Hébergement de données de santé : les données “bien-être” ne sont pas concernées par la certification

L’activité d’hébergement de données de santé est très réglementée et doit faire l’objet, depuis le 1er avril 2018 (avec une application progressive), d’une certification par un organisme certificateur indépendant (l’ancienne procédure relevait de l’agrément). Le code de la santé publique est très strict à ce sujet et propose, aussi bien dans sa partie législative (à partir de l’article L. 1111-8) que dans partie réglementaire (à partir de l’article R. 1111-8-8). 

Mais une question se pose s’agissant des données “bien-être” qui sont, par exemple, les données récoltées par les objets connectés (dont les applications mobiles) sur les kilomètres parcourus par un individu, son rythme cardiaque, ou encore son sommeil. Ces données-là, qui sont des données de santé car elles sont relatives “à la santé physique ou mentale d’une personne physique” (définition proposée par l’article 4 du Règlement général relatif à la protection des données, RGPD). 

Pourtant, l’hébergement de telles données n’est pas soumis aux mêmes conditions de certification que des données de santé “classiques”. Explications. 

 

Les données de santé “bien-être” peuvent être hébergées sans certification

Pour comprendre la différence entre les données dont l’hébergement nécessite une certification, et celles qui peuvent être hébergées sans certification, il faut se reporter au texte de loi. Que dit l’article L. 1111-8 du code de la santé publique ? Il dispose que la certification de l’hébergeur est nécessaire dès lors qu’il “héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même“. 

Dans le cas qui nous concerne, l’information à retenir est le contexte du recueil des données : il faut qu’elles soient prélevées pour des activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. Dès lors, il faut se demander si les données “bien-être” produites par les individus et recueillies par leurs applications et objets connectés, le sont pour l’une des occasions prévues par le texte de loi. 

Si l’individu ne produit ces données que pour son bien-être, sans que cela s’inscrive dans un cadre médical suivi, alors l’hébergement de telles données n’a pas à être certifié. 

La CNIL corrobore cet état de fait et à la question de savoir si “l’éditeur d’une application mobile de “bien-être” [doit] respecter les obligations découlant de l’hébergement des données de santé“, elle répond quenon, si les données collectées, enregistrées et conservées, le cas échéant, par un prestataire extérieur ne sont pas collectées à l’occasion d’activités de prévention, de diagnostic, de suivi social ou médico-social“. 

Cela veut-il dire que l’hébergement des données “bien-être” est totalement libre ? Pas tout à fait. Il ne faut pas oublier que ces données restent soumises à l’application du RGPD et de la loi Informatique et Libertés. Néanmoins, l’absence d’obligation de certification pour l’hébergeur enlève une contrainte non négligeable. 

Ajouter aux articles favoris
Please login to bookmark Close
0 Shares:
Vous pourriez aussi aimer

Un premier avenant intéressant pour la PSC du ministère de l’Intérieur

Un an après la signature de l’accord ministériel du 16 mai 2024 sur la protection sociale complémentaire (PSC) des agents du ministère de l’Intérieur et des outre-mer, un premier avenant est venu, le 12 mars 2025, en corriger plusieurs aspects. Publié au Journal officiel d'aujourd'hui, ce texte modifie la structure des bénéficiaires, ajuste un article sur la gouvernance et corrige une rédaction ambiguë sur les ayants droit. La principale évolution porte sur...

Budget 2025 : plus de 33 milliards d’euros alloués aux établissements médico-sociaux par la CNSA

Un arrêté publié au Journal officiel d'aujourd'hui, fixe pour l’année 2025 l’objectif de dépenses et le montant total annuel des financements alloués aux établissements et services médico-sociaux relevant de la Caisse nationale de solidarité pour l’autonomie (CNSA). L’objectif de dépenses est établi à 33 248,30 Md€ pour l’ensemble du secteur. Ce montant se répartit entre 17 538,87 Md€ pour les établissements et services accueillant des personnes âgées...

Dotations médico-sociales 2025 : 32,55 Md€ répartis entre les régions par la CNSA

Par décision du 2 juin 2025, publiée au Journal officiel d'aujourd'hui, la Caisse nationale de solidarité pour l’autonomie (CNSA) a fixé les dotations régionales limitatives applicables aux établissements et services médico-sociaux pour l’année 2025. Ces dotations, réparties par Agence régionale de santé (ARS), concernent à la fois les structures accueillant des personnes âgées et celles destinées aux personnes en situation de handicap. Le montant total...