FAQ – Toutes vos questions sur l’hébergement de données de santé

Qu’est ce qu’une donnée à caractère personnel ?

Le Règlement Général sur la Protection des Données personnelles (RGPD) indique qu’une donnée à caractère personnel représente toute information relative à une personne physique, susceptible d’être identifiée, directement ou indirectement. Source

Qu’est ce que la Données de Santé à Caractère Personnel (DSCP)?

Le Règlement Général sur la Protection des Données personnelles (RGPD) donne une définition depuis avril 2016. Ce sont les données passées, présentes et futures relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. Des précisions sont apportées sur le site de la CNIL. Source

Qui est concerné et doit recourir à un Hébergement de Données de Santé (HDS) ?

L’article L.1111-8 du code de la santé publique indique que : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».
Le Ministère des Solidarités et de la Santé précise que les personnes physiques ou morales concernées par l’hébergement de données de santé sont d’une part, les patients qui confient l’hébergement de leurs données de santé à un tiers, et d’autre part les responsables de traitements de données de santé à caractère personnel (DSCP) ayant pour finalité la prévention, la prise en charge sanitaire (soins et diagnostic) ou la prise en charge sociale et médico-sociale de personnes. Source

Qu’est ce qu’un traitement de Données de Santé à Caractère Personnel (DSCP) ?

L’article 2 de loi Informatique et Libertés définit les traitements de données personnelles comme « toute opération ou tout ensemble d’opérations portant sur des données personnelles quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

Qui est le « responsable de traitement » ?

L’article 4 du RGPD définit le responsable de traitement comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Ainsi, pour déterminer qui de la société éditrice du logiciel ou de l’utilisateur du logiciel (professionnel ou établissement de santé) a la qualité de responsable de traitement, il convient d’identifier qui détermine les finalités et les moyens du traitement opérés par le biais du logiciel.

L’éditeur de logiciel est-il « responsable de traitement » ?

La CNIL a eu l’occasion de considérer à de très nombreuses reprises qu’en principe l’éditeur d’un logiciel n’est pas le responsable du traitement mis en œuvre à partir de ce logiciel : l’exemple le plus fréquemment repris est celui du médecin ou de l’établissement de santé qui utilise un logiciel pour gérer le cabinet médical ou pour administrer les dossiers médicaux édité par un prestataire tiers éditeur, dans les deux cas, c’est bien le médecin ou l’établissement de santé qui est « responsable du traitement » mis en œuvre à partir du logiciel utilisé.
En l’espèce, il y a lieu de comprendre que les responsables de traitement seront les clients de l’éditeur, lui-même client de l’hébergeur de données de santé, et qu’en conséquence ses responsables de traitements sous contrat avec l’éditeur pourraient être situés soit sur le territoire français, soit sur d’autres territoires […].

Quel est le rôle de l’hébergeur de données de santé ?

L’article L.1111-8 du code de la santé publique relatif à l’hébergement de données de santé a pour objectif d’organiser et d’encadrer la conservation et la restitution des données de santé à caractère personnel (DSCP), dans des conditions propres à garantir leur confidentialité et leur sécurité.
Par cet encadrement, le législateur souhaite garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs sanitaire, social et médico-social confient les données de santé qu’ils produisent ou recueillent, notamment en mesurant l’impact de l’activité du prestataire sur la protection des données, au travers des critères de sécurité à l’état de l’art « disponibilité, intégrité, confidentialité et auditabilité ( DICA ) » notamment visés par l’ANSSI et les normes ISO.
Cette confiance dans les tiers agissant pour le compte de ces acteurs sanitaires et sociaux et médico-sociaux est donnée au travers de l’obligation d’être agréé et/ou certifié « HDS ».

Source : Document « Explication du champ d’application du cadre juridique de l’hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d’information de santé » édité par le Ministère des solidarités et de la santé 

Quelles sont les activités de la certification HDS ?

Les activités de la certification HDS sont les suivantes :
1. Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
2. Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.
3. Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’application du système d’information
4. Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.
5. Administration et exploitation du système d’information contenant les données de santé.
6. Sauvegarde externalisées des données de santé.

Qui construit un cadre contractuel HDS global dédié aux projets et aux contraintes clients ?

