Hébergement de données de santé : les modifications apportées par la loi du 26 janvier 2016 (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
 France > Droit privé > Droit de la santé
Fr flag.png




Bénédicte DELEPORTE – Avocate au Barreau de Paris

Mai 2016


Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).

Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.

Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.

Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée.[1]


L’élargissement des catégories de données et des parties concernées

Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.

Qu’entend-on par “donnée de santé” ? On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).[2]

Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.

Les catégories de données concernées par l’hébergement agréé : Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.

Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.

Les parties concernées par l’hébergement agréé : Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation. Une question se posait pour les autres organismes amenés à collecter des données de santé.

Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.

Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).

Le stockage de données en interne et le stockage mutualisé : Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément.[3]

L’information de la personne prise en charge : Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.


L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée

On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.

Les conditions de l’agrément : Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.

Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.

Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément.[4]

Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé.[5]

Le contrat d’hébergement de données de santé : L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.

A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.

L’hébergement en dehors du territoire français : L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.

De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.

En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud.[6]

Références

  1. Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique
  2. Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.
  3. FAQ Asip-Santé
  4. Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.
  5. http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees
  6. Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé”