L'hébergement de données sensibles
Le développement des nouvelles technologies de l’information et de la communication n’intéresse pas que les sociétés privées, l’Etat s’y implique également à travers son service public. Les pouvoirs publics sont conscients de la formidable opportunité que représente internet pour mettre en œuvre les différentes politiques économiques et sociales en direction des administrés. Ainsi, l’Etat pourra réaliser une politique de la justice de la fiscalité ou de la santé, rationnelle tant au point de vue de la réalisation des objectifs fixés que de celui de la maîtrise des budgets affectés pour chacune de ces politiques.
Or si un domaine en particulier requiert un effort de l’Etat en matière de cohérence et de maîtrise des coûts c’est certainement celui de la santé. Il n’est pas utile de rappeler ici la lutte menée par les pouvoirs publics pour résorber le déficit de la sécurité sociale, la presse en fait quotidiennement état. A ce titre, on constate que les différents ministres de la santé qui se sont succédés ces dernières années ont largement privilégié les systèmes d’informations automatisés pour rationaliser les dépenses de santé des patients. C’est ainsi qu’a été mis en pratique en 2012 le dossier médical personnalisé (DMP) qui permet de centraliser les informations médicales d’un patient. Le DMP est ainsi directement accessible par les professionnels de santé qui suivent le patient.
Collecter les données médicales des patients pour un meilleur exercice des soins médicaux et une plus grande maîtrise des dépenses de santé est assurément une initiative appropriée, si dans le même temps le patient reçoit une garantie dans l’utilisation qui est faite de ses données médicales à caractère personnel. A ce sujet, les différentes lois qui ont autorisé la collecte d’informations sur les données médicales des patients ont toujours été accompagnées de dispositions venant poser un cadre juridique précis d’autorisation, d’accès, de conservation et de responsabilités encourues. Il en est ainsi des hébergeurs de données sensibles portant sur des informations médicales.
Le rôle des hébergeurs de données sensibles à caractère médical
Les professionnels de santé (médecins, hôpitaux) ont besoin d’informations précises sur l’historique médical de la personne qu’ils vont traiter, afin notamment de connaître ses antécédents ou sur les risques à lui prescrire tel ou tel médicament. Toutes ces données médicales peuvent être conservées par les professionnels de santé eux-mêmes. Ces derniers peuvent aussi décider de s’adresser à un professionnel dont c’est le métier, pour stocker en toute sécurité l’ensemble de ces données médicales des patients. Ce professionnel est qualifié d’hébergeur car il héberge en quelque sorte sur des supports informatiques les données qui lui sont transmises par les professionnels de santé. L’hébergeur est un professionnel qui a été agrée pour cette fonction.
L’article L1111-8 du Code de la santé publique autorise expressément les professionnels de santé « à déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agrées à cet effet ». La loi ajoute que cet hébergement ne peut avoir lieu « qu’avec le consentement exprès de la personne concernée ».
La procédure d’agrément des hébergeurs de données à caractère médical
C’est la loi du 4 mai 2002 relative aux droits des malades qui a instauré la procédure d’agrément des hébergeurs de données de santé. La manipulation de données aussi sensibles que les informations médicales à caractère personnel nécessitait manifestement une décision d’agrément de l‘hébergeur. Le décret du 4 janvier 2006 organise les conditions d’obtention de l’agrément.
L’agrément est délivré par le ministre de la santé au terme d’une procédure d’examen du dossier d’agrément. Le candidat adresse au ministre de la santé une demande d’agrément, lequel va le transmettre à la CNIL pour apprécier la conformité du dossier à la loi informatique et libertés de 1978, après quoi un avis est rendu dans les 2 mois suivant. La CNIL transmet alors le dossier à un Comité d’agrément qui relève de la CNIL. Enfin après l’avis du Comité dans le délai d’un moi, le dossier revient entre les mains du ministre de la santé qui dispose d’un délai de deux mois pour décider ou non d’accorder l’agrément.
