L’hébergement des données de santé à caractère personnel

Tenir un dossier médical est une obligation légale, tant pour les établissements de soins que pour les médecins libéraux.

En effet, conformément aux dispositions de l’article R 1112-2 du Code de la Santé Publique (CSP), tous les établissements hospitaliers doivent tenir à jour un dossier hospitalier pour chaque patient pris en charge. L’article R 4127-45 du Code de la Santé Publique impose, quant à lui, aux médecins libéraux de tenir un dossier médical pour chaque patient suivi au sein de leur cabinet.

Ces dossiers médicaux représentent un ensemble d’informations pouvant nécessiter, du fait de son volume, un traitement informatique et un hébergement par un prestataire spécialisé.

Le caractère sensible de ces données, qui relèvent de la vie privée, implique leur protection accrue, non seulement en raison de leur nature intime mais également en raison du traitement informatique qu’elles subissent.

Ainsi, l’article 2 de la loi Informatique et Libertés définit-il un traitement informatique : « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

C’est pour l’ensemble de ces raisons que l’article L 1111-8 du Code de la Santé Publique impose, lorsque le professionnel ou l’établissement de santé souhaite confier l’hébergement de ses données de santé à un tiers que celui-ci soit un hébergeur agréé[1].

I – Quelles données de santé impliquent le recours aux hébergeurs agréés ?

L’article L 1111-8 du Code de la Santé Publique précise que les professionnels et établissements de santé peuvent déposer les «données de santé à caractère personnel recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes morales ou physiques agréées à cet effet».

Selon l’article 2 de la Loi informatique et libertés : «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres».

De ce fait, seules les données recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins relatives à une personne pouvant être directement ou indirectement identifiée sont soumises à l’obligation d’hébergement par un prestataire agréé.

Les données de santé anonymes ne sont pas soumises à cette obligation.

II – Qu’est-ce qu’un contrat d’hébergement ?

L’article L1111-8 du Code de la Santé Publique impose que la prestation d’hébergement fasse l’objet d’un contrat qui doit, selon l’article R 1111-13 contenir obligatoirement les clauses suivantes :

• La description des prestations réalisées : contenu des services et résultats attendus,

• Lorsque le contrat est souscrit par la personne concernée par les données hébergées, la description :

•  des modalités selon lesquelles les professionnels de santé et les établissements de santé les prenant en charge et désignés par eux, peuvent être autorisés à accéder à ces données ou en demander la transmission,
•   l’indication des conditions de mise à disposition de ces données.

• Lorsque le contrat est souscrit par un professionnel de santé ou un établissement de santé :

•  la description des modalités selon lesquelles les données hébergées sont mises à leur disposition,
• les conditions de recueil de l’accord des personnes concernées par ces données s’agissant tant de leur hébergement que de leurs modalités d’accès et de transmission.

• La description des moyens mis en œuvre par l’hébergeur pour la fourniture des services,

• La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, ainsi que de la périodicité de leur mesure,

• Les obligations de l’hébergeur à l’égard de la personne à l’origine du dépôt des données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui,

•  Une information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l’activité d’hébergement,

• Une information sur les garanties permettant de couvrir toute défaillance éventuelle de l’hébergeur,

• Une présentation des prestations à la fin de l’hébergement.

Par ailleurs, le contrat doit prévoir que l’hébergement des données, les modalités d’accès à celles-ci et leurs modalités de transmission sont subordonnées à l’accord de la personne concernée.

L’encadrement par la loi des clauses du contrat d’hébergement démontre que, la détention et le traitement de données de santé à caractère personnel sur des supports informatiques, qu’ils soient utilisés par des professionnels de santé, des établissements de santé ou des hébergeurs agréés, sont subordonnés à l’utilisation de systèmes d’information permettant de garantir le respect de la vie privée et le secret médical.

En outre, bien que le respect des dispositions de la loi du 6 janvier 1978 relative à l’informatique et aux libertés s’impose à l’ensemble des contractants, certaines obligations sont propres à chacun.

III – Quelle est la différence entre un hébergeur de données de santé et un éditeur de logiciel de traitement de données de santé ?

L’hébergeur qui a pour rôle est de fournir un support physique (serveur) de stockage des données, se distingue de l’éditeur de logiciel de traitement des mêmes données dont le rôle et de concevoir ou de vendre un logiciel et de fournir les mises à jour.

Ces mises à jour peuvent impliquer que l’éditeur ait accès aux données de santé. Trois situations peuvent, dès lors se présenter :

1)  Le logiciel ne nécessite pas de mise à jour et est fourni par un prestataire différent de l’hébergeur :

Aucun éditeur de logiciel n’intervient, seul l’hébergeur doit avoir l’agrément pour héberger des données de santé.

