Fiche thématique
9 min de lecture
9 décembre 2022
L’hébergement, papier ou électronique, des données de santé recueillies lors d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, est réalisé dans le respect des dispositions de la loi Informatique et libertés, notamment des droits des personnes concernées, et fait l’objet d’un contrat.

Sommaire

Obligations de l’hébergeur

L’article L. 1111-8 du code de la santé publique encadre l’activité d’hébergement des données de santé. Le régime juridique auquel est soumis l’hébergeur de données de santé ne doit pas être confondu avec celui auquel est soumis le sous-traitant.

Les dispositions législatives et réglementaires relatives à l’activité d’hébergement de données de santé s’appliquent à toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même.

Les opérations techniques considérées comme faisant partie de l’activité d’hébergement sont décrites à l’article R. 1111-9 du code de la santé publique.

Remarque

En revanche ne constitue pas une activité d’hébergement le fait de se voir confier des données pour une courte période, par les personnes physiques ou morales, à l’origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. Cette exception a été adoptée pour exclure du champ d’application et donc des contraintes du texte les opérateurs amenés à héberger temporairement des données de santé à caractère personnel à l’occasion d’une prestation dont la finalité n’est pas l’hébergement proprement dit, telle que la saisie de comptes-rendus médicaux par exemple, effectués pour le compte de l’acteur de santé (C. santé publ., art. R. 1111-8-8 ).

Informer la personne concernée

L’hébergement de données de santé recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, sur support papier ou électronique, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données pour le compte du patient lui-même, par un tiers agréé à cet effet ne peut avoir lieu qu’après que la personne concernée par les données hébergées en a été informée. Depuis la loi de modernisation de notre système de santé du 26 janvier 2016, le consentement exprès de la personne concernée n’est plus exigé. Son droit d’opposition pour motif légitime est toutefois maintenu. Par ailleurs, les personnes accueillies dans les établissements ou centres où s’exercent ces activités de prévention, de diagnostic et de soins doivent être informées individuellement des mentions prescrites par le RGPD par la remise d’un document ou tout autre moyen approprié leur permettant de prendre connaissance de ces mentions dès lors que leurs données personnelles sont transmises en vue d’un traitement de données de santé (C. santé publ., art. L. 1111-8  ; D. no 2019-536, 29 mai 2019 : JO, 30 mai ).

Sort des données hébergées

L’accès aux données ayant fait l’objet d’un hébergement s’effectue selon les modalités fixées dans le contrat d’hébergement dans le respect des articles L. 1110-4 et L. 1111-7 du code de la santé publique.

Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d’autres fins que l’exécution de la prestation d’hébergement.

Lorsqu’il est mis fin à l’hébergement, l’hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal.

Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l’accord de la personne concernée, est interdit sous peine des sanctions prévues à l’article 226-21 du code pénal, données détenues, à savoir 5 ans d’emprisonnement et 300 000€ d’amende.

Hébergement sur support papier ou numérique

Sur support numérique

Est considérée comme une activité d’hébergement de données de santé à caractère personnel sur support numérique, le fait d’assurer pour le compte du responsable de traitement ou du patient, tout ou partie des activités suivantes (C. santé publ., art. R. 1111-9 ) :

  • la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
  • la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  • la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
  • la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
  • l’administration et l’exploitation du système d’information contenant les données de santé ;
  • la sauvegarde des données de santé.

Référentiels d’interopérabilité et de sécurité

Afin de garantir l’échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel, les services numériques en santé doivent être conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public chargé du développement des systèmes d’information de santé partagés, pour le traitement de ces données, leur conservation sur support informatique et leur transmission par voie électronique.

Les référentiels sont élaborés en concertation avec les représentants des professions de santé, d’associations d’usagers du système de santé agréées, des établissements de santé, des établissements et services des secteurs médico-social et social ainsi que des opérateurs publics et privés du développement et de l’édition des systèmes d’information et des services et outils numériques en santé. Ils sont approuvés par arrêté du ministre chargé de la santé.

