Stockage et hébergement

L’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé a pour objectif d’organiser et d’encadrer la conservation et la restitution des données de santé à caractère personnel recueillies à l’occasion d’activité de prévention, de diagnostic, de soin ou de suivi social et médico-social, dans des conditions propres à garantir leur confidentialité et leur sécurité.

Par cet encadrement, le législateur souhaite garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs sanitaire, social et médico-social confient les données de santé qu’ils produisent ou recueillent, notamment en mesurant l’impact de l’activité du prestataire sur la protection des données, au travers des critères de sécurité à l’état de l’art « disponibilité, intégrité, confidentialité et auditabilité ( DICA ) » notamment visés par l’ANSSI et les normes ISO.

Cette confiance dans les tiers agissant pour le compte de ces acteurs sanitaires et sociaux et médicosociaux est donnée au travers de l’obligation d’être agréés et/ou certifiés HDS.

L’obligation de disposer d’un agrément ou d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement 

1. Portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. 
2. Pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données. 

Ces conditions sont cumulatives. Il peut s’agir de toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé. 

À cet égard, l’éventuelle situation de quasi régie définie à l’article 17 de l’ordonnance n°2015-899 du 23 juillet 2015 relative aux marchés publics avancée par certaines entités, qui permet aux acheteurs publics d’attribuer un marché public sans publicité ni mise en concurrence à un opérateur avec lequel il entretient des relations particulières, mais n’est pas de nature à remettre en cause l’analyse relative à l’application des textes sur l’hébergement de données de santé. 

Exemple : tout professionnel manipulant des données de santé à caractère personnel telles que définies par l’article 4-15 du règlement européen relatif à la protection des données personnelles n’est pas systématiquement tenu de faire application de la législation relative à l’hébergement. Sont concernés tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) qui produisent les données susmentionnées dans le cadre de leurs activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. Toute personne relevant de l’une de ces catégories doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social.

Par exemple, un établissement de santé exploitant à des fins de recherche une base de données de santé mise en œuvre dans le cadre de la prise en charge sanitaire des patients est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ladite base. A contrario, sont exclus de l’obligation de recourir à un prestataire agréé ou certifié HDS : 

• Les organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ; 
• Les organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ; 
• Les associations qui proposent des activités sportives à des personnes handicapées. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.