Protection des données personnelles de santéLes données personnelles de Santé (définies par le RGPD et la CNIL) font partie de la catégorie des données dites « sensibles ».
Elles sont particulièrement exposées aux risques de piratages informatiques, avec des conséquences souvent importantes et médiatisées, des atteintes à l’image des organisations impliquées et des cessations d’activités (cf. quelques articles de presse dans les références)

Dans ce contexte, la gestion des données de Santé (leur collecte, traitement, archivage, diffusion éventuelle sous strictes conditions) demande un besoin accru de confidentialité et de protection.

Objectif du législateur

La certification « Hébergement de Données de Santé » (HDS) a été inscrite dans la loi française en 2018.
Son objectif principal est de « garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs de la Santé confient les données de santé qu’ils produisent ou recueillent sur supports numériques » (FAQ HDS du Ministère de la Santé et des Solidarités du 16/05/2019).

La procédure de certification et le référentiel applicable sont détaillés dans le cadre juridique et règlementaire HDS.

Champ d’application

La certification HDS est requise pour toute personne (physique ou morale) qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, diagnostic, soins, suivi social ou médico-social.
L’hébergement des données peut être réalisée par un tiers pour le compte des producteurs ou collecteurs à l’origine des données (responsables de traitement, pour le RGPD). Un contrat de service d’hébergement de données doit être établi et inclure des clauses obligatoires au sujet de cette exigence.

Les sanctions prévues en cas de manquement prévoient jusqu’à 3 ans d’emprisonnement et 225.000 euros d’amende (cf. cadre juridique et règlementaire HDS).

Application aux établissements de Recherche et exemptions possibles

En tant que « Responsables de Traitement » (définition CNIL/RGPD), les organismes de recherche doivent être certifiés HDS, ou recourir à un prestataire certifié HDS, pour héberger des données personnelles de Santé.

La législation prévoit quelques situations d’exemption :

  • les établissements de Santé qui traitent directement leurs données (les dossiers médicaux) sans les transmettre à un tiers quelconque n’ont pas besoin d’être eux-mêmes certifiés HDS ;
  • les copies temporaires de données dans le cadre d’activités techniques de transmission et de fourniture d’accès à un réseau numérique ;
  • plus spécifiquement pour les organismes de recherche dans le domaine de la santé, lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social. Ce point reste sujet à diverses interprétations, vu la grande variété des projets de recherche en Santé et leur imbrication avec des procédures de soin ou de prévention.

Cas des données anonymisées

Des données qui ont été « complètement anonymisées » ne constituent plus des données personnelles de Santé et ne sont plus soumises à la législation HDS – contrairement aux données simplement pseudonymisées ou dé-identifiées qui conservent leur caractère personnel. Pour ce faire, il faut s’assurer qu’il est impossible de réidentifier toute personne (pas même une sur mille) par quelque méthode que ce soit.
Avant et durant le processus d’anonymisation, les données conservent leur caractère personnel. Il est parfois possible d’anonymiser les données à la source, dès leur collecte.

L’anonymisation complète de données personnelles est toutefois complexe à obtenir, en particulier si on prend en compte les connaissances les plus récentes sur le sujet.
Elle doit en effet prévenir toute possibilité de réidentification des personnes, y compris par le croisement de données avec d’autres informations disponibles (corrélations), la détection de cas individuels rares, des déductions logiques (inférence), l’utilisation possible de méthodes mathématiques complexes ou récemment mises au point.
Si l’on conserve une table de correspondance qui permet de réidentifier les participants d’une étude, les données ne sont pas anonymisées : cette table pourrait être divulguée par accident ou piratée.
De même, le chiffrement (l’encryptage) de données n’est pas une méthode d’anonymisation : le mot de passe pourrait être communiqué par erreur ; l’algorithme de chiffrement pourrait devenir vulnérable dans le futur et ainsi permettre de lire les données.

Un parallèle peut être établi avec les défis rencontrés par les algorithmes de chiffrement de données : l’utilisation de méthodes d’anonymisation anciennes et obsolètes est à proscrire. Il devient aujourd’hui possible de réidentifier certaines personnes à partir de données anciennement anonymisées.

La capacité à pouvoir anonymiser complétement et de manière pérenne des données personnelles est sujet à débat, de même que la question d’une « obligation de résultat » ou d’une « obligation de mettre en œuvre des moyens raisonnables ». En tous les cas, le niveau d’anonymisation requis doit prendre en compte les enjeux et les risques propres à chaque projet scientifique et au type de données collectées.

Références

Et quelques articles parus en 2019 sur le piratage des données de santé :

Article rédigé par Luc Decker (Service IST, IRD)