FAQ – Toutes vos questions sur l’hébergement de données de santé
Qu’est ce qu’une donnée à caractère personnel ?
Le Règlement Général sur la Protection des Données personnelles (RGPD) indique qu’une donnée à caractère personnel représente toute information relative à une personne physique, susceptible d’être identifiée, directement ou indirectement. Source
Qu’est ce que la Données de Santé à Caractère Personnel (DSCP)?
Le Règlement Général sur la Protection des Données personnelles (RGPD) donne une définition depuis avril 2016. Ce sont les données passées, présentes et futures relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. Des précisions sont apportées sur le site de la CNIL. Source
Qui est concerné et doit recourir à un Hébergement certifié de Données de Santé (HDS) ?
L’article L.1111-8 du code de la santé publique indique que : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».
Le Ministère des Solidarités et de la Santé précise que les personnes physiques ou morales concernées par l’hébergement de données de santé sont d’une part, les patients qui confient l’hébergement de leurs données de santé à un tiers, et d’autre part les responsables de traitements de données de santé à caractère personnel (DSCP) ayant pour finalité la prévention, la prise en charge sanitaire (soins et diagnostic) ou la prise en charge sociale et médico-sociale de personnes. Source
Qu’est ce qu’un traitement de Données à Caractère Personnel (DCP) ?
L’article 2 de loi Informatique et Libertés définit les traitements de données personnelles comme « toute opération ou tout ensemble d’opérations portant sur des données personnelles quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
Qui est le « responsable de traitement » ?
L’article 4 du RGPD définit le responsable de traitement comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Ainsi, pour déterminer qui de la société éditrice du logiciel ou de l’utilisateur du logiciel (professionnel ou établissement de santé) a la qualité de responsable de traitement, il convient d’identifier qui détermine les finalités et les moyens du traitement opérés par le biais du logiciel.
L’éditeur de logiciel est-il « responsable de traitement » ?
La CNIL a eu l’occasion de considérer à de très nombreuses reprises qu’en principe l’éditeur d’un logiciel n’est pas le responsable du traitement mis en œuvre à partir de ce logiciel : l’exemple le plus fréquemment repris est celui du médecin ou de l’établissement de santé qui utilise un logiciel pour gérer le cabinet médical ou pour administrer les dossiers médicaux édité par un prestataire tiers éditeur, dans les deux cas, c’est bien le médecin ou l’établissement de santé qui est « responsable du traitement » mis en œuvre à partir du logiciel utilisé.
En l’espèce, il y a lieu de comprendre que les responsables de traitement seront les clients de l’éditeur, lui-même client de l’hébergeur de données de santé, et qu’en conséquence ses responsables de traitements sous contrat avec l’éditeur pourraient être situés soit sur le territoire français, soit sur d’autres territoires […].
Quel est le rôle de l’hébergeur de données de santé ?
L’article L.1111-8 du code de la santé publique relatif à l’hébergement de données de santé a pour objectif d’organiser et d’encadrer la conservation et la restitution des données de santé à caractère personnel (DSCP), dans des conditions propres à garantir leur confidentialité et leur sécurité.
Par cet encadrement, le législateur souhaite garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs sanitaire, social et médico-social confient les données de santé qu’ils produisent ou recueillent, notamment en mesurant l’impact de l’activité du prestataire sur la protection des données médicales, au travers des critères de sécurité à l’état de l’art « disponibilité, intégrité, confidentialité et auditabilité ( DICA ) » notamment visés par l’ANSSI et les normes ISO.
Cette confiance dans les tiers agissant pour le compte de ces acteurs sanitaires et sociaux et médico-sociaux est donnée au travers de l’obligation d’être agréé et/ou certifié «HDS».
Source : Document « Explication du champ d’application du cadre juridique de l’hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d’information de santé » édité par le Ministère des solidarités et de la santé
Quelles sont les activités de la certification HDS ?
La certification HDS devient la norme en vigueur, obligatoire pour toute entité assurant l’hébergement de données de santé, avec l’objectif de faciliter le respect des exigences légales imposées aux acteurs IT santé lors de la mise en place de systèmes d’information traitant des données de santé à caractère personnel.
