Hébergement des données de santé : une procédure euro-compatible depuis le 1er avril 2018

Bien qu’il reste valable pour trois ans, les demandes déposées à compter du 1er avril 2018, sont soumises non plus à un agrément délivré par l’Asip Santé mais à une certification réalisée par un organisme indépendant. Cette modification est issue de l’ordonnance du 12 janvier 2017 relative à l’hébergement des données de santé à caractère personnel. Ce texte nécessitait la publication d’un décret précisant les modalités de cette nouvelle procédure. C’est chose faite le 28 février 2018 lors de la publication du décret du 26 du même mois.

Le décret précise le champ des activités d’hébergement de données de santé à caractère personnel qui sont soumises à une certification. Il détermine les conditions d’application de l’obligation, pour toute personne physique ou morale à l’origine de la production ou du recueil de ces données de santé, de recourir à un hébergeur certifié ou agréé lorsqu’il externalise la conservation des données dont il est responsable. Le texte définit également le périmètre des activités d’hébergement de données de santé relevant de la certification, fixe les conditions d’obtention du certificat de conformité et les clauses minimales que doit comporter le contrat d’hébergement de données de santé.

Ce changement de procédure était nécessaire, selon le ministère de la Santé, pour “réduire les délais d’instruction des demandes et donner une visibilité internationale à ce dispositif”. En effet, le référentiel de certification élaboré par l’Asip Santé reprend les exigences des normes internationales ISO 27001 (système de gestion de la sécurité des systèmes d’information), ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel). Auparavant, les critères d’agrément étaient de nature administrative. Par ailleurs, ce texte uniformise les procédures issues du Code du patrimoine et de la santé publique. Ainsi, il n’existe plus de différence de protection entre les données de santé utilisées par des professionnels de santé ou dans le cadre de prestations d’archivage.

Responsabilité de l’acteur de santé en cas d’hébergement non certifié

Ainsi, en vertu de l’article R 1111-9 du Code de la santé publique, sont soumises à la détention d’un certificat de conformité : la mise à disposition des sites physiques permettant d’héberger l’infrastructure du système d’information, de l’infrastructure elle-même, ainsi que de l’infrastructure virtuelle ou de la plateforme d’hébergement d’application du système d’information utilisé pour le traitement de données de santé. De même l’administration et l’exploitation du système d’information contenant des données de santé ou la sauvegarde de telles données sont également soumises à cette procédure. Cette nouvelle distinction entre l’hébergement et l’application informatique nécessitant un hébergement évite le dépôt de dossier lors d’une modification de l’un ou de l’autre de ces éléments.

Le certificat de conformité est délivré par un organisme choisi par le professionnel. Il doit être accrédité par le Comité français d’accréditation COFRAC ou par un organisme européen équivalent. La liste sera communiquée prochainement. Ce certificat sera délivré après un audit dans les locaux du professionnel. Auparavant la procédure assumée par l’Asip Santé était déclarative.

Enfin le décret met à la charge de l’acteur de santé ayant recours à ce type d’hébergement de vérifier si le prestataire est certifié. S’il ne s’est pas assuré que cette certification était détenue alors il engage sa responsabilité.