L’hébergement des données de santé, une activité surveillée

  • Hébergement de Données de Santé
HDS une activité surveillée

L’évolution croissante du numérique nécessite un cadre juridique de l’hébergement de données de santé. Ces informations à caractère personnel sont particulièrement sensibles. Aussi, les hébergeurs doivent en assurer la protection et la sécurité, en conformité avec les droits des patients. Entre RGPD (Règlement général sur la protection des données), CNIL (Commission nationale de l’informatique et des libertés), Code de la santé publique et certification HDS, pour tout savoir sur l’hébergement des données de santé, voyons ce que dit la loi.

Données de santé : une définition donnée par la loi

Les données de santé sont définies, selon le RGPD, comme toute information relative à la santé physique ou mentale d’une personne. Cette information peut êtrecollectée dans le cadre de la recherche, de traitements médicaux ou d’autres activités liées aux soins. Cette définition englobe ainsi un large éventail d’informations. Le Code de la santé publique considère ces données sensibles en raison de leur caractère personnel. Elles doivent être protégées avec rigueur. C’est pourquoi la loi impose des obligations concernant la collecte, le stockage et le traitement de ces informations. L’objectif est de garantir la protection des droits des patients et le respect de leur vie privée. Par conséquent, les acteurs du secteur de la santé, y compris les établissements médicaux et les hébergeurs de données, doivent veiller à respecter la loi en matière de sécurité et de confidentialité des données de santé.

Le cadre juridique de l’hébergement de santé : un ensemble de lois et de réglementations

L’hébergement des données est régi par différents textes de loi.

1. Le RGPD (Règlement général sur la protection des données)

Adopté en 2016 et appliqué depuis 2018, le RGPD impose un ensemble d’obligations pour la gestion et la protection des données personnelles, incluant les données de santé.

Ce règlement européen guide les hébergeurs de données de santé selon cinq principes.

  1. Licéité, limitation des finalités, minimisation des données : les données doivent être collectées dans un but spécifique et légitime. Seules les données nécessaires doivent être collectées.
  2. Exactitude des données : les données personnelles doivent être à jour.
  3. Durée limitée : la conservation des données ne doit pas dépasser le temps nécessaire à leur traitement.
  4. Sécurisation : les données doivent être protégées contre les accès non autorisés.
  5. Droits des personnes : droit d’accès, de rectification et d’opposition à l’utilisation des données.

Les organismes hébergeant des données de santé sont également tenus de désigner un responsable du traitement et de s’assurer que tout traitement respecte les droits des individus.

2. La certification HDS (Hébergeur de Données de Santé)

La certification HDS, obligatoire pour les hébergeurs de données de santé, pose un cadre juridique. Créée en 2018 pour remplacer l’ancien agrément, cette certification impose des règles aux hébergeurs. Elle garantit ainsi la conformité des infrastructures et des services de stockage. Pour comprendre la certification HDS, il faut connaître la norme ISO 27001 sur laquelle elle s’appuie. Cette norme régit les systèmes de management de la sécurité de l’information. Le référentiel HDS vient la renforcer.

C’est un organisme certificateur accrédité par le COFRAC qui accorde la certification HDS aux hébergeurs. Cette procédure assure que les entreprises répondent aux critères imposés pour assurer le maintien de la sécurité des données hébergées. En cas de manquement à ces obligations, la certification peut être suspendue ou retirée.

3. Le Code de la santé publique en faveur de la certification

Le Code de la santé publique impose également des obligations dans le traitement et la protection des données de santé. Il stipule que toute donnée de santé à caractère personnel doit être hébergée par un prestataire certifié HDS. Certains cas particuliers n’entrent pas dans ce cadre, comme la gestion des données directement par un établissement de santé.

Le Code de la santé publique limite également les conditions dans lesquelles les données peuvent être traitées. Il garantit que les patients ont un droit de regard sur leurs données. Il s’assure également du respect de leur consentement.

4. Le rôle de la CNIL dans la protection des données personnelles

La Commission nationale de l’informatique et des libertés (CNIL) veille à l’application des lois sur la protection des données personnelles, y compris les données de santé. La CNIL a le pouvoir d’infliger des sanctions en cas de non-respect de la sécurité des données. La commission vérifie que les organismes publics et privés traitent les données dans le respect des droits.

Les conditions d’hébergement des données de santé : la responsabilité des hébergeurs

Pour suivre le cadre juridique de l’hébergement de données de santé, les hébergeurs doivent remplir plusieurs conditions. Elles incluent la mise en place de mesures de sécurité techniques et organisationnelles, dont:

  • sécurisation de l'infrastructure ;
  • chiffrement des données ;
  • pare-feu et système de détection d'intrusion ;
  • contrôle d'accès ;
  • gestion des incidents ;
  • plan de continuité d'activité.

La loi impose également la condition de traçabilité et celle d’auditabilité du système d’information. Les audits réguliers effectués par des organismes externes sont obligatoires. Ils prouvent la conformité des hébergeurs aux normes de sécurité, notamment la norme ISO 27001.

Le choix de l’hébergeur : un enjeu dans le respect des informations personnelles

Les organismes de santé ou les prestataires traitant des données de santé doivent choisir avec soin leur hébergeur de données. Point essentiel : vérifier si l’hébergeur dispose de la certification HDS.

En fonction des besoins spécifiques de l’organisme, certains hébergeurs proposent des services, tels que :

  • l'hébergement en cloud ;
  • l'infogérance ;
  • des solutions de gestion des activités opérationnelles liées à la sécurité des données.

Le cadre juridique de l’hébergement de données de santé repose sur plusieurs textes de loi. Le RGPD, la certification HDS, le Code de la santé publique et les directives de la CNIL veillent à la protection des informations sensibles. Les hébergeurs certifiés HDS doivent garantir la sécurité et la confidentialité des données sensibles qu’ils traitent. Pour les entreprises du secteur médical, choisir un hébergeur certifié et en conformité se révèle une obligation non seulement légale, mais aussi éthique.

GPLExpert, hébergeur et infogéreur, offre des solutions sur mesure dans le cadre juridique de l’hébergement de données de santé.

Vous pourriez également être intéressé par les articles suivants :

HDS une activité surveillée

Qu'est-ce qu'une donnée santé ?

Comment définir et protéger les données de santé ? En France, la loi fournit un cadre précis pour le traitement des informations sensibles

Sélectionner Hébergeur HDS

Comment choisir son hébergeur de données de santé ?

Comment choisir le bon hébergeur de données de santé ? Précautions d’usage pour trouver la solution d’hébergement adaptée à vos besoins.