L’hébergement des données personnelles de santé

Les professionnels de santé collectent et stockent des données personnelles de santé.

Une donnée de santé c’est :

=> https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante#:~:text=Quelle%20d%C3%A9finition%20%3F,de%20sant%C3%A9%20de%20cette%20personne. 

Bien entendu se sont des données sensibles qui bénéficient d’une réglementation (RGPD, loi informatique et libertés, dispositions sur l’hébergement des données de santé...) :

Tous les liens sont à la fin de l’article !

=> https://gnius.esante.gouv.fr/fr/reglementation/quest-ce-quune-donnee-de-sante 

Les professionnels de santé doivent donc s’assurer de stocker les données de leurs patients de manière sécurisée (avec leur accord, pouvoir fournir une transparence du traitement, de la durée, informer du droit de rectification, du droit à l’effacement, à la portabilité, protection de l’accès, contre la perte et le vol), sous format papier, sur leur propre matériel informatique, mais également lorsqu’ils utilisent un moyen de sauvegarde (papier ou informatique) et de sortes à assurer la confidentialité (empêcher des tiers non autorisés d’y accéder) de ces données personnelles et parfois sensibles :

=> https://www.cnil.fr/fr/definition/donnee-personnelle 

=> https://www.cnil.fr/fr/definition/donnee-sensible#:~:text=Ce%20sont%20des%20informations%20qui,physique%20de%20mani%C3%A8re%20unique%2C%20des 

Les dispositions sur l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP, précisent que l'hébergement, quel qu'en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. 

Les hébergeurs qui proposent de stocker des données de santé à caractère personnel doivent fournir un certificat “HDS” :

=> https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante

Le site de l’agence du numérique en santé, fournit une liste (régulièrement mise à jour) de tous les hébergeurs certifiés.

“Petite” question, et non des moindres en réalité:

Les hébergeurs étrangers, répondent-ils à la même législation (Française en l’occurrence) en matière de sécurisation et surtout de confidentialité des données personnelles de santé ?

Si l’on en croit ce site : non !

=> https://www.exodata.fr/blog/hds-hebergeur-de-donnees-de-sante 

“ [...] certains pays ont des lois vraiment différentes de celles de la France et de l'Union européenne. Par exemple, aux États-Unis, sous certaines conditions, les institutions d'enquête ou de renseignement ont le droit de forcer toute société américaine à leur communiquer des données, indépendamment de leur lieu physique d'hébergement et de la nationalité des personnes concernées par ces informations.”

La certification HDS est donc obligatoire, mais mieux vaut s’assurer (charge au professionnels de le faire ou aux applications, sites de le renseigner) que cet hébergement soit fait en France, par une société Française, pour s’assurer de la confidentialité des données collectées, seulement au tiers autorisés :

https://www.cnil.fr/fr/cnil-direct/question/quest-ce-quun-tiers-autorise 

Cet article quelque peu long pour introduire l’un des objets de l’inscription de Psylean sur ce réseau professionnel : informer les professionnels de santé sur la sécurité et la confidentialité dans le domaine du numérique.

N'hésitez pas échanger avec nous sur ce sujet !