Le recours à un hébergeur de données de santé agréé : comment et pourquoi ?

Le recueil et le stockage électroniques d’informations sur l’état de santé des patients induisent de nouveaux enjeux en termes de sécurité des données. Pour y répondre, une solution comme GMED Anesthésie, par exemple, doit obligatoirement recourir à un hébergeur de données de santé agréé. Découvrez pourquoi et comment cela nous concerne tous, avec l’analyse de maître Caroline Zorn, juriste spécialisée.

Points-clés

Depuis quelques années, nombreux sont les acteurs de la e-santé qui s’interrogent sur l’absolue nécessité de faire appel à un hébergeur agréé de données de santé. Malgré de récentes évolutions (Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, dite Loi « Touraine »), il n’en reste pas moins que la prestation « HDS » est non seulement incontournable en termes de sécurité dans le secteur de la santé, mais, aussi, les Tribunaux ont commencé à sanctionner le fait de ne pas y recourir. La loi impose cette prestation et il est important de connaître les contours de ce cadre juridique précis.

L’hébergement des données de santé est encadré par le Code de la santé publique (article L. 1111-8 du Code de la santé publique), où sont repris des principes issus de la loi Informatique et Libertés et du Code de Déontologie médicale. Les données de santé étant des données sensibles, elles ne peuvent faire l’objet d’un traitement qu’en contrepartie du respect de garanties appropriées en terme de sécurité et de droits des personnes.

Les hébergeurs de données de santé sont contraints au respect de normes extrêmement strictes en matière de sécurisation des données : c’est l’objet du décret dit « confidentialité » et des référentiels généraux de sécurité et d’interopérabilité. L’activité d’hébergeur de données de santé est aujourd’hui soumise à un agrément délivré par le Ministère de la santé après étude du dossier par l’Asip santé et la Cnil. Cet agrément va évoluer vers une certification en 2017-2018 de manière à « ouvrir » le marché, tout en garantissant la sécurité avec de très lourdes sanctions en cas de non-respect de la procédure de certification.

1. Le régime de l’hébergement agréé des données de santé

1.1. Pourquoi l’hébergement agréé a t-il été créé ?

L’hébergement des données de santé sur support informatique est une activité qui se caractérise ainsi par deux éléments.

En premier lieu, l’hébergement est un traitement au sens de la loi Informatique et Libertés de 1978 modifiée. L’hébergement ne peut être mis en œuvre qu’à l’appui d’autres traitements qui doivent, eux aussi, faire l’objet de formalités préalables auprès de la Commission Nationale Informatique et Libertés.

En second lieu, l’hébergement des données de santé fonde son régime juridique sur l’intérêt de la personne concernée par les données en tant qu’acteur du système de santé. L’hébergement de données de santé ne peut donc pas se résumer à un traitement de données. Il est une activité intimement lié à la prise en charge sanitaire, que le législateur a fondé sur la loi du 4 mars 2002 dite “Droit des malades” et qui est justifié par sa finalité de bonne administration et de gestion des soins. Cette activité d’hébergement sécurisé est par ailleurs considérée comme relevant de l’intérêt public au regard de la loi du 4 mars 2002, ce qu’a confirmé la Cour de cassation dans un arrêt du 26 septembre 2012 (Cass. 1re civ., 26 sept. 2012, n° 11-17.962, Sté Lor madinina c / La croix rouge française : inédit).

Ainsi, la Cour Européenne des droits de l’Homme dans un arrêt du 25 février 1997 a rappelé que (CEDH, 25 févr. 1997, Z. c/ Finlande : Recueil des arrêts et décisions 1997-I, p. 347, § 95. – V. S. Van Drooghenbroeck, Secret médical et répression pénale, obs. ss CEDH, 25 févr. 1997, Z. c/ Finlande, : RD pén. 1998, p. 311-345) :

La protection des données à caractère personnel, et spécialement des données médicales, revêt une importance fondamentale pour l’exercice du droit au respect de la vie privée et familiale garanti par l’article 8 de la Convention, la législation interne doit ménager des garanties appropriées pour empêcher toute communication ou divulgation de données à caractère personnel relatives à la santé qui ne serait pas conforme aux garanties prévues à l’article 8 de la Convention.

1.2. Dans quel cas l’HDS est-il imposé ?

Les termes de la loi du 26 janvier 2016 ne sont pas particulièrement clairs et méritent d’être explicités.

Article L. 1111-8 CSP : Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet.

Il convient d’abord de revenir sur la notions de données de santé.

Notons que le cadre de protection des traitements de données à caractère personnel a été renforcé par le Règlement Général sur la Protection des données du 27 avril 2016. Ce nouveau cadre juridique du Règlement, applicable dans toute l’Union au plus tard en mai 2018 à la suite de la Directive 95/46/CE du 24 octobre 1995, est pris ici en référence car il explicite ce qui est déjà en vigueur :

« Les données concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée.
Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice de cette personne physique ; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques ; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro » (RGPD, considérant 35).

 

Que signifie « recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social » ?

Les « activités de soins » sont définies par les articles L. 6122-1 et R. 6122-25 du Code de la santé publique. Il s’agit (y compris sous la forme d’alternatives à l’hospitalisation ou d’hospitalisation à domicile) de tous les soins nécessitant une autorisation et notamment la Chirurgie, l’Oncologie, la Psychiatrie, les Soins de suite et de réadaptation, ou encore l’examen des caractéristiques génétiques.