Les activités de la certification HDS sont les suivantes :
1. Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
2. Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.
3. Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’application du système d’information
4. Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.
5. Administration et exploitation du système d’information contenant les données de santé.
6. Sauvegarde externalisées des données de santé.
Qui construit un cadre contractuel HDS global dédié aux projets et aux contraintes clients ?
Cloud Santé® met en place un cadre contractuel HDS global suivant les contraintes des clients tout en les assistant dans le respect de la règlementation. Un accompagnement par les équipes Cloud Santé® tout au long du processus de déploiement, permet de créer un projet personnalisé et en adéquation avec les caractéristiques clients.
Qui accède aux données de santé ?
Les données de santé peuvent être consultées par le patient et le professionnel de santé. La collecte de données de santé et l’exploitation de bases les traitants sont soumises à une réglementation HDS très stricte, définie par le code de la santé publique modifié par Décret n°2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel , et destinée à garantir la confidentialité, la sécurité de ces données et à assurer la protection de la vie privée du patient.
Les Données de Santé à Caractère Personnel (DSCP) sont-elles inclues dans le RGPD ?
Les réglementations HDS (Hébergement de Données de Santé) et RGPD (Règlement Général sur la Protection des données) sont complémentaires. Le RGPD définit les obligations générales comme la nomination d’un DPO, la réalisation d’analyse d’impact sur la vie privée ou encore la déclaration des incidents de sécurité. La réglementation HDS précise et renforce les mesures de sécurité à mettre en œuvre et les rends applicables. Les données de santé sont des données à caractère personnel « particulières » car considérées comme sensibles. Elles font à ce titre l’objet d’une protection particulière par les textes (code de la santé publique, agrément et certification pour l’hébergement de données de santé à caractère personnel, etc.) afin de garantir le respect de la vie privée des personnes.
Source : Document » Règlement Européen sur la protection des données personnelles – GUIDE DU SOUS-TRAITANT – Edition septembre 2017 «
Comment Cloud Santé® peut m’accompagner dans le déploiement de mon projet e-santé ?
Euris Health Cloud (Cloud Santé®) est opérateur de santé connectée, spécialiste de l’hébergement de données de santé. Euris propose une infrastructure hautement sécurisée, performante, assurant une conformité globale : UE (RGPD, HDS & ISO 27001), US (conformité HIPAA), Chine (Cybersecurity Law, CSL). Pour en savoir plus sur nos certifications, c’est par ici.
Grâce à un modèle unique de service de marketplace, Cloud Santé® propose également une gamme complète de services et de solutions interopérables, facilitant le déploiement des projets e-santé : authentification forte, drive, archivage, sauvegarde, anonymisation, Big Data, Business Intelligence, IoT, télémédecine, etc.
Cloud Santé® met en place un cadre contractuel HDS global suivant les contraintes des clients tout en les assistant dans le respect de la règlementation. Un accompagnement par les équipes Cloud Santé® tout au long du processus de déploiement, permet de créer un projet personnalisé et en adéquation avec les caractéristiques clients.
Quelles sont les sanctions en cas de non respects de la réglementation en matière de protection des données de santé à caractère personnel?
En cas de non-respect du Règlement Générale de la Protection des Données (RGPD) :
Les sanctions sont réparties en deux groupes en fonction de la durée, la nature et la gravité de la violation.
Lorsqu’il s’agit d’un des manquements aux obligations suivantes :
– les obligations incombant au responsable du traitement et au sous-traitant
– les obligations incombant à l’organisme de certification
– les obligations incombant à l’organisme chargé du suivi des codes de conduite.
Une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliquée.
Lorsqu’il s’agit d’un des manquements aux obligations suivantes :
– L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données médicales
– Les autres droits des personnes concernées
– Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
– Toutes les obligations découlant du droit des Etats membres
– Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.
Une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende peut être appliquée.
