Le Code de la santé publique (Article L.1111-8 CSP) requière que les « hébergeurs de données de santé » ou « HDS » soient agréés pour cette activité. C’est une réglementation particulière à la France et à laquelle se heurtent bon nombre de sociétés étrangères.

À compter du 1er Avril 2018, la procédure d’agrément change de façon significative, passant d’un agrément ministériel à une certification.

1. Types de données concernées et régime général

Initialement, l’agrément des HDS accompagnait le projet de création d’un dossier médical personnel et dématérialisé.  L’obligation a ensuite évolué pour s’appliquer plus largement.

Aujourd’hui l’article L.1111-8 impose l’obligation d’agrément à « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social », pour le compte d’un tiers. Les tiers en question sont soit :

  • des « personnes physiques ou morales à l’origine de la production ou du recueil de ces données » (ces personnes étant désignées dans le décret visé ci-après comme les responsables de traitement) ; soit
  • le « patient lui-même ».

L’agrément n’est pas requis pour les responsables de traitement (comme les hôpitaux ou professionnels de santé) qui hébergent leurs propres données.

Les HDS et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel. Les HDS ne peuvent utiliser les données qui leur sont confiées à d’autres fins que l’exécution de la prestation d’hébergement. Lorsqu’il est mis fin à l’hébergement, le HDS restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les données n’ont pas à être hébergées en France.

Par le passé l’hébergement de données de santé nécessitait le consentement de la personne concernée. Depuis 2016, il faut que le patient ou la personne concernée ait été informé et ait la possibilité de s’opposer à l’hébergement.

2. L’ancienne procédure d’agrément

Jusqu’au 1er avril 2018, un HDS devait obtenir l’agrément du ministre chargé de la Santé sur la base d’un dossier remis à l’ASIP-Santé et après avis de la CNIL et du comité d’agrément des hébergeurs. L’agrément est donné pour une durée de 3 ans.

Le dossier portait sur la capacité financière du candidat, le type de prestation proposée, le niveau de sécurité et les conditions du respect des principes de la protection des données personnelles et des droits des personnes. L’HDS devait notamment avoir parmi son personnel un professionnel de santé, chargé d’accompagner les demandes d’accès à leur dossier par les patients. De nombreuses contraintes étaient imposées relatives à la sécurité et la confidentialité des données.

3. Certification à compter du 1er avril 2018

À compter du 1er avril 2018, le HDS doit obtenir la certification d’un organisme certificateur qui devra être accrédité par le COFRAC – comité français d’accréditation – ou tout organisme équivalent au niveau européen. La procédure de certification et d’autres exigences réglementaires ont été établies par le Décret n° 2018-137 du 26 février 2018 (le “Décret”) qui a créé les nouveaux articles R1111-8-8 à R1111-11 du CSP.

3.1 Services requérant la certification

Le Décret établit une liste détaillée des activités couvertes par la définition de HDS et requérant une certification. Sur cette base, deux périmètres de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts :

  • un certificat « hébergeur d’infrastructure physique »
  • un certificat « hébergeur infogéreur » pour une ou plusieurs des activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Si l’activité de l’hébergeur s’inscrit dans les deux types d’activité, l’hébergeur doit obtenir les deux certifications.

Sur la base de cette liste et notamment des activités listées dans le périmètre « hébergeur infogéreur », des prestataires qui, par le passé n’avaient pas besoin de l’agrément (comme les éditeurs de logiciels qui n’hébergent pas nécessairement de données mais peuvent gérer le système d’exploitation), devront à l’avenir obtenir une certification.

3.2 Référentiel et procédure

L’organisme certificateur procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification : un audit documentaire suivi d’un audit sur site.

L’audit vérifie le respect des normes : ISO 27001 « système de gestion de la sécurité des systèmes d’information » ; ISO 20000 « système de gestion de la qualité des services » ; ISO 27018 « protection des données à caractère personnel » ; et quelques exigences spécifiques à l’hébergement de données de santé.

Le certificat est délivré pour une durée de trois ans. Un audit de surveillance annuel est effectué par l’organisme certificateur.

3.3 Contrats

Le décret liste, au nouvel Article R1111-11 CSP, ce que doivent contenir les contrats relatifs à l’hébergement, y compris en ce qui concerne la sécurité des données et l’accès aux donnés.

4. Période de transition

  • Les agréments délivrés ou demandes (nouvelles ou de renouvellement) effectués avant le 1er avril 2018 produisent leur effet jusqu’à leur terme de 3 ans.
  • Les hébergeurs dont l’agrément arrive à échéance moins de 12 mois après le 1er avril 2018, disposent d’un délai de 6 mois pour la certification.
  • Toute nouvelle demande faite depuis le 1er avril 2018 concerne une certification.

Il y a encore des incertitudes concernant le régime applicable aux nouvelles activités du périmètre « hébergeur inforgéreur », notamment pour les éditeurs de logiciels qui nous l’espérons devraient être éclaircies rapidement par les autorités.

5. Sanctions

Les manquements à l’Article L.1111-8 CSP sont sanctionnés par une peine allant jusqu’à 3 ans d’emprisonnement et une amende pouvant atteindre 45.000 € ou 225.000 € pour les personnes morales.

Les traitements de données personnelles en infraction à cette réglementation peuvent aussi donner lieu à une sanction de la CNIL et notamment une injonction de cesser le traitement et /ou une amende administrative pouvant aller jusqu’à 3 millions ou à compter de l’entrée en vigueur du RGPD le 25 mai 2018 jusqu’à 20 million ou 4% du chiffre d’affaire mondial.

Les manquements à l’obligation de secret professionnel encourent aussi des sanctions pénales.

Il s’agit donc d’une règlementation particulièrement importante à prendre en compte par les entreprises du secteur.