Note d’analyse du décret n°2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel (JORF n°0049 du 28 février 2018, texte n°16)

1. Contexte 

Le décret relatif à l’hébergement de données de santé à caractère personnel a été pris en application de l’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel, modifiant notamment l’article L.1111-8 du Code de la santé publique (ci-après CSP). Cette ordonnance a été elle-même prise en application de l’article 204, I, 5°, sous a), de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé et a été ratifiée par le projet de loi de ratification, enregistré au Sénat le 19 avril 2017, dans le respect du délai imparti.

2. La nouvelle rédaction de cet article législatif prévoit le passage, pour l’hébergement de données de santé à caractère personnel sur un support numérique, d’une procédure d’agrément, régie aujourd’hui par le décret n° 2006-6 du 4 janvier 2006, à une procédure de certification par des organismes accrédités. Le décret du 26 février 2018 a donc pour objet d’organiser le « basculement » vers la procédure de certification. 

Le décret :

1. modifie les articles R. 1111-1 à R.1111-3, R.1111-10, R.1111-13, R.1111-14, R.1111-20-4, R.1111-20-10 à R.1111-20-12, R.1111-35, R.1112-7, R.6316-10 et abroge l’article R.1111-8 du CSP.
2. insère une sous-section 1 ter intitulée « Dispositions générales relatives à l’hébergement de données de santé à caractère personnel » après la sous-section 1 bis de la section 1 du chapitre Ier du titre Ier du livre Ier de la première partie du CSP, comprenant l’article R. 1111-8.
3. abroge la sous-section 2 de la même section et la remplace par une nouvelle sous-section désormais intitulée « Hébergement des données de santé à caractère personnel sur un support numérique soumis à certification », comprenant les articles R. 1111-9 à R. 1111-11.
4. précise enfin les modalités d’entrée en vigueur de ses dispositions, ainsi que de celle de l’ordonnance du 12 janvier 2017 et les mesures transitoires. 

a) Les modalités de mise en œuvre de la procédure de certification

• Le champ des activités d’hébergement soumises à certification

Conformément aux dispositions du nouvel article R. 1111-8-8 du CSP, l’activité d’hébergement de données de santé à caractère personnel mentionnée à l’article L. 1111- 8 consiste à héberger les données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte des responsables de traitement à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même.

En revanche, ne relève pas de l’hébergement de données personnelles de santé le fait pour les personnes physiques ou morales, à l’origine de la production ou du recueil de ces données, de confier des données pour une courte durée à un tiers pour que soit effectué un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données.

Cet article prévoit également l’obligation, à la charge des responsables de traitement qui confient l’hébergement de données personnelles de santé à un tiers, de s’assurer que celui-ci est titulaire d’un certificat de conformité.

• Les prestations d’hébergement de données de santé sur support numérique

Le décret définit, dans la nouvelle rédaction de l’article R. 1111-9 du CSP, les prestations d’hébergement de données de santé sur support numérique.

Aux termes de ses dispositions, est considérée comme une activité d’hébergement de données de santé à caractère personnel sur support numérique au sens de l’article L. 1111-8 du CSP, le fait d’assurer pour le compte du responsable de traitement, tout ou partie des activités suivantes :

• la mise à disposition et le maintien :
  o des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information
  o de l’infrastructure matérielle du système d’information
  o de l'infrastructure virtuelle
  o de la plateforme d'hébergement d'applications du système d'information
• l'administration et l'exploitation du système d'information contenant les données de santé
• la sauvegarde des données de santé. 

• Les conditions d’obtention de la certification

Aux termes de la nouvelle rédaction de l’article R. 1111-10 du CSP issue du décret, le certificat de conformité mentionné à l’article L. 1111-8 est délivré par un organisme de certification sur le fondement d’un référentiel de certification élaboré par le groupement d’intérêt public chargé du développement des systèmes d’information de santé partagés (l’Agence des Systèmes d’Information Partagés de Santé) et approuvé par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l’information et des libertés.

Il est délivré par un organisme de certification accrédité par le Comité français d’accréditation ou par tout autre organisme d’accréditation signataire d’un accord de reconnaissance mutuelle multilatéral « pris dans le cadre de la coordination européenne des organismes d’accréditation ».

• Le contenu du contrat d’hébergement

La nouvelle version de l’article R. 1111-11 du CSP issue de l’article 2 du décret détaille le contenu du contrat d’hébergement.

Ainsi, le contrat d’hébergement est conclu entre l’hébergeur et son client, et contient « au moins » 14 clauses :

1. L’indication du périmètre du certificat de conformité et ses dates de délivrance et de renouvellement
2. La description des prestations réalisées
3. L’indication des lieux d’hébergement
4. Les mesures mises en œuvre pour garantir le respect des droits des personnes concernées
5. La mention du référent contractuel du client de l’hébergeur à contacter pour le traitement des incidents
6. La mention des indicateurs de qualité et de performance
7. Les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur
8. Les modalités retenues pour encadrer les accès aux données
9. Les obligations de l’hébergeur à l’égard de la personne physique ou morale pour le compte de laquelle il héberge
10. Les garanties et les procédures mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part
11. L’interdiction pour l’hébergeur d’utiliser les données à d’autres fins
12. Une présentation des prestations à la fin de l’hébergement
13. L’engagement de l’hébergeur de restituer, à la fin de la prestation, la totalité de données au responsable de traitement
14. L’engagement de l’hébergeur de détruire, à la fin de la prestation, les données après l’accord formel du responsable de traitement et sans en garder copie.

Les mêmes clauses doivent être contenues dans le contrat liant le prestataire et l’hébergeur lorsque le responsable de traitement de données fait appel à un prestataire, qui recourt lui-même à un hébergeur certifié.

b) Les modalités d’entrée en vigueur et les mesures transitoires

Concernant les modalités d’entrée en vigueur, le I de l’article 3 du décret prévoit que l’ordonnance du 12 janvier 2017 et l’article 2 du décret entrent en vigueur le 1er avril 2018.

Ainsi, la mise en place de la certification hébergeur de données de santé est prévue pour le 1er avril 2018.

S’agissant de l’article 1er du décret, son entrée en vigueur est fixée au lendemain de sa publication, soit le 1er mars 2018.

Concernant les mesures transitoires, le décret prévoit que les agréments pour l’hébergement de données sur support numérique délivrés avant le 31 mars 2018 ou à la suite de demandes déposées avant cette date, restent régis jusqu’à leur terme par les dispositions de :

• La sous-section 1 du chapitre Ier du titre Ier du livre Ier de la première partie du code de la santé publique dans leur rédaction antérieure au 1er mars 2018
• La sous-section 2 du chapitre Ier du titre Ier du livre Ier de la première partie du code de la santé publique dans leur rédaction antérieure au 1er avril 2018. 

Pour être régis par les dispositions actuelles, les demandes d’agrément doivent donc être déposées au plus tard le 31 de ce mois.

Enfin, dans le cas où l'agrément pour l'hébergement sur support informatique arrive à échéance avant le 31 mars 2019, la durée de l'agrément est prolongée pour une durée de six mois afin de permettre à l'hébergeur d'effectuer les démarches de certification nécessaires à la poursuite de son activité d'hébergement de données de santé.
En pratique, l’audit documentaire réalisé aujourd’hui sur la base d’un dossier de demande d’agrément sera complétée par une évaluation technique et organisationnelle réalisée dans les locaux de l’hébergeur.