Par Jeanne Bossi Malafosse, avocat à la cour, counsel, DLA Piper

Une entité qui souhaite héberger sur Internet, pour le compte d’un tiers, des données de santé à caractère personnel doit obtenir du ministre en charge de la Santé un agrément particulier, valable trois ans.

Pour obtenir cet agrément, un dossier doit être constitué et déposé auprès de l’Agence des systèmes d’information partagés de santé (ASIP Santé), chargée par le ministère de gérer cette procédure. La CNIL, également saisie, doit émettre un avis sur le dossier et un Comité d’agrément des hébergeurs (CAH) créé spécifiquement pour cette procédure émet un avis destiné à éclairer la décision du ministre.

Les conditions d’agrément des hébergeurs sont fixées par le décret n° 2006-6 du 4 janvier 2006 qui définit les points constitutifs du contrat d’hébergement et les obligations de l’hébergeur et de son client. Un référentiel de constitution des dossiers a été défini par l’ASIP Santé et traduit ainsi en pratique les exigences du décret. Le contrôle effectué par la CNIL et le CAH porte plus particulièrement sur la situation économique et financière de l’entreprise, sa politique de sécurité et les conditions du respect des droits de la personne dont les données sont concernées.

La consécration au niveau législatif de cette procédure et de son caractère obligatoire a été essentielle pour fonder sa légitimité et reconnaître le rôle essentiel tenu par les autorités et instances susvisées. Elles ont pu ainsi conduire les hébergeurs vers un état de l’art dépendant des progrès technologiques dont les hébergeurs sont eux-mêmes souvent les instigateurs (1). Mais cette procédure reste indubitablement complexe et longue (2).

Les six années de fonctionnement de cette procédure ont été riches, ont permis indiscutablement d’élever le niveau de sécurité des bases de données de santé et de mieux appréhender le métier d’hébergeur, qui reste une activité particulière imposant des capacités techniques importantes (3).

Le projet de loi de modernisation de la santé actuellement en discussion au Parlement comporte deux séries de dispositions destinées d’une part à préciser certains points de la loi (article 25 du projet de loi) et, d’autre part, à faire évoluer la procédure de façon substantielle (article 51 du projet de loi).

Des clarifications devenues nécessaires

La loi actuelle exige le consentement de la personne préalablement à l’hébergement de ses données personnelles. Le projet de loi en discussion supprime cette exigence. C’est là le fruit d’une réflexion menée par le CAH et l’ASIP Santé qui ont pu constater au cours de leurs travaux que cette obligation était difficilement compréhensible par le patient qui est lui-même rarement en contact avec l’hébergeur.

Elle peut en outre être impossible à respecter dans certains cas, comme l’hébergement de données provenant de messageries sécurisées – demander le consentement avant chaque envoi de message est illusoire – et la loi reconnaît déjà plusieurs exceptions au recueil de ce consentement (4).

Le projet de loi précise également le champ d’application de la procédure actuelle.

Si l’article L. 1111-8 distingue les notions d’établissements de santé et de professionnels de santé, il ne précise pas que la notion de «professionnel de santé» vise uniquement les professionnels de santé exerçant à titre libéral en cabinet individuel. Pour le CAH et la CNIL, il n’exclut donc ni les autres modes d’activité (activité salariée par exemple) ni les lieux d’exercice autre que les établissements de santé. C’est ce que le législateur s’apprête à reconnaître dans une nouvelle rédaction qui dispose que : «Toute personne qui héberge des données de santé à caractère personnel, recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même doit être agréée à cet effet. Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.»

Vers une réforme de la procédure elle-même

L’article 51 du projet de loi de modernisation de notre système de santé issu du Titre V - Mesures de simplification, habilite le gouvernement, conformément à l’article 38 de la Constitution, à prendre par ordonnance dans un délai de douze mois à compter de la promulgation de la loi, des mesures particulières. Parmi celles-ci, figure le remplacement de l’agrément tel que prévu à l’article L. 1111-8 du Code de la santé publique par une évaluation de conformité technique réalisée par un organisme certificateur accrédité par l’instance nationale d’accréditation (COFRAC).

Ce nouveau processus de certification de conformité portera notamment sur le contrôle des procédures, l’organisation et les moyens matériels et humains et les modalités de qualification des applications hébergées.

D’ores et déjà, et au regard des travaux déjà entamés par l’ASIP Santé en charge de la définition de ce nouveau référentiel, le principe selon lequel l’hébergement est réalisé par un ensemble d’acteurs aux responsabilités définies selon les métiers exercés (infrastructure, infogérance, supervision) est posé, le responsable de traitement (le client de l’hébergeur) restant le responsable du traitement au sens de l’article 3 de la loi Informatique et Libertés (5).

Plusieurs types de certification se dégagent donc correspondant aux différents métiers précités : l’hébergeur d’infrastructure (6), l’infogérance d’hébergement et la certification hébergeur de données de santé qui regroupe les deux précédentes.

Chacun des acteurs de la prestation d’hébergement : responsable de traitement, prestataire, sous-traitants du prestataire devra intégrer le périmètre de la certification, le responsable de traitement devant s’assurer in fine que le service global d’hébergement est bien assuré par cette chaîne d’acteurs.

Point notable de la nouvelle procédure : toutes les exigences relevant du responsable du traitement des données sont retirées du champ du référentiel. Si cette précision semble logique en ce qui concerne les exigences d’information des personnes concernées et de respect de leurs droits, elle est moins claire s’agissant des aspects de sécurité et de confidentialité qui ressortent également du respect de la loi Informatique et Libertés et au sein desquelles une distinction devra être réalisée entre ce qui relève de l’hébergeur et de ses prestataires et du responsable de traitement.

Au regard des délais d’adoption du projet de loi et du délai d’un an laissé au gouvernement pour adopter cette nouvelle procédure, la nouvelle certification ne devrait pas être opérationnelle avant fin 2016.

(1).  Nouvelles offres intégrant cloud computing, développement de solutions de mobilité, etc.

(2). Délai moyen de huit mois pour obtenir l’agrément, nécessité d’actualiser son agrément tous les ans, et de le renouveler tous les trois ans après réalisation d’un audit.

(3). Foire aux questions Hébergement ASIP Santé.

(4). Article L. 1111-8 alinéa 5 du Code de la santé publique : le consentement n’est pas exigé lorsque l’accès aux données détenues est limité au professionnel de santé ou à l’établissement de santé qui les a déposées, ainsi qu’à la personne concernée.

(5). La notion de coresponsabilité de traitement présente dans le projet de Règlement européen sur la protection des données personnelles actuellement en cours d’adoption viendra sans doute atténuer la seule responsabilité du client.

(6). Correspondant à l’hébergement physique, la mise en œuvre des moyens matériels informatiques, la maintenance du matériel informatique et les sauvegardes externalisées.