Champ d’application de l’hébergement de données de santé

En conformité avec la loi de modernisation de notre système de santé, l’ASIP Santé a mis à jour son FAQ sur l’ hébergement de données de santé (1).

Champ d’application élargi par la loi – Dans sa rédaction ancienne, l’article L. 1111-8 al. 1 du Code de la santé publique (CSP) disposait « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet ».

L’article 96-I-5° a) de la loi de santé du 26 janvier 2016 a modifié la rédaction de l’article L. 1111-8 du Code de la santé publique (2). Désormais, « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».

Deux extensions ont donc été opérées :

• Le périmètre des déposants, anciennement « les professionnels de santé ou les établissements de santé ou la personne concernée », s’est élargi aux « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ou au « patient lui-même ».
• Les données concernées par l’ hébergement agréé, anciennement les « données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins », ont été étendues aux « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social ».

Précisions sur la notion de déposant par l’ASIP Santé – A l’occasion de cette réforme législative, l’ASIP Santé (3) rappelle l’interprétation extensive de l’article L. 1111-8 du Code de la santé publique qu’en font la Cnil et la Commission d’Agrément des Hébergeurs :

« lorsque le responsable d’un traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins conserve par ses propres moyens lesdites données, il n’est pas soumis à l’agrément. (…) En revanche, lorsque ce même responsable de traitement décide de confier la conservation des données de santé à un prestataire tiers, ce tiers doit être titulaire de l’agrément prévu à cet effet ».

Ainsi, l’obligation de recourir à un hébergeur agréé ne se limite pas aux « professionnels de santé ou (les) établissements de santé ou (la) personne concernée » ou aux « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ou au « patient lui-même », mais s’applique bien à tout responsable de traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico social, qui souhaite les externaliser.

Cette qualification de responsable de traitement rejoint la nouvelle rédaction de l’article L. 1111-8 du Code de la santé publique. En effet, une « personne physique ou morale à l’origine de la production ou du recueil desdites données » peut recouvrir les personnes concernées, les professionnels de santé à l’origine de la production des données mais aussi les responsables de traitements collectant lesdites données.

Ainsi les assurances et les mutuelles souhaitant externaliser l’ hébergement agréé de données de santé à caractère personnel doivent les confier à un hébergeur agréé.

Précisions sur les hébergeurs étrangers par l’ASIP Santé – L’ASIP Santé apporte également des précisions sur les hébergeurs étrangers :

« L’agrément peut être octroyé tant à une société française et/ou établie en France qu’à une société étrangère et/ou établie à l’étranger. Les dispositions des articles L.1111-8 et R 1111-9 et suivants du code de la santé publique s’appliquent aux données de santé à caractère personnel produites ou recueillies en France. Aucune disposition du code de la santé publique ne conditionne l’application du régime d’agrément à la situation géographique de l’hébergeur. Toute société étrangère et/ou établie à l’étranger peut donc déposer un dossier de demande d’agrément » (4).

« Si l’ hébergement des données de santé à caractère personnel, recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins, est confié à un prestataire tiers, ce tiers doit être agréé pour l’ hébergement de données de santé à caractère personnel, qu’il soit situé en France ou à l’étranger » (5).

Ainsi l’hébergeur installé en dehors du territoire français proposant ses services à des responsables de traitements de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins situés sur le territoire français doit également obtenir un agrément (5).

L’ASIP Santé étend l’obligation d’agrément à tout prestataire étranger, le critère étant le lieu de production ou de collecte des données (4).

La responsabilité de l’agrément devant peser sur l’hébergeur, selon la nouvelle terminologie de l’article L. 1111-8 du Code de la santé publique, le prestataire étranger devra être particulièrement vigilant sur l’origine des données qu’il héberge et se positionner à cet égard.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
(2) Art. 96 loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
(3) FAQ ASIP Santé question n°3.
(4) FAQ ASIP Santé question n°13 bis.
(5) FAQ ASIP Santé question n°13 ter.