Un nouveau décret concernant l’hébergement de données de santé à caractère personnel vient de paraître au Journal officiel. Ce décret et important car il modifie les règles relatives à l’hébergement des données personnelles de santé.
Que faut-il en retenir ?
L’hébergement de données personnelles de santé redéfini
L’article 2 du décret donne la définition de l’hébergement des données de santé à caractère personnel. Il s’agit de l’activité qui consiste à recueillir ce type de données pour des activités de prévention, de diagnostic, de soins ou de suivi social et médico-social.
En revanche le fait de se voir confier des données de santé à caractère personnel pour une courte durée par les personnes à l’origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données, ne relève pas de l’hébergement de données personnelles de santé.
La clarification de la certification de l’activité d’hébergement
Le décret poursuit, à son article 2, la définition de la certification de l’hébergement en abordant l’hébergement des données personnelles de santé sur support numérique.
Dans un premier temps cette activité d’hébergement consiste à assurer pour le responsable du traitement ou le patient : la mise à disposition et le maintien des sites physiques d’hébergement du matériel informatique ; la mise à disposition et le maintien du matériel informatique ; la mise à disposition et le maintien de l’infrastructure virtuelle servant au traitement des données ; la mise à disposition et le maintien de la plateforme d’hébergement ; l’administration et l’exploitation du système d’information contenant les données ; la sauvegarde des données.
L’activité d’hébergement de données personnelles de santé soumise à certification peut relever de l’une, ou de l’intégralité de ces activités.
La certification doit nécessairement être délivrée par l’organisme habilité, après approbation par le ministre de la santé, pris après avis de la CNIL.
Que doit contenir le contrat d’hébergement de données personnelles de santé
Le décret précise les informations que doit contenir le contrat d’hébergement signé entre l’hébergeur et son client.
Il faut a minima que le contrat contienne 14 type d’informations. Nous pouvons notamment citer l’indication du périmètre du certificat de conformité obtenu par l’hébergeur et les dates de délivrance et de renouvellement ; la description des prestations réalisées ; l’indication des lieux d’hébergement ; les mesures mises en oeuvre pour garantir le respect des droits des personnes visées par les données de santé ; la mention du référent contractuel du client de l’hébergeur à contacter en cas d’incidents ; ou encore la mention des indicateurs de qualité et de performance permettant de vérifier le niveau de service annoncé.
Une entrée en vigueur échelonnée
Il est prévu que le décret entre en vigueur le 1er mars 2018. Mais cette date est prévue sous réserve de l’application des dispositions de l’article 3 : ainsi, les mesures prévues par l’article 2 du décret n’entreront en vigueur que le 1er avril 2018.
Le 4e point de l’article R. 1111-11 du code de la santé publique modifié par l’article 2 du décret entrera en vigueur le 2 mai 2018, en même temps que le RGPD.
Tous les agréments délivrés pour l’hébergement de données personnelles de santé avant le 31 mars 2018 resteront régis par les anciennes dispositions jusqu’à leur terme.
Un délai de six mois sera donné aux hébergeurs de données de santé dont l’agrément arrive à échéance avant le 31 mars 2019 afin de leur permettre d’effectuer les nouvelles démarches de certification.