2) L’hébergeur est aussi éditeur et fournit un logiciel qu’il met lui-même à jour

L’hébergeur/éditeur doit avoir l’agrément pour pouvoir héberger les données de santé.

3) L’hébergeur et l’éditeur sont deux prestataires distincts :

• Soit l’éditeur sous-traite l’hébergement des données de santé à un tiers :

Un contrat doit les lier et doit garantir le respect des obligations énoncées à l’article R 1111-13 du Code de la Santé publique (voir plus haut II).

Le contrat entre l’éditeur et la personne déposant les données de santé devra mentionner que :

• le logiciel objet du contrat et les données de santé gérées par le logiciel sont hébergés chez un hébergeur agréé,
• l’étendue de la prestation pour laquelle l’hébergeur a été agréé,
• la nécessité de recueillir le consentement de la personne concernée à l’hébergement,
• les modalités d’accès des professionnels de santé aux données de santé,

• Soit la personne déposant les données de santé confie l’édition du logiciel à un tiers non lié par un contrat avec l’hébergeur.

Le sous-traitant doit apporter un niveau de garantie équivalent à celui de l’hébergeur principal.

Les exigences de confidentialité et de sécurité doivent notamment apparaitre dans les clauses des différents contrats que le professionnel et l’établissement de santé gérant des données de santé à caractère personnel passe avec ses sous-traitants.

Le contrat entre l’hébergeur agréé et la personne déposant des données de santé doit prévoir que le sous-traitant de ce dernier puisse accéder aux données de santé.

L’éditeur ne doit héberger aucune donnée de santé, à moins d’avoir l’agrément nécessaire.

IV – Le patient doit-il consentir à l’hébergement de ses données personnelles ?

Selon l’article L 1111-8 du Code de la Santé Publique, l’hébergement de données de santé à caractère personnel ne peut avoir lieu qu’après recueil du consentement exprès du patient.

Cependant, ce consentement n’est pas nécessaire lorsque les professionnels ou établissements de santé utilisent leur propre système ou des systèmes appartenant à des hébergeurs agréés dès lors que l’accès aux données est limité aux professionnels ou à l’établissement de santé qui les a déposées, ainsi qu’à la personne concernée.

V – Quelles sont les obligations de l’hébergeur ?

Toujours selon l’article L 1111-8 du Code de la Santé Publique, l’hébergeur doit :

• Respecter le secret professionnel, sous peine de sanctions pénales[2] ,

• Limiter l’accès aux données au patient concerné, aux professionnels de santé ou établissement de santé qui les prennent en charge  et qui sont désignés par le patient,

• Tenir les données de santé à la disposition des personnes qui les leur ont confiées ;

• Restituer les données aux personnes qui les leur ont confiées lorsqu’il est mis fin à l’hébergement, et cela sans en garder de copie ;

• Se soumettre au contrôle de l’Inspection générale des affaires sociales et des agents mentionnés aux articles L 1421-1 et L 1435-7 du Code de la Santé publique ;

• Ne pas céder à titre onéreux des données de santé identifiantes, directement ou indirectement, y compris avec l’accord de la personne concernée, sous peine de sanctions pénales.

A ces obligations, s’ajoute l’ensemble des démarches et procédure nécessaires à l’obtention de l’agrément (Art R 1111-12 et s. du CSP, cf. II et VI).

VI – Quelles garanties le sous-traitant de l’hébergeur doit-il apporter ?

Aux termes de l’article R 1111-13 6° du CSP, l’hébergeur doit informer l’établissement de santé sur les conditions dans lesquelles il aura recours à des prestataires techniques externes. Il doit également s’engager à ce que le sous-traitant assure un niveau de garantie équivalent à ses propres garanties.

Outre les exigences de confidentialité et de sécurité qui doivent notamment apparaitre dans les clauses des différents contrats que l’hébergeur agréé passe avec ses sous-traitants, l’ensemble des garanties techniques décrites plus loin (VII) doivent être présentées par le sous-traitant.

VII – Quelles sont les garanties que l’hébergeur doit présenter pour obtenir l’agrément ?

L’agrément prévu à l’article L1111-8 du Code de la Santé Publique est délivré par le Ministre chargé de la santé, qui se prononce après avis de la Commission nationale de l’informatique et des libertés et d’un comité d’agrément qui se prononce sur les garanties éthiques, déontologiques, techniques, financières et économiques qu’offre le candidat à l’agrément.