En cas de non respect de la réglementation liés à la protection des Données de Santé à Caractère Personnel (DSCP) :
Les sanctions pénales prévues ( articles 1115-1 et 1115-2 du Code de la santé publique) en cas d’hébergement de données de santé à caractère personnel (DSCP) sans agrément ou certification HDS :
– Trois ans d’emprisonnement et 45 000 euros d’amende;
– Interdiction pour une durée de 5 ans ou plus d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales ;
– Placement, pour une durée de 5 ans ou plus, sous surveillance juridique ;
– La fermeture définitive ou pour une durée de cinq ans au plus des établissements ou de l’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre les faits incriminés ;
– L’exclusion des marchés publics à titre définitif ou pour une durée de cinq ans au plus ;
– L’affichage de la décision prononcée ou la diffusion de celle-ci soit par la presse écrite, soit par tout moyen de communication au public par voie électronique.
Quelles sont les mesures recommandées concernant l’authentification forte lors de l’accès à des données de santé y compris par des patients même si ceux-ci n’accèdent qu’à leur propres données de santé ?
Nous nous intéressons ici aux données de santé à caractère personnel (DSCP), cas particulier des données personnelles, que les législateurs considèrent des données sensibles et exigent des mesures de sécurité élevées pour garantir leur sécurité, leur confidentialité et intégrité.
En France les organismes en charge de donner un contenu concret à ces exigences élevées de sécurité sur les accès et la sécurité des DCP sont la CNIL (www.cnil.fr) et l’ASIP devenue l’ANS (Agence du Numérique en Santé, (https://esante.gouv.fr).
La politique constante de ces organismes depuis bientôt une dizaine d’années concernant l’authentification des acteurs accédant à des DSCP a toujours été d’exiger un niveau élevé de sécurité pour l’authentification, y compris pour les patients n’accédant qu’à leur propres données personnelles et de santé. En effet, il a toujours été recommandé et exigé que l’authentification des patients accédant à des DSCP soit une authentification forte et qu’elle ne se limite pas à un login/password.
Les procédures d’agrément des plateformes HDS instruites par l’ASIP, soumisses à la CNIL et décidés au CAH (Comité d’agrément de l’ASIP) pour décision du Ministre, ont toujours exigé une authentification forte en cas d’accès des patients. Cela a évidemment aussi été le cas de Cloud Santé. Dans la liste des Hébergeurs Agrées tous ne sont pas agrées pour l’accès par des patients parce que cette exigence technique ne figure dans leur dossier d’agrément.
Les documents cités ci-dessous sont les documents à considérer sur le sujet de l’authentification, et dans le cas qui nous intéresse l’authentification des patients.
Les patients doivent obtenir un accès à des applications tournant sur la plateforme HDS dans lesquelles ils auront accès à des données de santé ou ils pourront déposer des données de santé (toujours exclusivement leurs données personnelles et de santé), données qu’ils pourront éventuellement partager avec du personnel de santé (médecin, infirmière, coach, …). Les patients relèvent alors du contexte 6 palier 2 des documents référencés et l’exigence d’une authentification forte en découle.
Le référentiel HDS exige le respect de la PGSSI-S dont les référentiels cités font partie. La PGSSI-S est rendue opposable par l’article L1110-4-1 créé par la loi n° 2016-41 du 26 janvier 2016 – art. 96 (V).
Documents de référence :
– PGSSI-S Principes_Fondateurs
– PGSSI-S grille d’applicabilite des référentiels v1_0
– PGSSI-S Référentiel d’authentification des acteurs de santé _v.2.0
– PGSSI-S Référentiel d’imputabilité _v1.0_0
A considérer aussi cet extrait de l’avis de la CNIL sur l’application AntiCovid :
« Concernant les modalités d’authentification des personnes, la Commission relève que le dispositif prévu par le projet de décret autorise l’authentification par identifiant et mot de passe seuls, ce qui n’est pas conforme aux préconisations de la PGSSI-S et aux recommandations de la Commission concernant l’accès à des données de santé. La Commission estime préférable que l’ensemble des personnes habilitées à accéder aux données traitées utilise un mécanisme d’authentification forte comportant plusieurs facteurs d’authentification ».