Mais, lorsque l’on prend la définition de la prévention par l’Organisation Mondiale de la santé, « l’ensemble des mesures visant à éviter ou à réduire le nombre et la gravité des maladies ou des accidents », ou celle du diagnostic en tant que « l’art d’identifier une maladie d’après ses signes, ses symptômes », on se rend compte du spectre très large des données visées. Il en va de même des données recueillies dans le cadre d’activités de suivi social ou médico-social.

D’ailleurs, si l’on raisonne a contrario, on conçoit mal dans le secteur de la santé l’utilité d’une donnée qui ne soit ni recueillie à l’occasion d’activités de prévention, de diagnostic, de soins, ni à l’occasion d’activités de suivi social et médico-social…

Il en aurait été différemment si le texte avait visé les données recueillies « par les professionnels en charge des activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ». Or, l’expression « à l’occasion » est suffisamment large pour concerner les données recueillies en établissement hospitalier, en hospitalisation à domicile, en maison de santé, et même les données collectées par le biais d’objets connectés ou d’applications de santé !

C’est bien l’esprit de la loi que de protéger les données de santé en raison de leur « sensibilité » ; ainsi, il n’y a pas lieu de faire de distinction où la loi n’en fait pas. Dès lors qu’une donnée de santé est traitée au sens de la loi Informatique et Libertés, elle doit être conservée chez un hébergeur de données de santé agréé.

2. Les risques juridiques encourus

2.1. Le risque pénal

Héberger des données de santé sans agrément (ou hors des conditions de l’agrément obtenu) est un délit lourdement réprimé :

Art. L. 1115-1 Code de la santé publique : La prestation d’hébergement de données de santé à caractère personnel recueillies auprès de professionnels ou d’établissements de santé ou directement auprès des personnes qu’elles concernent sans être titulaire de l’agrément prévu par l’article L. 1111-8 ou de traitement de ces données sans respecter les conditions de l’agrément obtenu est puni de trois ans d’emprisonnement et de 45 000 euros d’amende.

Art. L. 1115-2 Code de la santé publique : Les personnes morales déclarées responsables pénalement, dans les conditions prévues par l’article 121-2 du code pénal, des infractions définies à l’article L. 1115-1 encourent, outre l’amende suivant les modalités prévues par l’article 131-38 du code pénal, les peines prévues par les 2°, 3°, 4°, 5° et 9° de l’article 131-39 du même code. L’interdiction prononcée à ce titre porte sur l’activité dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

2.2. Le risque contractuel

Un contrat entre un hébergeur qui proposerait une prestation (sans agrément ou hors de l’agrément obtenu) et son client (Groupement hospitalier, laboratoire, éditeur de logiciel, etc.), sera considéré comme nul devant une juridiction. Cette infraction constitue un « trouble manifestement illicite » qui permettra au client de saisir le juge par voie de référé pour obtenir une rupture extrêmement rapide du contrat.

En effet la jurisprudence de la Cour de Cassation du 26 septembre 2012
« Lor-Madinina / Croix Rouge française » indique que les prescriptions de l’article L. 1111-8 CSP sont d’ordre public : tout contrat conclu hors de ces règles peut être annulé.

Enfin, le risque commercial est fort après une condamnation. L’illustration peut se faire par par l’évocation de la décision du Tribunal de Grande Instance de Paris du 8 août 2014, confirmé par celle de la Cour d’Appel de Paris du 25 mars 2016.

« Il n’est pas contesté qu’au jour des constats effectués (…) et au jour des débats, la société X était liée par contrat à la société Y pour l’hébergement du site en cause, laquelle ne figure pas dans la liste des hébergeurs agréés. Or, il est constant qu’il est demandé aux internautes souhaitant commander des médicaments de remplir un questionnaire où figurent plusieurs données personnelles (âge, poids, sexe, traitements en cours, situation de grossesse ou d’allaitement, antécédents…) que ces données sont stockées sur le site de la société X et sont hébergés dans les conditions susvisées.

Ce manquement constitue, de même, un trouble manifestement illicite. »

Conséquence pour la société X :

« Enjoignons à la société X de cesser d’offrir ou de permettre d’offrir à la vente à distance des médicaments soumis à prescription médicale obligatoire, sur le site qu’elle exploite (…) et lui enjoignons de retirer de ce site les pages proposant le commerce électronique de tels médicaments sans délai ;

Disons qu’à défaut de ce faire, elle encourra une astreinte de 1000 € par jour à compter de la signification de la présente ordonnance pendant une durée de trois mois, passé lequel délai il pourra être à nouveau statué ; »

La Cour d’appel de Paris a confirmé en tous points cette décision le 25 mars 2016 en ajoutant que :

La société X viole de manière fragrante les dispositions relatives à la vente de médicaments, au commerce électronique de médicaments et celles réglementant le stockage des données de santé, dispositions destinées à protéger la santé du public ce qui constitue un trouble manifestement illicite  auquel le juge des référés doit mettre fin.

Le choix d’un hébergeur agréé données de santé est par conséquent un choix structurant dans un projet. Au cœur de « l’architecture du système », il représente souvent une dépense conséquente qui doit être intégré dans le modèle économique dès la conception.

 

Maître Caroline ZORN
Avocat au Barreau de Strasbourg
Docteur en droit
www.zorn-avocat.fr

 

Maintenant que vous savez tout sur l’hébergement de données de santé agréé, n’hésitez pas à découvrir GMED Anesthésie, une solution qui y recourt pour vous.