Selon l’article R 1111-9 du Code de la Santé Publique, l’agrément n’est possible que si l’hébergeur :

• Dispose de personnel qualifié en matière de sécurité et d’archivage des données,

• Met en œuvre des solutions techniques, une organisation et des procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données confiées, ainsi qu’un usage conforme à la loi ;

• Définit et met en œuvre une politique de confidentialité et de sécurité, destinée à assurer le respect du secret couvrant les données de santé et l’accès par les patients et ses ayants-droits à ces données,

• Identifie son représentant sur le territoire national,

• Individualise dans son organisation l’activité d’hébergement et les moyens qui lui sont dédiés ainsi que la gestion des stocks et des flux de données,

• Met en place des dispositifs d’information sur l’activité d’hébergement à destination des personnes à l’origine du dépôt, notamment en cas de modification substantielle des conditions de l’hébergement,

• Identifie les personnes en charge de l’activité d’hébergement, dont un médecin, en précisant le lien contractuel le liant à l’hébergeur.

La société d’hébergement doit justifier de l’ensemble de ces éléments dans son dossier de demande d’agrément.

VIII – Quels éléments le dossier de demande d’agrément doit-il contenir ?

• L’identité et l’adresse du responsable du service d’hébergement,

• Les noms, fonctions et qualifications des opérateurs chargés de mettre en œuvre le service ainsi que les catégories de personnes qui pour les besoins du service ont accès aux données,

• L’indication du lieu dans lequel sera réalisé l’hébergement,

• La description détaillée du service proposé,

• Les modèles de contrats devant être conclus,

• Les dispositions prises pour assurer la sécurité des données et la garantie des secrets protégés par la loi,

• L’indication du recours à des prestataires techniques extérieurs et les contrats conclus avec eux,

• Les comptes prévisionnels de l’activité d’hébergement.

L’agrément est donné pour une durée de 3 ans renouvelable. Les demandes de renouvellement doivent être déposées au plus tard six mois avant le terme de la période d’agrément (Article R1111-15 du Code de la Santé Publique).

IX – Qui décide du retrait de l’agrément et comment ?

Le ministre chargé de la santé peut décider de retirer l’agrément. Il doit alors communiquer à l’hébergeur intéressé, par lettre recommandée avec accusé réception, les motifs de ce projet de retrait et appeler l’hébergeur à formuler ses observations écrites ou orales dans un délai de deux mois (Article R1111-15-1 du Code de la Santé Publique).

La décision de retrait est notifiée à l’hébergeur par courrier recommandé avec accusé réception et met fin de plein droit à l’hébergement. L’hébergeur doit alors restituer les données aux personnes ayant contracté avec lui.

X – Quel est le rôle du médecin de l’hébergeur ?

Le «médecin de l’hébergeur» doit être lié contractuellement avec l’hébergeur, mais il n’est pas obligatoirement un salarié de l’entreprise. Le contrat peut être un contrat de prestation de service, dès lors qu’il existe des clauses d’interdiction d’exercice d’activités incompatibles : médecin des assurances ou médecin du travail par exemple.

Les missions du médecin conseil ne sont pas prévues expressément par la loi. l’Agence des Système d’Information Partagés de Santé (ASIPSANTE) propose les exemples de missions suivants :

• Le médecin veille à la confidentialité des données de santé à caractère personnel hébergées et au respect des conditions d’accès à celles-ci telles que définies dans la prestation d’hébergement. A cette fin, il peut faire toute recommandation utile.
• Il veille, en accord avec la personne physique ou morale à l’origine de l’hébergement et le correspondant informatique et liberté s’il existe au sein de la structure d’hébergement, au respect des droits de la personne dont les données de santé à caractère personnel sont hébergées, en particulier en s’assurant de l’exercice effectif des droits ouverts au titre de la loi Informatique et Libertés[3]. A cet effet, il peut élaborer des règles de bonnes pratiques.
• Il veille au respect des conditions d’accès aux données hébergées par les professionnels de santé qui prennent en charge les personnes dont les données sont déposées. Il s’assure à cet égard du respect, par l’hébergeur, des règles d’autorisation d’accès telles que délivrées par le patient en fonction des indications fournies dans le contrat de prestation.
• Il veille à ce que les contrats conclus par l’hébergeur avec des professionnels de santé garantissent leur indépendance professionnelle
• Il établit un bilan annuel de ses activités qu’il présente à son employeur, responsable de l’hébergement et qu’il tient à disposition de l’organisme à l’origine du dépôt des données.
• Il peut recevoir toute demande émanant d’une personne dont les données sont hébergées qui vise à obtenir la communication, la rectification ou l’effacement de tout ou partie de ses données hébergées. Il s’assure de satisfaire la demande, de l’identité de la personne ou de son représentant. Il organise, dans le respect du secret professionnel, la transmission des données.
• Il peut recevoir toute demande émanant d’une personne dont les données sont hébergées qui vise à obtenir l’historique des accès à ses données et consultations ainsi que du contenu des informations consultées et des traitements éventuellement opérés.
• Il peut être saisi de toute demande du responsable du traitement ou de toute personne habilitée visant à procéder aux vérifications de cohérence en cas de soupçons de collision ou de doublon au sein des dossiers médicaux. Il accède à cet effet aux données de santé à caractère personnel hébergées.