Ces référentiels s’appuient sur des standards ouverts en vue de faciliter l’extraction, le partage et le traitement des données de santé dans le cadre de la coordination des parcours de soins, de l’amélioration de la qualité des soins et de l’efficience du système de santé ou à des fins de recherche clinique, chaque fois que le recours à ces standards est jugé pertinent et possible par le groupement d’intérêt public (GIP) chargé du développement des systèmes d’information de santé partagés (C. santé publ., art. L. 1470-5 ).

La conformité d’un système d’information ou d’un service ou outil numérique en santé aux référentiels d’interopérabilité est attestée dans le cadre d’une procédure d’évaluation et de certification définie par décret en Conseil d’État (C. santé publ., art. L. 1470-6 ).

Certification de l’hébergeur numérique

L’hébergeur de données de santé à caractère personnel sur support numérique doit être titulaire d’un certificat de conformité (C. santé publ., art. L. 1111-8, II).

Ce certificat est délivré par un organisme de certification accrédité par l’instance française d’accréditation, le COFRAC, ou l’instance nationale d’accréditation d’un autre État membre de l’Union européenne mentionnée à l’article 137 de la loi no 2008-776 du 4 août 2008, sur le fondement d’un référentiel de certification élaboré par le GIP chargé du développement des systèmes d'information de santé partagé (C. santé publ., art. L. 1111-8 et R. 1111-10 ).

Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d’État pris après avis de la CNIL et des conseils nationaux de l’ordre des professions de santé.

L’Agence du numérique en santé a publié un référentiel de certification des hébergeurs de données de santé ainsi qu’un référentiel d’accréditation des organismes de certification des hébergeurs. Ces deux référentiels se réfèrent à plusieurs normes ISO complétées par des contraintes spécifiques à l’hébergement des données de santé. Ces référentiels ont été approuvés par arrêté ministériel ( Arr. 11 juin 2018, NOR : SSAZ1807891A : JO, 29 juin).

Agrément des hébergeurs à des fins d’archivage

La procédure d’agrément subsiste pour l’activité d’hébergement des données de santé sur support numérique à des fins d’archivage électronique (C. santé publ., art. L. 1111-8, III).

Remarque

Les conditions d’agrément seront fixées par décret en Conseil d’État pris après avis de la CNIL et des conseils nationaux de l’ordre des professions de santé.

Les hébergeurs qui resteront agréés seront soumis au contrôle de l’inspection générale des affaires sociales ( Ord. no 2017-27, 12 janv. 2017 : JO, 13 janv.  ; C. santé publ., art. L. 1111-8, VI.

L’agrément peut être retiré dans les conditions prévues par les articles L. 121-1, L. 121-2 et L. 122-1 du code des relations entre le public et l’administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l’agrément (C. santé publ., art. L. 1111-8, III).

Sur support papier

Agrément

S’il est mis en œuvre, l’hébergement des données de santé à caractère personnel sur support papier est confié à une personne physique ou morale bénéficiant d’un agrément accordé par le ministre chargé de la culture.

Le contrat de prestation d’hébergement

La prestation d’hébergement doit faire l’objet d’un contrat conclu dans le respect des dispositions de la loi no 78-17 du 6 janvier 1978 dont les stipulations sont précisées par décret en Conseil d’État (C. santé publ., art. L. 1111-8, IV).

Clauses obligatoires en cas d’hébergement numérique

Le contrat d’hébergement de données de santé conclu entre l’hébergeur et son client devra obligatoirement comporter au moins les clauses suivantes (C. santé publ., art. R. 1111-11 ) :

  • l’indication du périmètre du certificat de conformité obtenu par l’hébergeur, ainsi que ses dates de délivrance et de renouvellement ;
  • la description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données hébergées ;
  • l’indication des lieux d’hébergement ;
  • les mesures mises en œuvre pour garantir le respect des droits des personnes concernées par les données de santé notamment :

    • exercice du droit à la portabilité des données ;
    • signalement d’une violation de données au responsable de traitement ;
    • audits par le DPO ;
  • la mention du référent contractuel du client de l’hébergeur à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
  • la mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l’existence ou l’absence de pénalités applicables au non-respect de ceux-ci ;
  • une information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l’hébergeur ;
  • les modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées ;
  • les obligations de l’hébergeur à l’égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;
  • une information sur les garanties et les procédures mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
  • la mention de l’interdiction pour l’hébergeur d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • une présentation des prestations à la fin de l’hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d’hébergement de données de santé ;
  • l’engagement de l’hébergeur de restituer, à la fin de la prestation, la totalité des données de santé au responsable de traitement ;
  • l’engagement de l’hébergeur de détruire, à la fin de la prestation, les données de santé après l’accord formel du responsable de traitement et sans en garder de copie.

