Protection des données personnelles de santéLes données personnelles de Santé (définies par le RGPD et la CNIL) font partie de la catégorie des données dites « sensibles ».
Elles sont particulièrement exposées aux risques de piratages informatiques, avec des conséquences souvent importantes et médiatisées, des atteintes à l’image des organisations impliquées et des cessations d’activités (cf. quelques articles de presse dans les références)

Dans ce contexte, la gestion des données de Santé (leur collecte, traitement, archivage, diffusion éventuelle sous strictes conditions) demande un besoin accru de confidentialité et de protection.

Objectif du législateur

La certification « Hébergement de Données de Santé » (HDS) a été inscrite dans la loi française en 2018.
Son objectif principal est de « garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs de la Santé confient les données de santé qu’ils produisent ou recueillent sur supports numériques » (FAQ HDS du Ministère de la Santé et des Solidarités du 16/05/2019).

La procédure de certification et le référentiel applicable sont détaillés dans le cadre juridique et règlementaire HDS.

Champ d’application

La certification HDS est requise pour toute personne (physique ou morale) qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, diagnostic, soins, suivi social ou médico-social.
L’hébergement des données peut être réalisée par un tiers pour le compte des producteurs ou collecteurs à l’origine des données (responsables de traitement, pour le RGPD). Un contrat de service d’hébergement de données doit être établi et inclure des clauses obligatoires au sujet de cette exigence.

Les sanctions prévues en cas de manquement prévoient jusqu’à 3 ans d’emprisonnement et 225.000 euros d’amende (cf. cadre juridique et règlementaire HDS).

Application aux établissements de Recherche et exemptions possibles

En tant que « Responsables de Traitement » (définition CNIL/RGPD), les organismes de recherche doivent être certifiés HDS, ou recourir à un prestataire certifié HDS, pour héberger des données personnelles de Santé.

La législation prévoit quelques situations d’exemption :

  • les établissements de Santé qui traitent directement leurs données (les dossiers médicaux) sans les transmettre à un tiers quelconque n’ont pas besoin d’être eux-mêmes certifiés HDS ;
  • les copies temporaires de données dans le cadre d’activités techniques de transmission et de fourniture d’accès à un réseau numérique ;
  • plus spécifiquement pour les organismes de recherche dans le domaine de la santé, lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social. Ce point reste sujet à diverses interprétations, vu la grande variété des projets de recherche en Santé et leur imbrication avec des procédures de soin ou de prévention.

Cas des données anonymisées

En théorie, des données strictement anonymisées ne constituent plus des données personnelles de Santé et ne sont plus soumises à la législation HDS, contrairement aux données simplement pseudonymisées ou dé-identifiées, qui conservent leur caractère personnel.

L’anonymisation stricte de données personnelles est toutefois complexe à obtenir actuellement. Elle doit en effet prévenir toute possibilité de réidentification des personnes, y compris par le croisement de données avec d’autres bases (corrélations), l’individualisation de cas rares, les déductions logiques (inférence), le vol d’une table de correspondance qui permettrait de restaurer l’identité des personnes, une vulnérabilité dans un algorithme de chiffrage, l’utilisation possible de méthodes mathématiques (statistiques, calcul de probabilités) complexes ou/et récemment découvertes, … Et dans le cadre des données personnelles de Santé, il s’agit d’une obligation de résultat.

Un parallèle peut être établi avec les défis rencontrés par le chiffrement de données : l’utilisation de méthodes anciennes, obsolètes, d’anonymisation est à proscrire. La capacité même à pouvoir anonymiser totalement des données fait débat…

Références

Et quelques articles parus en 2019 sur le piratage des données de santé :