L’agrément est délivré pour 3 ans et son renouvellement est possible selon la même procédure, à condition en outre d’en effectuer la demande 6 mois avant l’expiration du premier agrément et de fournir un audit externe réalisé aux frais de l'hébergeur certifiant que celui-ci a rempli ses obligations au regard de la politique de confidentialité et de sécurité des données.
Les conditions pour être agréé
Pour la délivrance de l’agrément, la loi a pris en considération essentiellement les garanties de sécurité et de confidentialité des données personnelles des patients par les hébergeurs. L’agence des systèmes d’informations partagés de santé à la demande du ministre de la santé a mis en place des « référentiels d'interopérabilité et de sécurité » pour accroître l’efficacité de la procédure d’agrément des organismes. C‘est ainsi que, lors du dépôt de la demande d’agrément, le candidat doit joindre à son dossier une présentation de sa politique de confidentialité et de sécurité d’hébergement des données qu’il entend mettre en œuvre : en matière du respect des droits des personnes (consentement de la personne), en matière de sécurité d’accès aux informations, en matière de pérennité des données médicales transmises (leur évolution et enrichissement) et enfin en matière d'organisation et de procédures de contrôle interne pour assurer la sécurité des données (qui aura accès aux données en interne).
Les obligations essentielles de l’hébergeur agréé
Le législateur a entendu préserver strictement la vie privée des patients. La législation sur les obligations juridiques des hébergeurs de données médicales a été adoptée en fonction de la règle posée à l’article L1110-4 du Code de santé publique :
Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d'exercice ou les activités sont régies par le présent code, le service de santé des armées, un professionnel du secteur médico-social ou social ou un établissement ou service social et médico-social [...] a droit au respect de sa vie privée et du secret des informations la concernant.
Le consentement du patient à la collecte et à la transmission de ses données est toujours requis, sauf lorsque la collecte des données de santé est nécessaire à la sauvegarde de la vie du patient et que celui-ci n’est pas exceptionnellement apte a donner son consentement.
L’article L1111-8 du Code de santé publique dispose que l’hébergeur doit se conformer en tout point avec la loi informatique et liberté du 6 janvier 1978. Ainsi, avant l'entrée en vigueur du RGPD, l’hébergeur devait par conséquent adresser à la CNIL une déclaration des traitements des données dont il est responsable. Cet article rappelle que la transmission des données à l’hébergeur ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.
La transmission des données médicales du professionnel de santé vers l’hébergeur doit reposer sur un contrat (un contrat de prestation d’hébergement) qui doit spécifier que la transmission, l’hébergement, l’accès sont subordonnés à l’accord de la personne concernée (article L1111-8 du CSP). L’inspection générale des affaires sociales opère des contrôles qui peuvent conduire au retrait de l’agrément en cas de violation des prescriptions légales (non respect du secret professionnel, obligation de confidentialité enfreinte). Par ailleurs, toute violation de ces dispositions expose l’hébergeur et son personnel à des peines pénales. Ainsi la violation du secret professionnel est punie d’un 1 an d’emprisonnement et de 15 000 euros d’amendes (article 226-13 du Code pénal).
A l’issue du contrat de la prestation d’hébergement, les données transmises à l’hébergeur doivent être restituées soit au patient soit au professionnel de santé. L’hébergeur doit restituer l’ensemble des données confiées sans pouvoir en garder trace dans ses fichiers. Lorsque c’est avec le patient directement que le contrat d’hébergement a été conclu, ce dernier peut décider de le rompre à tout moment.
Quels sont les hébergeurs agréés ?
Le site internet du gouvernement (esante.gouv.fr) dresse une liste des hébergeurs certifiés permettant à l'hébergement de données sensibles à caractère médical. Parmi ceux-ci nous pouvons à titre d’exemple citer Amazon Web Services (AWS) ou encore Microsoft Corporation.