoir la fourniture des serveurs physiques et la fourniture des serveurs virtuels.

Vous pouvez en apprendre davantage sur la procédure d’obtention de la certification HDS sur le site officiel e-santé.

Dans quels cas la certification HDS n’est pas obligatoire ?

Les organismes de recherche

À la condition que les données collectées et sauvegardées ne soient pas destinées à être utilisées à des fins de prévention, de diagnostic, de soin ou de suivi.

Les organismes d’Assurance maladie

Les établissements d’Assurance maladie obligatoire ou complémentaires ne sont pas concernés par l’obtention de la certification HDS, puisque les données qu’ils utilisent ne sont pas issues d’une collecte qu’ils ont réalisée.

Les entreprises de fabrication, de fourniture et de distribution de dispositifs médicaux

Celles-ci ne sont pas concernées par la certification HDS, sauf si elles réalisent ou participent à des opérations de télésurveillance.

Les associations sportives pour personnes souffrant de handicap

Elles ne sont pas concernées, à condition que les données qu’elles traitent ne proviennent pas d’une collecte qu’elles ont effectuée.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie « Statistiques ».
cookielawinfo-checkbox-functional	11 months	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
cookielawinfo-checkbox-necessary	11 months	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie « Nécessaire ».
cookielawinfo-checkbox-others	11 months	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	11 months	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie « Performance ».
viewed_cookie_policy	11 months	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Hébergement des données de santé : ce qu’il faut savoir