Clauses obligatoires en cas d’hébergement papier

Le contrat de prestation d’hébergement contient au moins les clauses suivantes (C. santé publ., art. R. 1111-16 ) :

  • la description des prestations réalisées : contenu des services, nature et volume des données, caractère d’archives publiques ou non des données hébergées, résultats attendus ;
  • la description des moyens mis en œuvre par le dépositaire pour la fourniture des services ;
  • la description des moyens mis en œuvre par le dépositaire pour mettre les données hébergées à disposition des professionnels ou établissements de santé ayant souscrit le contrat ;
  • les modalités retenues pour que l’accès aux données de santé à caractère personnel et leur transmission éventuelle n’aient lieu qu’avec l’accord des personnes concernées et par les personnes désignées par elles ainsi que les dispositifs permettant d’assurer cet accès et cette éventuelle transmission ;
  • les obligations à l’égard du déposant si le dépositaire procède à des modifications ou à des évolutions des conditions d’hébergement ;
  • une information sur les garanties permettant de couvrir toute défaillance du dépositaire ;
  • les dispositifs de restitution des archives déposées à la fin du contrat de dépôt dans les conditions définies au quatrième alinéa de l’article R. 1112-7 du code de la santé publique, assortis d’un engagement de destruction intégrale des copies que le dépositaire aurait pu effectuer pendant la durée du dépôt ;
  • une information sur les conditions de recours à des prestataires externes ainsi que les engagements du dépositaire pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l’activité de conservation ;
  • les moyens mis en œuvre pour assurer le respect des dispositions de l’article L. 1111-7 relatif à l’accès des personnes à leurs informations de santé, notamment en termes de délais et de modalités de consultation ;
  • la mention des polices d’assurance que le dépositaire souscrit pour couvrir les dommages et pertes que pourraient subir les données déposées, faisant apparaître que celles-ci excluent expressément les archives déposées du champ d’application de la clause de délaissement.

Rétention de données

Est réputée non écrite toute clause tendant à appliquer le droit de rétention aux données de santé à caractère personnel sur support papier (C. santé publ., art. R. 1111-16 ).

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Autres sites à consulter
Aller plus loin
ELnet DROIT EUROPÉEN DES AFFAIRES
Retrouvez l’ensemble des dispositions européennes en matière sociale, fiscale, économique et commerciales.
à partir de 1385.14€ HT/mois
ELnet DROIT EUROPÉEN DES AFFAIRES
Questions fréquemment posées

Qui peut héberger des données de santé ?

L’hébergement de données de santé est en principe réservé aux infrastructures sanitaires disposant de la certification « Hébergeur de données de santé » (HDS). Les établissements de santé qui gèrent leur propre système d’information de santé n’ont cependant pas besoin d’être certifiés HDS. Les services d’archivage informatiques ne sont pas concernés par ces obligations.

Quelle est la durée de conservation des données de santé ?

La conservation des données de santé à durée indéterminée n’est pas autorisée, il convient de respecter les limites définies par la règlementation. Pour ce faire, la CNIL a établi des référentiels indiquant les durées obligatoires ou préconisées. Par exemple, la durée de conservation en base active des informations du patient d’un cabinet médical est de 5 ans à compter de la dernière intervention, et de 15 ans en base intermédiaire.

Les dernières actualités dans ce thème
Violation du RGPD, fondement possible de l'action pour concurrence déloyale
Droit des affaires
Protection des données personnelles (RGPD)
Violation du RGPD, fondement possible de l'action pour concurrence déloyale
28 oct. 2024