Cloud Santé® met en place un cadre contractuel HDS global suivant les contraintes des clients tout en les assistant dans le respect de la règlementation. Un accompagnement par les équipes Cloud Santé® tout au long du processus de déploiement, permet de créer un projet personnalisé et en adéquation avec les caractéristiques clients.

Qui accède aux données de santé ?

Les données de santé peuvent être consultées par le patient et le professionnel de santé. La collecte de données de santé et l’exploitation de bases les traitants sont soumises à une réglementation HDS très stricte, définie par le code de la santé publique modifié par Décret n°2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel , et destinée à garantir la confidentialité, la sécurité de ces données et à assurer la protection de la vie privée du patient.

Les Données de Santé à Caractère Personnel (DSCP) sont-elles inclues dans le RGPD ?

Les réglementations HDS (Hébergement de Données de Santé) et RGPD (Règlement Général sur la Protection des données) sont complémentaires. Le RGPD définit les obligations générales comme la nomination d’un DPO, la réalisation d’analyse d’impact sur la vie privée ou encore la déclaration des incidents de sécurité. La réglementation HDS précise et renforce les mesures de sécurité à mettre en œuvre et les rends applicables. Les données de santé sont des données à caractère personnel « particulières » car considérées comme sensibles. Elles font à ce titre l’objet d’une protection particulière par les textes (code de la santé publique, agrément et certification pour l’hébergement de données de santé à caractère personnel, etc.) afin de garantir le respect de la vie privée des personnes.

Source : Document  » Règlement Européen sur la protection des données personnelles – GUIDE DU SOUS-TRAITANT – Edition septembre 2017 « 

Comment Cloud Santé® peut m’accompagner dans le déploiement de mon projet e-santé ?

Euris Health Cloud (Cloud Santé®) est opérateur de santé connectée, spécialiste de l’hébergement de données de santé. Conformité globale : UE (RGPD, HDS & ISO 27001), US (conformité HIPAA), Chine (CSL). Pour en savoir plus sur nos certifications, c’est par ici.

Grâce à un modèle unique de service de marketplace, Cloud Santé® propose également une gamme complète de services et de solutions interopérables, facilitant le déploiement des projets e-santé : authentification forte, drive, archivage, sauvegarde, anonymisation, Big Data, Business Intelligence, IoT, télémédecine,  etc.

Cloud Santé® met en place un cadre contractuel HDS global suivant les contraintes des clients tout en les assistant dans le respect de la règlementation. Un accompagnement par les équipes Cloud Santé® tout au long du processus de déploiement, permet de créer un projet personnalisé et en adéquation avec les caractéristiques clients.

Quelles sont les sanctions en cas de non respects de la réglementation en matière de protection des données de santé à caractère personnels?

En cas de non-respect du Règlement Générale de la Protection des Données (RGPD) :
Les sanctions sont réparties en deux groupes en fonction de la durée, la nature et la gravité de la violation.

Lorsqu’il s’agit d’un des manquements aux obliagtions suivantes :
– les obligations incombant au responsable du traitement et au sous-traitant
– les obligations incombant à l’organisme de certification
– les obligations incombant à l’organisme chargé du suivi des codes de conduite.
Une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliquée.

Lorsqu’il s’agit d’un des manquements aux obligations suivantes :
– L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
– Les autres droits des personnes concernées
– Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
– Toutes les obligations découlant du droit des Etats membres
– Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.
Une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende peut être appliquée.

En cas de non respect de la réglementation liés à la protection des Données de Santé à Caractère Personnel (DSCP) :
Les sanctions pénales prévues ( articles 1115-1 et 1115-2 du Code de la santé publique) en cas d’hébergement de données de santé à caractère personnel (DSCP) sans agrément ou certification HDS :
– Trois ans d’emprisonement et 45 000 euros d’amende;
– Interdiction pour une durée de 5 ans ou plus d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales ;
– Placement, pour une durée de 5 ans ou plus, sous surveillance juridique ;
– La fermeture définitive ou pour une durée de cinq ans au plus des établissements ou de l’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre les faits incriminés ;
– L’exclusion des marchés publics à titre définitif ou pour une durée de cinq ans au plus ;
– L’affichage de la décision prononcée ou la diffusion de celle-ci soit par la presse écrite, soit par tout moyen de communication au public par voie électronique.

Source

Notre équipe vous accompagne dans tous vos projets IT santé