Hébergement et stockage de données médicales sensibles

Données personnelles 7702 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?
Hébergement et stockage de données médicales sensibles

L'hébergement de données sensibles

Le développement des nouvelles technologies de l’information et de la communication n’intéresse pas que les sociétés privées, l’Etat s’y implique également à travers son service public. Les pouvoirs publics sont conscients de la formidable opportunité que représente internet pour mettre en œuvre les différentes politiques économiques et sociales en direction des administrés.  Ainsi, l’Etat pourra réaliser une politique de la justice de la fiscalité ou de la santé, rationnelle tant au point de vue de la réalisation des objectifs fixés que de celui de la maîtrise des budgets affectés pour chacune de ces politiques.

Or si un domaine en particulier requiert un effort de l’Etat en matière de cohérence et de maîtrise des coûts c’est certainement celui de la santé. Il n’est pas utile de rappeler ici la lutte menée par les pouvoirs publics pour résorber le déficit de la sécurité sociale, la presse en fait quotidiennement état. A ce titre, on constate que les différents ministres de la santé qui se sont succédés ces dernières années ont largement privilégié les systèmes d’informations automatisés pour rationaliser les dépenses de santé des patients. C’est ainsi qu’a été mis en pratique en 2012 le dossier médical personnalisé (DMP) qui permet de centraliser les informations médicales d’un patient. Le DMP est ainsi directement accessible par les professionnels de santé qui suivent le patient.

Collecter les données médicales des patients pour un meilleur exercice des soins médicaux et une plus grande maîtrise des dépenses de santé est assurément une initiative appropriée, si dans le même temps le patient reçoit une garantie dans l’utilisation qui est faite de ses données médicales à caractère personnel. A ce sujet, les différentes lois qui ont autorisé la collecte d’informations sur les données médicales des patients ont toujours été accompagnées de dispositions venant poser un cadre juridique précis d’autorisation, d’accès, de conservation et de responsabilités encourues. Il en est ainsi des hébergeurs de données sensibles portant sur des informations médicales.

Le rôle des hébergeurs de données sensibles à caractère médical

Les professionnels de santé (médecins, hôpitaux) ont besoin d’informations précises sur l’historique médical de la personne qu’ils vont traiter, afin notamment de connaître ses antécédents ou sur les risques à lui prescrire tel ou tel médicament. Toutes ces données médicales peuvent être conservées par les professionnels de santé eux-mêmes. Ces derniers peuvent aussi décider de s’adresser à un professionnel dont c’est le métier, pour stocker en toute sécurité l’ensemble de ces données médicales des patients. Ce professionnel est qualifié d’hébergeur car il héberge en quelque sorte sur des supports informatiques les données qui lui sont transmises par les professionnels de santé. L’hébergeur est un professionnel qui a été agrée pour cette fonction.

L’article L1111-8 du Code de la santé publique autorise expressément les professionnels de santé « à déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agrées à cet effet ». La loi ajoute que cet hébergement ne peut avoir lieu « qu’avec le consentement exprès de la personne concernée ».

La procédure d’agrément des hébergeurs de données à caractère médical

C’est la loi du 4 mai 2002 relative aux droits des malades qui a instauré la procédure d’agrément des hébergeurs de données de santé. La manipulation de données aussi sensibles que les informations médicales à caractère personnel nécessitait manifestement une décision d’agrément de l‘hébergeur. Le décret du 4 janvier 2006 organise les conditions d’obtention de l’agrément.

L’agrément est délivré par le ministre de la santé au terme d’une procédure d’examen du dossier d’agrément. Le candidat adresse au ministre de la santé une demande d’agrément, lequel va le transmettre à la CNIL pour apprécier la conformité du dossier à la loi informatique et libertés de 1978, après quoi un avis est rendu dans les 2 mois suivant. La CNIL transmet alors le dossier à un Comité d’agrément qui relève de la CNIL. Enfin après l’avis du Comité dans le délai d’un moi, le dossier revient entre les mains du ministre de la santé qui dispose d’un délai de deux mois pour décider ou non d’accorder l’agrément.

L’agrément est délivré pour 3 ans et son renouvellement est possible selon la même procédure, à condition en outre d’en effectuer la demande 6 mois avant l’expiration du premier agrément et de fournir un audit externe réalisé aux frais de l'hébergeur certifiant que celui-ci a rempli ses obligations au regard de la politique de confidentialité et de sécurité des données.

Les conditions pour être agréé

Pour la délivrance de l’agrément, la loi a pris en considération essentiellement les garanties de sécurité et de confidentialité des données personnelles des patients par les hébergeurs. L’agence des systèmes d’informations partagés de santé à la demande du ministre de la santé a mis en place des « référentiels d'interopérabilité et de sécurité » pour accroître l’efficacité de la procédure d’agrément des organismes. C‘est ainsi que, lors du dépôt de la demande d’agrément, le candidat doit joindre à son dossier une présentation de sa politique de confidentialité et de sécurité d’hébergement des données qu’il entend mettre en œuvre : en matière du respect des droits des personnes (consentement de la personne), en matière de sécurité d’accès aux informations, en matière de pérennité des données médicales transmises (leur évolution et enrichissement) et enfin en matière d'organisation et de procédures de contrôle interne pour assurer la sécurité des données (qui aura accès aux données en interne).

