Hébergement de données de santé : l’agrément laisse place à la certification

Publié le par - 2792 vues

Annoncée depuis la loi du 26 janvier 2016 sur la modernisation du système de santé, la réforme de l’hébergement des données de santé se concrétise avec la publication, le 26 février 2018, du décret n° 2018-137 relatif à l’hébergement de données de santé à caractère personnel. La France assouplit donc (un peu) les règles en la matière. Il faut dire qu’elle est bien seule à règlementer aussi strictement cette matière.

L’hébergement des données de santé fait l’objet d’un encadrement spécifique, prévu par l’article L 1111-8 du Code de la santé publique. Jusqu’à ce jour, l’activité d’hébergement de données de santé est soumise à l’obtention d’un agrément délivré spécifiquement à cet effet par le Ministre de la Santé.

Le législateur, en janvier 2016, a considéré que ce régime devait être « simplifié ». Il a alors donné au gouvernement une habilitation pour « Remplacer l’agrément prévu au même article L. 1111-8 par une évaluation de conformité technique réalisée par un organisme certificateur accrédité. »

C’est par une ordonnance n° 2017-27 du 12 janvier 2017 que le gouvernement a prévu les modalités de simplification de ce cadre : on passe donc de l’agrément de l’hébergeur à sa certification par un organisme accrédité. Une dernière pierre manquait à l’édifice pour que la réforme puisse entrer en vigueur : un décret en Conseil d’Etat venant préciser notamment le périmètre d’application de la certification, les modalités de mise en œuvre de la procédure de certification, ainsi que la période de transition entre la procédure d’agrément et celle de la certification.

Ce texte vient d’être adopté avec le décret  n° 2018-137 du 26 février dernier.

Le champ d’application de la certification

Sauf le cas de l’hébergeur de données de santé effectué dans le cadre d’un service d’archivage électronique, qui reste soumis à l’agrément du Ministre, l’hébergeur de données de santé sur support numérique devra, à partir du 1er avril prochain, non plus être agréé mais certifié par un organisme accrédité.

L’ordonnance du 12 janvier 2017 soumet à ce dispositif de certification « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

Le décret du 26 février exclut expressément de ce champ d’application le fait de se voir confier des données, pour une courte période, par les personnes physiques ou morales, à l’origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données.

Le décret précise également les activités devant être couvertes par la certification. Il s’agit des activités de :

  • Mise à disposition et maintien en condition opérationnelle : (i) des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ; (ii) de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ; (iii) de l’infrastructure virtuelle du système d’information utilisé pour le traitement de données de santé ; (iv) de la plateforme d’hébergement d’applications du système d’information ;
  • Administration et exploitation du système d’information contenant les données de santé ;
  • Sauvegarde des données de santé.

Alors que l’enjeu du décret était de préciser le champ d’application de l’obligation de certification, il semble que les doutes soulevés avant son adoption restent entier. A titre d’exemples, les assureurs externalisant l’hébergement de données recueillies dans le cadre de procédures de remboursement, ou encore les opérateurs proposant à des particuliers des services de stockage sur des serveurs distants, sont-ils soumis à l’obligation de certification ? La réponse n’est toujours pas limpide.

La procédure de certification

L’ordonnance du 12 janvier 2017 prévoit que désormais les hébergeurs visés doivent être titulaires d’un certificat de conformité.

Le décret du 26 février précise que ce certificat sera délivré par un organisme de certification accrédité par le Comité français d’accréditation ou par toute autre instance équivalente d’un autre Etat membre de l’Union. Ledit organisme est accrédité en vertu d’un référentiel d’accréditation s’appuyant sur les standards internationaux de la norme ISO 17021 « Certification de systèmes de management » et de la norme ISO 27006 « Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information ».

Le certificat de conformité est délivré à l’hébergeur, par l’organisme accrédité, sur la base d’un référentiel de certification s’appuyant sur les normes ISO 27001 « système de gestion de la sécurité des systèmes d’information », ISO 20000 « système de gestion de la qualité des services », ISO 27018 « protection des données à caractère personnel » et sur des exigences spécifiques à l’hébergement de données de santé. L’organisme certificateur mène un audit en deux phases : un audit documentaire et un audit du site. In fine, la certification, lorsqu’elle est délivrée, vise à attester du respect, par l’hébergeur, d’exigences assurant la sécurité et la confidentialité des données de santé.

La transition

Le décret du 26 février annonce que le dispositif de certification remplace celui de l’agrément à partir du 1er avril prochain.

Toutefois, une période de transition est définie pour les agréments délivrés avant le 31 mars 2018 ou à la suite de demandes déposées avant cette date, qui restent régis, jusqu’à leur terme, par les dispositions antérieures au décret. Par ailleurs, les agréments arrivant à échéance avant le 31 mars 2019 voient leur validité prolongée pour une durée de six mois. L’idée est d’accorder à l’hébergeur le temps indispensable à l’accomplissement des démarches de certification nécessaires à la poursuite de son activité d’hébergement de données de santé.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK