© Relyens 2024
Vous êtes
Sélectionnez votre pays
Temps de lecture : 4 minutes
Hébergement des données de santé
Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. De fait, l’hébergement des données de santé représente un aspect important dans la gestion des nouveaux risques technologiques et digitaux.
Ce que dit la loi
L’hébergement des données de santé est régi par les dispositions de l’article L. 1111-8 du Code de la santé publique.
Le texte prévoit que toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention de diagnostic, de soins ou de suivi social ou médico-social pour le compte d’un tiers, doit être agréée à cet effet (plus d’informations sur les 4 enjeux de la donnée de santé).
N’hésitez pas à consulter le travail du Conseil Médical Relyens pour connaître la nature et la définition précise de la donnée de santé.
L’activité d’hébergement nécessite, en outre, une information claire et préalable de la personne concernée par les données de santé hébergées, et une possibilité pour celle-ci de s’y opposer pour motif légitime.
L’article L. 1111-8 du CSP a été modifié par une ordonnance du 22 janvier 2017 (1) qui distingue trois services d’hébergement des données de santé :
- l’hébergement de données sur support papier qui doit être réalisé par un hébergeur agréé par le ministère de la Culture (2);
- l’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique (3), qui doit être réalisé par un hébergeur agréé par le ministère de la Culture dans des conditions définies par décret en Conseil d’État pris après avis de la CNIL et des ordres des professions de santé ;
- l’hébergement de données de santé sur support numérique hors cas d’un service d’archivage électronique (4), qui doit être réalisé par un hébergeur certifié dans des conditions définies par décret en Conseil d’État pris après avis de la CNIL et des ordres des professions de santé.
Procédures de certification de l’hébergement des données
La nouvelle procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique est venue remplacer l’ancienne procédure d’agrément.
L’évolution de la procédure a pour objectif d’accroître la sécurité des données de santé hébergées.
Notamment en complétant les audits documentaires par des audits sur site, en réduisant les délais d’instruction des demandes des hébergeurs, et en faisant bénéficier les acteurs concernés de la visibilité du dispositif à l’international par une référence à des certifications ISO largement répandues aux échelles européenne et mondiale.
En pratique, l’activité d’hébergement de données de santé doit désormais être encadrée par une évaluation de conformité à un référentiel de certification, délivrée par un organisme de certification accrédité par le COFRAC (ou équivalent au niveau européen).
Deux types de certificats seront délivrés aux hébergeurs :
- un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
- un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.
Si tous les systèmes informatiques de l’établissement de santé stockent des données concernant exclusivement des patients admis au sein de la structure, la certification d’hébergeur n’est pas une obligation réglementaire. Pour autant, l’établissement concerné doit satisfaire aux exigences de sécurité des systèmes d’information/
Évolution de la procédure d’agrément des hébergeurs de données de santé, ASIP Santé, 2017
Références
(1) Ordonnance n°2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel,
(2) Décret 2011-246 du 4 mars 2011 relatif à l’hébergement de données de santé à caractère personnel sur support papier et modifiant le Code de la santé publique,
(3) L’archivage a pour finalité « l’organisation et le contrôle de la constitution, de la sélection, de la conservation et de la destination finale des documents d’une administration, d’une entreprise ou d’un organisme » (définition de la commission générale de terminologie). « Il s’agit de la conservation d’un document ou dossier d’archives dans un système d’archivage électronique à vocation probatoire. Afin de préserver l’intégrité, un traitement d’archivage comprend donc l’hébergement des documents d’archives sans possibilité de modifier ces derniers » (livre blanc « Archives de santé, réglementation et bonnes pratiques », Locarchives, 2016),
(4) Dans le cadre du livre blanc « Archives de santé, réglementation et bonnes pratiques » (Locarchives, 2016), l’hébergement s’entend du stockage d’un objet numérique dans une infrastructure informatique pour des usages variés (traitement, consultation,…) et pouvant permettre la modification d’objets hébergés.
Les Experts Relyens viennent de délivrer le premier Livre Blanc sur le risque Cyber et ses enjeux pour et dans les établissements de santé. N’hésitez pas télécharger notre ouvrage et en apprendre plus sur les enjeux de la cybersécurité, la numérisation, la gouvernance et les bonnes pratiques, notamment en temps de crise Covid-19.
Télécharger le livre blanc cyberSur le même sujet
Toutes les publications
Comment la cyberattaque par rançongiciel impacte-t-elle les établissements de santé ?
il y a 4 moisDéjà lu
Comment estimer le coût d’une cyberattaque par rançongiciel dans un établissement de santé ?
il y a 6 moisDéjà lu
Quels sont les points d’entrée des cyberattaques dans les établissements de santé ?
il y a 7 moisDéjà lu