Clémence NabetBusiness Developer @ Galadrim
17 nov. 2021, Business
Les questions autour des données de santé sont particulièrement présentes depuis l'annonce par le gouvernement du projet Health Data Hub (HDH) qui vise à garantir un accès unifié aux données de santé afin d'améliorer la qualité des soins et l'accompagnement des patients.
Cela a généré un intérêt accru de prestataires externes souhaitant être référencés sur l'HDH et de nombreux questionnements sur la position à adopter vis-à-vis des données de santé.
Qu'est-ce qu'une donnée de santé ?
Le règlement européen sur la protection des données personnelles (RGPD) fournit une définition très large des données de santé :
"Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne."
Les données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.)
Les données qui le sont via un croisement avec d'autres données permettant de déduire l'état de santé d'un individu (par exemple le poids d'une personne pouvant le placer dans un risque d'obésité)
Les données de santé en raison de leur destination sur un plan médical (par exemple la transmission d'une ordonnance)
Nous pouvons donc noter que la notion de données de santé est très large et doit être appréciée au cas par cas : en fonction de la nature des données, des croisements réalisés et des conclusions qui peuvent être tirées.
Quelles sont les obligations à respecter pour l'hébergement de ces données ?
Une application web ou mobile utilisant des données de santé doit obligatoirement être hébergée chez des prestataires possédant la certification "Hébergeurs de Données de Santé" (HDS).
Les deux hébergeurs internationaux les plus importants sont Amazon Web Service (AWS) et Microsoft Azure ainsi qu'OVH au niveau français. Mais il existe beaucoup d'autres prestataires d'hébergements en France qui possèdent la certification comme Pictime Group, Ozytem, Cyllene, etc.
Cependant, une surveillance accrue est tournée vers les hébergeurs américains. En juillet 2021, la Cour de Justice de l'Union Européenne (CJUE) a rendu une décision historique invalidant le Privacy Shield :
"Accord dans le domaine du droit de la protection des données personnelles, qui a été négocié entre 2015 et 2016 entre l'Union européenne et les États-Unis d'Amérique"
Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines de données transférées depuis l’Union Européenne ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union.
En quoi est-ce que cette décision peut impacter le choix d'un HDS ?
Il serait possible d'en déduire que, même si des interdictions ne rentrent pas en vigueur pour le choix d'un hébergeur américain, une attention accrue sera portée à la gestion des flux de ces données sensibles et nous pourrions possiblement observer de nouvelles réglementations dans les prochains mois.
Quels sont les éléments principaux à surveiller ?
Si c'est le cas, il faut vérifier la légalité de ces transferts dans des pays tierce d'un point de vue de respect de la RGPD. Cette partie doit normalement être analysée par l'organisme procédant au transfert mais il faut y prêter attention lors de la mise en place du contrat d'hébergement.
Clémence NabetBusiness Developer @ Galadrim