Règlement européen et hébergement de données de santé

Règlement européen et hébergement de données de santéQuel impact le règlement européen sur la protection des données a-t-il sur l’hébergement agréé des données de santé ?

Nouvelles obligations pour les sous-traitants

Le règlement européen sur la protection des données, adopté le 27 avril 2016, sera applicable et opposable à tout responsable de traitement et sous-traitant à compter du 25 mai 2018.

La nouvelle procédure de certification d’hébergeur de données de santé sera probablement mise en place avant l’application du règlement (1), la loi de modernisation de notre système de santé. Elle devra nécessairement prendre en compte les nouvelles obligations découlant dudit règlement.

En effet, l’hébergeur de données de santé, agréé en vertu des articles L 1111-8 et R 1111-9 et suivants du Code de la santé publique (3), est un sous-traitant au sens du règlement européen (1).

L’hébergeur agréé sera dès lors soumis directement aux obligations suivantes :

  • le recours à la sous-traitance par le sous-traitant est subordonné à l’autorisation écrite spécifique préalable du responsable de traitement (art. 28) ;
  • la tenue d’un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement (art. 30) ;
  • la coopération avec l’autorité de contrôle (art. 31) ;
  • la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (art. 32) ;
  • la notification au responsable de traitement de toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance (art. 33) ;
  • la désignation d’un délégué à la protection des personnes sous certaines conditions (art. 37) (4) ;
  • le respect des règles relatives aux transferts de données hors Union européenne (art. 44).

Par ailleurs, le contrat d’hébergement devra prévoir les engagements suivants du sous-traitant (art. 28) :

  • réalisation de traitement uniquement sur instructions du responsable de traitement ;
  • engagement du personnel tenu, par convention ou par obligation légale, à la confidentialité ;
  • réalisation des mesures nécessaires de sécurité ;
  • demande d’autorisation préalable du responsable de traitement pour toute sous-traitance ;
  • création des conditions techniques et organisationnelles nécessaires pour permettre au responsable de s’acquitter de son obligation de donner suite aux demandes d’exercice de leurs droits par les personnes concernées ;
  • aide du responsable à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité des données, notifications de violations de données personnelles, analyse d’impact, consultation préalable) ;
  • suppression ou renvoi des données au terme de la prestation ;
  • mise à disposition du responsable et de l’autorité de contrôle de toutes les informations nécessaires.

Il convient dès lors de modifier les modèles de contrat d’hébergement des hébergeurs agréés.

Le sous-traitant est en outre pleinement responsable des prestations confiées à son propre sous-traitant (art. 28).

Règlement : ce qui change pour les hébergeurs agréés

Les hébergeurs de données de santé appliquent déjà de strictes mesures de sécurité, en vertu de leur agrément. Ce qui change, c’est qu’ils seront directement responsables vis-à-vis de l’autorité de contrôle, en sus de leur éventuelle responsabilité civile et pénale découlant du non-respect de leur agrément.

Concrètement, la tenue d’un registre, la notification des violations de données personnelles, la désignation d’un délégué à la protection des données sont autant de mesures nouvelles qui devront être mises en place par les hébergeurs.

Il conviendra également d’encadrer, dans les contrats d’hébergement, l’assistance apportée par l’hébergeur au responsable de traitement, son client, s’agissant des droits des personnes et s’agissant de ses obligations relatives à la sécurité des données, à la notification des violations de données personnelles, à l’analyse d’impact et à la consultation préalable.

A date, les contours du rôle du sous-traitant dans la réalisation de l’analyse d’impact, telle que définie à l’article 35 du nouveau règlement européen, ne sont pas clairement définis. Le 16 juin 2016, la Cnil a lancé à ce sujet une consultation, dont les contributions sont disponibles en ligne (5) et devrait rendre son rapport prochainement.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Règlement (UE) 2016/679 du 27-4- 2016.
(2) Loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(3) CSP, art. L1111-8 et R1111-9 et suivants.
(4) L’article 37 du Règlement européen prévoit trois cas obligatoires de désignation d’un délégué à la protection des données :
(a) traitement effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
(b) en cas d’opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
(c) en cas de traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions (ce dernier cas est susceptible d’inclure les hébergeurs agréés de données de santé).
(5) Cnil, Consultation sur le règlement européen sur la protection des données, 19-7-2016.

Retour en haut