Seules les activités de prévention, diagnostic et soin nécessitent un HDS certifié

Le ministère des Solidarités et de la Santé a publié cet été une note portant sur l’interprétation de l’article L.1111-8 du Code de la santé publique, relatif au périmètre des traitements de données relevant du recours obligatoire à un hébergeur agréé/certifié de données de santé (HDS). Sur le principe, le dispositif légal et règlementaire prévoit que toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médicosocial, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données (professionnels de santé, établissements et services de santé…) ou pour le compte du patient lui-même, doit être agréée (pour les agréments en cours) ou certifiée.

L’ancienne procédure d’agrément définie par le décret n°2006-6 du 4 janvier 2006 a été remplacée par une procédure de certification réalisée dans les conditions de l’article R.1111-10 du Code de la santé publique issu du décret n°2018-167 du 26 février 2018 dont les dispositions sont entrées en vigueur au 1er avril 2018.

Désormais, deux types de certificats sont délivrés selon le métier d’hébergement sur support numérique. Pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle, il s’agit d’un certificat “hébergeur d’infrastructure physique”. Et pour l’activité de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée, il s’agit d’un certificat “hébergeur infogéreur”. En attendant que l’ensemble des hébergeurs soient certifiés, les agréments demandés et/ou délivrés avant le 1er avril 2018 produisent leurs effets jusqu’à leur terme et les agréments arrivant à échéance avant le 31 mars 2019 sont prolongés six mois pour permettre à l’hébergeur d’effectuer les démarches de certification.

Seule compterait la finalité de traitement

Dans ce contexte, le ministère de la Santé a cru utile cet été de préciser le périmètre de l’article L.1111-8 en excluant purement et simplement du recours obligatoire à un hébergeur de données de santé, “à titre d’exemple, les organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé, les organismes de recherche dans le domaine de la santé, les fabricants/fournisseurs/distributeurs de dispositifs médicaux en dehors des cas où ils interviennent dans des activités de télésurveillance, les associations qui proposent des activités à des personnes handicapés, etc.”

Il semble que le ministère ait procédé d’un raisonnement juridique par finalité de traitement : concrètement, les traitements, quoique contenant des données relatives à la santé, n’entrent pas dans le champ obligatoire du recours à un HDS dès lors que la finalité n’est pas à proprement parler le soin, la prévention, le diagnostic ou le suivi social ou médico-social, mais par exemple la recherche en santé, les remboursements, la fabrication et la distribution de dispositifs médicaux.

Cette liste n’étant pas exhaustive par nature – il ne s’agit ni d’une loi, ni d’un règlement et d’ailleurs ni d’une circulaire formelle –, la question peut se poser de considérer, qu’en plus des cas d’exclusion listés, doivent être considérés d’autres cas ne présentant pas une finalité de soin, prévention, diagnostic, suivi social ou médicosocial mais qui contiendraient des données de santé. Par exemple d’autres garanties que la prise en charge des frais de santé mais dont la gestion impliquerait des données de santé (garantie emprunteur), ou la gestion de données de pharmacovigilance… Une mise à jour de cette liste pourrait être demandée par d’autres acteurs suivant le même raisonnement !