Qu’est-ce qu’un hébergeur de données de santé ?

Les données de santé relèvent du domaine privé d’un individu. Elles ne peuvent être confiées, échangées, conservées par n’importe qui et n’importe comment. Des règles régissent leur utilisation, notamment sur le sujet de l’hébergement de ces données de santé, et les professionnels qui s’y sont spécialisés : les hébergeurs de données de santé.

Qu’est-ce que c’est ?

L’hébergement de données de santé est encadré par l’article L.1111-8 du Code de la santé publique et le décret du 26 février 2018 relatif à l’hébergement de données de santé. Cet article prévoit que tout organisme qui héberge des données de santé pour le compte de tiers, qu’il s’agisse d’un établissement de santé, d’un établissement social ou médico-social ou d’un personnel libéral, doit être certifié hébergeur de données de santé.

La loi qualifie donc d’hébergement de données de santé le fait de confier à un prestataire tiers la conservation d’informations sanitaires d’un patient. Il ne s’agit pas du médecin qui garde sur son ordinateur le dossier de ses patients, ni même de deux médecins qui s’échangent des données d’un patient dans le cadre de la télémédecine. Ces deux cas ne rentrent pas dans la définition de l’article du Code de Santé Publique. La loi concerne plutôt l’intervention d’un tiers pour héberger ces données ou le recours par un professionnel de santé à un outil mis à disposition par un prestataire tiers.

Les données de santé

Un organisme qui souhaite héberger des données de santé doit être certifié HDS (hébergeur de données de santé), certification qui a pour but de protéger ces données sensibles et personnelles.

Qu’est-ce qui est considéré comme une donnée de santé ?

les données de santé

La loi définit comme donnée de santé l’ensemble des données relatives à l’état de santé mental ou physique d’une personne, actuel, passé ou futur. On les regroupe généralement sous trois catégories :

  • les données de santé par nature : handicap, résultats d’une analyse sanguine, traitements, antécédents, suivi d’une maladie chronique, etc.,
  • les données de santé croisées avec d’autres informations : poids croisé avec le nombre de pas, tension croisée avec la mesure de l’effort, etc.,
  • les données de santé traitées sur un plan médical : devenues données de santé en raison de leur utilisation dans un cadre médical.

Des règles précises régissent ces données.

Comment sont régies les données de santé ?

Les données de santé sont des informations particulièrement sensibles du fait de leur caractère personnel, voire intime. C’est pour cette raison qu’elles sont soumises à des règles renforcées de protection des données. Le Règlement Général sur la Protection des Données (RGPD), au niveau européen pose ainsi la responsabilité des organismes publics et privés qui gèrent ces données, de même la loi française Informatique et Libertés, dans sa nouvelle forme entrée en vigueur en 2019, s’est adaptée au RGPD.

C’est sur ces bases qu’a été rédigé le guide pratique sur la protection des données personnelles, un guide destiné aux médecins, publié par le Conseil National de l’Ordre des Médecins, qui résume l’essentiel des règles relatives à l’utilisation des données de santé :

  • les patients doivent être informés de l’utilisation qui est faite de leurs données de santé, sous forme, par exemple, d’une simple affiche placardée dans la salle d’attente,
  • une protection doit être fournie contre la perte et les dégâts causés aux fichiers de données en mettant en place des mesures adaptées telles qu’un mot de passe personnel ou un système de chiffrement efficace,
  • si le médecin désire travailler avec un hébergeur de santé agrée, ce dernier doit pouvoir offrir une garantie d’un niveau de sécurité élevé,
  • pour les médecins qui traitent des données de santé à grande échelle, ils devront éventuellement désigner un délégué à la protection des données (DPO) qui a pour mission de mettre en conformité avec le RGPD,
  • les utilisateurs ont également des droits, le RGPD leur garantit en effet un accès à leurs données, un droit de rectification ou un droit à la limitation du traitement de ces données.

Il existe enfin une certification importante relative à ces données médicales.

La certification HDS

La certification HDS vise à garantir la qualité de services des hébergeurs comme NetExplorer et bien d’autres. Les professionnels qui pratiquent l’hébergement de ces données doivent être agréés par un organisme accrédité par le COFRAC (ou équivalent au niveau européen). Cette certification est délivrée pour une durée de trois ans et est ponctuée d’un audit de surveillance chaque année.

Le rôle du certificat HDS

certification HDS

Son objectif est avant tout la protection des patients contre toute fuite, altération ou perte de leurs données. Ainsi, l’hébergeur doit assurer l’intégrité, la conformité et la traçabilité des données de santé à caractère personnel.

Les patients ne doivent pas être inquiétés du devenir de leurs données une fois qu’elles ont été recueillies par le professionnel qui souhaite les héberger.

D’un autre côté, le certificat HDS permet de protéger les organismes de santé contre les mêmes risques que ceux précédemment cités. Ceci, car les données de santé constituent également une source éventuelle de revenus pour les individus malveillants qui cherchent à revendre des données subtilisées.

Le secteur de la santé n’est en effet pas épargné par les hackers et leur recherche constante d’argent facile. Les organismes de santé doivent donc se mettre aux normes du RGPD pour échapper aux poursuites judiciaires en cas de fuite, perte ou altération des données. Ils risqueraient en effet des poursuites s’ils confiaient ces données à des hébergeurs non certifiés HDS.

Le processus de certification

L’hébergement de données de santé concerne les professionnels hébergeant des données de santé pour le compte de tiers. Afin de pouvoir héberger de telles informations, il doit suivre un processus de certification. À ces fins, l’hébergeur doit déposer un dossier auprès d’un organisme accrédité, suite à cela seront organisés des audits documentaires et sur site. Si cette étape est réussie, il recevra une certification valable pendant trois années. Néanmoins, l’hébergeur recevra annuellement des audits de surveillance afin de garder valide son certificat HDS.

Lorsque les trois ans seront arrivés à terme, il lui sera possible de renouveler sa certification en reprenant le processus dans son entièreté.

Vous avez pu avoir quelques informations générales sur l‘hébergement de données de santé, néanmoins, cet article ne se voulait pas exhaustif, n’hésitez pas à vous rendre sur les liens suivants pour avoir plus de détails.

https://esante.gouv.fr/produits-services/hds

https://esante.gouv.fr/offres-services/hds/faq