Les obligations essentielles de l’hébergeur agréé

Le législateur a entendu préserver strictement la vie privée des patients. La législation sur les obligations juridiques des hébergeurs de données médicales a été adoptée en fonction de la règle posée à l’article L1110-4 du Code de santé publique :

Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d'exercice ou les activités sont régies par le présent code, le service de santé des armées, un professionnel du secteur médico-social ou social ou un établissement ou service social et médico-social [...] a droit au respect de sa vie privée et du secret des informations la concernant.

Le consentement du patient à la collecte et à la transmission de ses données est toujours requis, sauf lorsque la collecte des données de santé est nécessaire à la sauvegarde de la vie du patient et que celui-ci n’est pas exceptionnellement apte a donner son consentement.

L’article L1111-8 du Code de santé publique dispose que l’hébergeur doit se conformer en tout point avec la loi informatique et liberté du 6 janvier 1978. Ainsi, avant l'entrée en vigueur du RGPD, l’hébergeur devait par conséquent adresser à la CNIL une déclaration des traitements des données dont il est responsable. Cet article rappelle que la transmission des données à l’hébergeur ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.

La transmission des données médicales du professionnel de santé vers l’hébergeur doit reposer sur un contrat (un contrat de prestation d’hébergement) qui doit spécifier que la transmission, l’hébergement, l’accès sont subordonnés à l’accord de la personne concernée (article L1111-8 du CSP). L’inspection générale des affaires sociales opère des contrôles qui peuvent conduire au retrait de l’agrément en cas de violation des prescriptions légales (non respect du secret professionnel, obligation de confidentialité enfreinte). Par ailleurs, toute violation de ces dispositions expose l’hébergeur et son personnel à des peines pénales. Ainsi la violation du secret professionnel est punie d’un 1 an d’emprisonnement et de 15 000 euros d’amendes (article 226-13 du Code pénal).

A l’issue du contrat de la prestation d’hébergement, les données transmises à l’hébergeur doivent être restituées soit au patient soit au professionnel de santé. L’hébergeur doit restituer l’ensemble des données confiées sans pouvoir en garder trace dans ses fichiers. Lorsque c’est avec le patient directement que le contrat d’hébergement a été conclu, ce dernier peut décider de le rompre à tout moment.

Quels sont les hébergeurs agréés ?

Le site internet du gouvernement (esante.gouv.fr) dresse une liste des hébergeurs certifiés permettant à l'hébergement de données sensibles à caractère médical. Parmi ceux-ci nous pouvons à titre d’exemple citer Amazon Web Services (AWS) ou encore Microsoft Corporation.

 
Obtenez un devis en 24 heures par nos avocats
Prestation demandée :
Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment à l'architecture moderne
Donnees personnelles 14743 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est écrit "big data is watching you"
Donnees personnelles 4474 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Donnees personnelles 4497 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un graphique sur un écran d'ordinateur
Donnees personnelles 4572 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un écran d'ordinateur montrant le site Facebook
Donnees personnelles 7163 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un écran d'ordinateur
Donnees personnelles 5717 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
Donnees personnelles 34880 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Donnees personnelles 5316 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur
Donnees personnelles 8138 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.

photo en noir et blanc de quelqu'un tapant au clavier de son MacBook
Donnees personnelles 10315 Vues

La question de la conservation et de la suppression des données personnelles est épineuse. En effet, une durée de conservation doit obligatoirement être établie. Combien de temps peuvent-elles être conservées ? Peut-on demander leur suppression ? Quelles sont les sanctions en cas de non-respect de ce principe ?

une personne utilisant Google Analytics sur son ordinateur portable
Donnees personnelles 5274 Vues

Depuis l'entrée en vigueur du RGPD, le traitement de données à caractère personnel est conditionné à la mise en place de mesures de sécurité afin de les protéger. L’établissement d’une cartographie des données à caractère personnel apparaît comme la solution pour faciliter leur gestion et garantir leur protection.

une caméra sur un mur
Donnees personnelles 4239 Vues

Vous avez sûrement entendu parler du Règlement Général sur la Protection des Données, dit RGPD. Entré en vigueur en 2018, il a révolutionné le traitement des données personnelles au niveau européen. Comment s’applique-t-il ? Quelle est sa portée ? Nous y répondons dans cet article.

des personnes vues d'en haut en train de marcher sur un passage piéton
Donnees personnelles 11138 Vues

L’entrée en vigueur du Règlement général sur la protection des données et les réglementations existantes en la matière ont soulevé de nombreuses questions quant au traitement des données personnelles. Il existe aujourd’hui différentes méthodes pour les protéger, notamment celle de l’anonymisation des données.

photo prise du ciel d'un continent pendant la nuit
Donnees personnelles 4189 Vues

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, dit RGPD, de nombreuses structures s’inquiètent de ne pas répondre à ses exigences. L’audit de conformité au RGPD apparaît être l’outil idéal pour être sûr de s’y conformer. Pourquoi faire un tel audit ? Quelles sont les principales étapes ?

une personne utilisant un ordinateur portable
Donnees personnelles 3296 Vues

Depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données, communément appelé RGPD, la mise en conformité au règlement est devenue un enjeu majeur pour les organismes concernés. C’est un processus qui passe par plusieurs étapes, que nous vous présentons ci-dessous.