Avant mai 2018, la notion de donnée de santé n’était pas clairement définie. Elle existait bien sûr mais dans un sens très large. Les hébergeurs par exemple étaient dans un agrément distinct (HADS) répondant au caractère spécifique de certaines données ainsi qu’à leur dématérialisation. Cependant, la mise en place de la réglementation RGPD a fait évoluer en profondeur ce sujet lors de son lancement officiel il y a 18 mois. Les définitions à la fois de « donnée » et de « traitement de donnée » ont alors été précisées, faisant notamment entrer les données de santé dans un cadre de données sensibles et obligeant les hébergeurs de données de santé sur support numérique à être certifiés.
Aujourd’hui, quid de ce cadre légal ? Et quelles sont les garanties d’un hébergeur certifié ?
La notion de donnée sensible
L’évolution amenée par le RGPD a eu dans un premier temps des effets organisationnels : d’un système où chaque hébergeur avait sa « recette », l’on est alors passés à un ensemble de règles communes et à un cadre bien défini. Les données personnelles de santé sont donc devenues officiellement des données sensibles, avec un accès strictement règlementé et ultra-sécurisé afin de garantir le droit des personnes ainsi que leur confidentialité. En effet, ces données dites sensibles peuvent présenter des intérêts pour un grand nombre d’entreprises ; qu’il s’agisse de données politiques, religieuses, sexuelles, de biométrie, ou encore de santé.
La CNIL a d’ailleurs toujours eu une démarche dynamique sur le sujet de protection de la donnée, mais à l’échelle Franco-Française. Et les conditions de l’ancien agrément abordaient déjà les méthodes de sécurisation des données grâce au respect de la CNIL. Par la suite, la certification ne pouvait pas ignorer les nouveautés apportées par le RGPD, notamment au niveau de :
+ La définition de “la donnée”
+ La définition du “traitement d’une donnée”
+ La notion de sensibilité de la donnée
De fait, malgré cette différence RGPD Européen / Certification Française, celle-ci s’inscrit donc d’ores et déjà dans les futures directives européennes de sécurisation de la donnée.
Le cadre légal en vigueur
Du côté du cadre légal, les modalités d’hébergement de données de santé à caractère personnel sont aujourd’hui encadrées par l’article L.1111-8 du code de la santé publique :
“Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.“
Cet article distingue explicitement trois grandes catégories de services d’hébergement de données de santé :
+ le support papier – réalisé par un hébergeur agréé par le ministre de la culture (décret 2011-246)
+ le support numérique dans le cadre d’un service d’archivage électronique – réalisé par un hébergeur agréé par le ministre de la culture dans des conditions définies par décret en Conseil d’État
+ le support numérique hors cas d’un service d’archivage électronique – réalisé par un hébergeur certifié (comme A2COM) là aussi dans des conditions définies par décret en Conseil d’État
Ces trois catégories rentrent elles dans un référentiel de certification s’appuyant sur des normes internationales très rigoureuses.
Les garanties d’un hébergeur certifié
L’hébergeur de données doit dans un premier temps choisir son organisme certifiant accrédité (chez A2COM nous avons été certifiés par LSTI) puis suivre un audit composé de deux parties :
+ une partie d’audit documentaire du système d’information afin de contrôler sa conformité dans le cadre référentiel et légal de la certification
+ une partie d’audit sur site pour en recueillir les preuves de son application réelle
Suite à ces étapes, l’hébergeur aura ensuite trois mois pour corriger les possibles problèmes de non-conformités et faire auditer ses corrections. Sans corrections, un nouvel audit sur site sera alors réalisé…
Lorsqu’aucune non-conformité n’est constatée, un certificat est délivré pour une durée de trois ans (celui d’A2COM court jusqu’en 2022), mais un audit de surveillance est réalisé chaque année.
Une procédure exigeante qui garantit le respect du fameux référentiel et la confiance en l’hébergeur, c’est à dire :
+ la norme IS0 27001 dite du « système de gestion de la sécurité des systèmes d’information »
+ les exigences de la norme ISO 20000-1 « système de gestion de la qualité des services » ;
+ la protection de données à caractère personnel
+ les exigences spécifiques à l’hébergement de données de santé.
Aujourd’hui, le monde médical est tourné vers la sécurisation des données et ce n’est clairement plus un marché de niche. Un texte de loi et une certification soutiennent cette direction confirmant la pleine mesure de l’importance de ce sujet. Et toutes les structures ayant besoin de gérer de la donnée de santé peuvent donc aujourd’hui passer par des prestataires comme A2COM, garantissant à la fois confiance, rigueur et fiabilité dans ce domaine si sensible !