En réponse au changement structurel de nos pratiques quotidiennes et à nos besoins en matière d’environnement dématérialisé, la société de l’information propose une offre d’outils de plus en plus diversifiée. Le secteur médico-social n’échappe pas à ces transformations, bien au contraire. Health Data Hub, Dossier Médical Partagé ou objets connectés en tout genre, ce sont tous les acteurs de notre société, publics comme privés, qui sont concernées.

Un encadrement spécifique

La donnée de santé se trouve extrêmement convoitée et se trouve être la cible de menaces toujours plus accrue. Il suffit d’observer l’actualité des établissements de santé pour se rendre compte du danger particulièrement élevé qui plane au-dessus de ce type de donnée. Tant par son caractère particulièrement intime que par son attrait stratégique, la donnée de santé fait logiquement l’objet d’une réglementation spécifique.

Considérée comme étant une donnée sensible par le Règlement Général sur la Protection des données (RGPD) aux côtés des données révélant l’origine raciale ou ethnique, l’appartenance syndicale, ou encore les convictions religieuses, les données de santé font l’objet d’une interdiction de principe concernant leur traitement. Il n’est donc par essence, pas permis de réaliser un traitement de données de santé.

Il existe cependant une série d’exception limitativement énumérée par l’article 9 dudit Règlement, dont notamment si :

  • La personne concernée a donné son consentement exprès et explicite ou les a, elle-même rendues publiques
  • Le traitement est nécessaire à des fins de médecine du travail ou préventive à la condition qu’il soit réalisé par un professionnel de santé soumis au secret professionnel
  • Le traitement est nécessaire à la sauvegarde de la vie humaine
  • Le traitement est justifié par un intérêt public et autorisé par l’autorité de contrôle.

Il est a noté que l’État soumis à cette réglementation peut choisir de rendre plus stricte cet encadrement en posant des conditions supplémentaires aux exceptions citées précédemment.

La certification HDS

A ce cadre légal, il est parfois nécessaire d’ajouter certaines mesures particulières afin d’assurer une protection renforcée à l’égard de cette données sensibles. L’Hébergement des Données de Santé (HDS) se trouve ainsi obligatoire dans certaines situations. Passant d’un mécanisme d’agrément à un régime de certification par un décret en date du 26 février 2018, les acteurs visés par ce texte doivent obtenir auprès d’un organisme accrédité par le COFRAC cette certification valable pendant trois ans.

Est ainsi concerné par ces mesures supplémentaires, toute personne physique ou morale :

  • Qui héberge des données de santé
  • Dans le cadre d’activité de prévention, de diagnostic, de soin ou de suivi médico-social
  • Pour le compte d’une personne physique ou morale à l’origine de la production ou du recueil de ces données
  • Ou pour le compte du patient lui-même.

Ainsi de manière générale, l’ensemble des responsables de traitement réalisant des traitements de données personnelles sensibles doivent mettre en œuvre des mesures techniques et organisationnelles adaptées afin d’assurer leur sécurité et la confidentialité. Outre les compétences de sanction de la CNIL, des dispositions du Code pénal prévoient également une répression en la matière (art. 226-17 et suivants.).