L'hébergement des données personnelles et de santé
Les professionnels de santé collectent et stockent des données personnelles de santé. Selon la CNIL, les données de santé sont “les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne”[1].
Bien entendu se sont des données sensibles qui bénéficient d’une réglementation (RGPD, loi informatique et libertés, dispositions sur l’hébergement des données de santé…) [2].
Les professionnels de santé doivent donc s’assurer de stocker les données de leurs patients de manière sécurisée (avec leur accord, pouvoir fournir une transparence du traitement, de la durée, informer du droit de rectification, du droit à l’effacement, à la portabilité, protection de l’accès, contre la perte et le vol), sous format papier, sur leur propre matériel informatique, mais également lorsqu’ils utilisent un moyen de sauvegarde (papier ou informatique) et de sortes à assurer la confidentialité (empêcher des tiers non autorisés d’y accéder) de ces données personnelles [3] et parfois sensibles [4].
Les dispositions sur l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP), précisent que l’hébergement, quel qu’en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. Les hébergeurs qui proposent de stocker des données de santé à caractère personnel doivent fournir un certificat “HDS” [5].
Le site de l’agence du numérique en santé, fournit une liste (régulièrement mise à jour) de tous les hébergeurs certifiés. “Petite” question, et non des moindres en réalité: Les hébergeurs étrangers, répondent-ils à la même législation (Française en l’occurrence) en matière de sécurisation et surtout de confidentialité des données personnelles de santé ? Si l’on en croit ce site : non !
“ […] certains pays ont des lois vraiment différentes de celles de la France et de l’Union européenne. Par exemple, aux États-Unis, sous certaines conditions, les institutions d’enquête ou de renseignement ont le droit de forcer toute société américaine à leur communiquer des données, indépendamment de leur lieu physique d’hébergement et de la nationalité des personnes concernées par ces informations.” [6]
La certification HDS est donc obligatoire, mais mieux vaut s’assurer (charge au professionnels de le faire ou aux applications, sites de le renseigner) que cet hébergement soit fait en France, par une société Française, pour s’assurer de la confidentialité des données collectées, seulement au tiers autorisés [7]
Références :
Données de santé, définitions et réglementation :
- [1] https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante#:~:text=Quelle%20d%C3%A9finition%20%3F,de%20sant%C3%A9%20de%20cette%20personne
- [2] https://gnius.esante.gouv.fr/fr/reglementation/quest-ce-quune-donnee-de-sante
Données personnelles :
Données sensibles :
Certification HDS :
- [5] https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante
Sécurisation et confidentialité suivant les pays :
Tiers autorisé :