1- Que sont les données de santé ?
Les données de santé sont des données à caractère personnel considérées comme particulièrement sensibles par le RGPD (article 9). Elles englobent les informations de personnes physiques ou morales collectées ou utilisées à des fins médicales (activités de prévention, de diagnostic, de soins ou de suivi médico-social).
Les applications mobiles nécessitant un hébergement de données à caractère personnel doivent respecter ces dispositions lorsque les données ont été recueillies à des fins médicales (hors applications dites de « bien-être »).
A noter : l’activité d’hébergement n’est pas caractérisée dans le cas où les personnes morales ou physiques confieraient des données pour une courte période, à un prestataire pour que celui-ci effectue un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données.
2- L’hébergement de données de santé : analyse de quelques cas
En 2021, la CNIL a défini un objectif prioritaire de protection des données et a ainsi contrôlé des sociétés organisant un hébergement de données de santé afin de s’assurer qu’elles soient légalement recueillies et suffisamment protégées. Cette priorité est d’autant plus compréhensible lorsque les hôpitaux et laboratoires se voient de plus en plus victimes de cyberattaques.
Le sujet de la souveraineté des données a particulièrement été mis en lumière cette année notamment à travers trois affaires :
Doctolib a fait l’objet d’une controverse quand l’entreprise a été choisie par le ministère des Solidarités et de la Santé pour être l’intermédiaire principal dans le cadre de la vaccination contre la Covid-19 alors que la plateforme était hébergée chez Amazon. Or, contrairement au RGPD, le droit américain n’assure pas un niveau de protection des données personnelles aussi élevé.
Le Conseil d’Etat a considéré que Doctolib avait pris des mesures suffisantes pour protéger les données de santé et a notamment relevé que :
les données collectées par Doctolib ne comprenaient pas de données de santé mais portaient uniquement sur l’identification des personnes et la prise de rendez-vous ;
le contrat avec Amazon prévoyait la contestation de toute demande d’accès par une autorité étrangère ne respectant pas la règlementation européenne ;
Doctolib a également mis en place un dispositif de sécurisation des données hébergées par Amazon reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.
La Plateforme des données de santé (PDS) -- « Health Data Hub », créée en 2019 pour faciliter le partage et la recherche des données de santé issues de sources très variées, était destinée à être hébergée par Microsoft.
La Cour de justice de l’Union européenne (CJUE) a jugé en 2020 que le système de « Privacy Shield » américain ne permettait pas de garantir la protection des données à caractère personnel exigée par le RGPD.
Le Conseil d’Etat a reconnu le risque que des données de santé puissent être divulguées aux Etats-Unis du fait de la soumission de Microsoft au droit américain et a demandé une mise en place de garanties supplémentaires.
Alors que le gouvernement s’était engagé à recourir à une autre solution technique en 2022, il a annulé en janvier la demande d’autorisation du Health Data Hub auprès de la CNIL, pour utiliser les données d’une quarantaine de bases (notamment celles du système national des données de santé), mettant le projet à l’arrêt.
Selon plusieurs médias, dont Le Monde et SiecleDigital, la demande a été annulée pour empêcher toute polémique sur la souveraineté des données à l’approche des élections.
Le 27 janvier 2022, la CNIL a clôturé la mise en demeure de la société Francetest qui traitait des données pour le compte de pharmacies à l’occasion de dépistage à la Covid-19.
A la suite d’un signalement anonyme le 27 aout 2021, la CNIL a procédé à des contrôles en ligne et dans les locaux de la société. Elle a constaté qu’une base de données contenant des données d’identification, de contact le numéro de sécurité social et les résultats du test était exposée.
De plus, la CNIL a constaté que les données de santé étaient hébergées chez un prestataire ne disposant pas d’un agrément HDS ainsi que plusieurs manquements à la sécurité (processus d’authentification pas suffisamment robustes, faiblesse des procédés cryptologiques, journalisation des activités des serveurs lacunaire).
En octobre 2021, la CNIL a mis en demeure Francetest de se mettre en conformité.
3- Les certifications HDS : comment ça marche ?
En raison de leur sensibilité, les législateurs européens et nationaux ont tenu à protéger particulièrement les données de santé et à instaurer une certification pour leurs hébergeurs.
Cette obligation exclut les organismes d’assurance maladie obligatoire et complémentaire, les organismes de recherche dans le domaine de la santé, les associations d’activités sportives pour les personnes handicapées.
Le décret du 26 février 2018 indique la procédure de certification. Deux types de certifications HDS sont possibles :
le certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée ;
le certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle.
La certification est délivrée par un organisme accrédité pour une durée de trois ans (avec audit de surveillance chaque année) après un audit documentaire et un audit sur site. L’organisme accrédité vérifiera que l’organisme demandeur respecte les mesures prescrites par le référentiel de certification.
Le socle commun aux deux certifications rassemble les éléments suivants :
norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » dans son intégralité instaurant un système général de management de la sécurité de l’information en identifiant les risques liés à la sécurité pour élaborer une politique de sécurité.
norme ISO 20000 « système de gestion de la qualité des services » relative à la planification, conception et implémentation de nouveaux services ou de services modifiés, à la continuité des services et à la gestion de la disponibilité.
norme ISO 27018 « Protection des données à caractère personnel » qui rejoint le RGPD sur la protection des droits des personnes, les responsabilités de l’hébergeur, la transparence, la sécurité des données.
exigences spécifiques à l’hébergement de données de santé telles que des exigences supplémentaires de sécurité, de confidentialité et de traçabilité.
La certification passe donc par des mesures techniques mais également des mesures organisationnelles pour assurer un traitement sécurisé et transparent des données de santé.
En octobre 2021, la CNIL a publié un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts dans le domaine de la santé. Le référentiel s’adresse aux organismes souhaitant constituer un entrepôt de données de santé dans le cadre de l’exercice d’une mission d’intérêt public.
Ainsi, les hébergeurs de santé peuvent vérifier que le traitement est bien conforme aux exigences du référentiel qui définit les modalités de déclaration à la CNIL, les finalités et bases légales des traitements, les données pouvant être utilisées, les durées de conservation, les modalités d’accès à ces données, les informations obligatoires aux personnes concernées, les droits des personnes, la sécurité des données, l’organisation de la sous-traitance, des transferts et des analyses d’impact nécessaires.
Actinuance vous accompagne dans la protection de vos données de santé :
Comments