Les données personnelles de Santé (définies par le RGPD et la CNIL) font partie de la catégorie des données dites « sensibles ».
Elles sont particulièrement exposées aux risques de piratages informatiques, avec des conséquences souvent importantes et médiatisées, des atteintes à l’image des organisations impliquées et des cessations d’activités (cf. quelques articles de presse dans les références)
Dans ce contexte, la gestion des données de Santé (leur collecte, traitement, archivage, diffusion éventuelle sous strictes conditions) demande un besoin accru de confidentialité et de protection.
Sommaire
Objectif du législateur
La certification « Hébergement de Données de Santé » (HDS) a été inscrite dans la loi française en 2018.
Son objectif principal est de « garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs de la Santé confient les données de santé qu’ils produisent ou recueillent sur supports numériques » (FAQ HDS du Ministère de la Santé et des Solidarités du 16/05/2019).
La procédure de certification et le référentiel applicable sont détaillés dans le cadre juridique et règlementaire HDS.
Champ d’application
La certification HDS est requise pour toute personne (physique ou morale) qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, diagnostic, soins, suivi social ou médico-social.
L’hébergement des données peut être réalisée par un tiers pour le compte des producteurs ou collecteurs à l’origine des données (responsables de traitement, pour le RGPD). Un contrat de service d’hébergement de données doit être établi et inclure des clauses obligatoires au sujet de cette exigence.
Les sanctions prévues en cas de manquement prévoient jusqu’à 3 ans d’emprisonnement et 225.000 euros d’amende (cf. cadre juridique et règlementaire HDS).
Application aux établissements de Recherche et exemptions possibles
En tant que « Responsables de Traitement » (définition CNIL/RGPD), les organismes de recherche doivent être certifiés HDS, ou recourir à un prestataire certifié HDS, pour héberger des données personnelles de Santé.
La législation prévoit quelques situations d’exemption :
- les établissements de Santé qui traitent directement leurs données (les dossiers médicaux) sans les transmettre à un tiers quelconque n’ont pas besoin d’être eux-mêmes certifiés HDS ;
- les copies temporaires de données dans le cadre d’activités techniques de transmission et de fourniture d’accès à un réseau numérique ;
- plus spécifiquement pour les organismes de recherche dans le domaine de la santé, lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social. Ce point reste sujet à diverses interprétations, vu la grande variété des projets de recherche en Santé et leur imbrication avec des procédures de soin ou de prévention.
Cas des données anonymisées
En théorie, des données strictement anonymisées ne constituent plus des données personnelles de Santé et ne sont plus soumises à la législation HDS, contrairement aux données simplement pseudonymisées ou dé-identifiées, qui conservent leur caractère personnel.
L’anonymisation stricte de données personnelles est toutefois complexe à obtenir actuellement. Elle doit en effet prévenir toute possibilité de réidentification des personnes, y compris par le croisement de données avec d’autres bases (corrélations), l’individualisation de cas rares, les déductions logiques (inférence), le vol d’une table de correspondance qui permettrait de restaurer l’identité des personnes, une vulnérabilité dans un algorithme de chiffrage, l’utilisation possible de méthodes mathématiques (statistiques, calcul de probabilités) complexes ou/et récemment découvertes, … Et dans le cadre des données personnelles de Santé, il s’agit d’une obligation de résultat.
Un parallèle peut être établi avec les défis rencontrés par le chiffrement de données : l’utilisation de méthodes anciennes, obsolètes, d’anonymisation est à proscrire. La capacité même à pouvoir anonymiser totalement des données fait débat…
Références
- Code de la santé publique – Article L1111-8 version Avril 2018.
- Décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel
- Hébergement de données de santé à caractère personnel. ASIP Santé, Mai 2018 (fiche, 2 pages).
- Explicitation du champ d’application du cadre juridique de l’hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d’information de santé. Ministère des Solidarités et de la Santé, mise à jour 16 Mai 2019 (7 pages).
- Foire aux questions sur l’hébergement des données de santé. ASIP Santé, Juillet 2018 (7 pages).
- Référentiel de certification HDS – Exigences et contrôles. ASIP Santé, Version 1.1, Mai 2018 (20 pages).
- Atelier Certification Hébergement des données de santé (HDS). ASIP Santé, 24 Mai 2017 (diaporama).
- RGPD, les nouvelles obligations des hébergeurs de santé. Le Quotidien Santé, 3 Mai 2018.
Et quelques articles parus en 2019 sur le piratage des données de santé :
- Comment les pirates informatiques gagnent de l’argent avec vos données médicales volées. ZDNet, 6 juin 2019
- Les données de santé : un vrai business pour les cybercriminels. Techniques de l’Ingénieur, 28 juin 2019
- Vos données médicales aussi peuvent se faire pirater. Le Journal du Dimanche, 6 décembre 2019