En matière d'hébergement des données de santé confié par des établissements ou professionnels médicaux à des prestataires informatiques tiers, le code de la santé publique fixe une obligation d'agrément à la charge de ces derniers.

En effet, "Les professionnels de santé (…)peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet.[...]" (Article L.1111-8 du code de la santé publique)

La demande d'agrément du prestataire hébergeur est adressée au Ministre de la santé et doit être accompagnée d'éléments justifiant des mesures de protection prévues dans le cadre du traitement et du stockage des données de santé.

Compte tenu du caractère hautement sensible des données ainsi hébergées il est rappelé que les dispositions de l'article 34 de la loi du 6 janvier 1978 dite "Informatique et libertés" relative à l'obligation de sécurité et de confidentialité doivent être respectées. En effet, le responsable de traitement est tenu de prendre "toutes les précautions utiles" afin d'empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. Ces dispositions s'appliquent également aux sous-traitants agissant pout le compte du responsable de traitement (article 35 de la loi de 1978).

En l'espèce, la demande d'agrément demandé par l’hébergeur a été accordée par le Ministre de la santé notamment en raison de l'utilisation annoncée par l'hébergeur d'un outil de cryptage des données dit "chiffrage fort" qui devait permettre de limiter l'accès aux données à la personne concernée et aux seuls professionnels de santé.

Or, la CNIL a effectué un contrôle auprès de cet hébergeur. Il est alors apparu que les données de santé ne faisaient pas l'objet du cryptage annoncé dans la demande d'agrément, et qu'en conséquence les administrateurs de cet hébergeur disposaient d'un accès à ces données. Pourtant le cryptage annoncé devait également protéger le secret médical vis-à-vis de toute personne, y compris salarié de l’hébergeur mais non professionnel de santé.

Cet avertissement de la CNIL rappelle aux organismes et sociétés intervenant dans le monde médical que le secret médical est absolu et que l’accès aux données des patients est très réglementé.

Pensez à mettre en place les mesures permettant de respecter cet accès limité aux données à caractère personnel, surtout si vous œuvrez dans le domaine médical !

Pour cela plusieurs axes. Nous recommandons en particulier de :
-    mettre en place une politique de protection des données ou une Charte informatique, afin de sensibiliser d'avantage les personnes ayant à traiter des données et ce d'autant plus lorsqu'il est question de données sensibles comme les données de santé.
-    renforcer les contrats de travail en particulier avec le personnel non profesionnel de santé
-    renforcer les contrats avec vos prestataires et notamment les hébergeurs afin d’y intégrer une clause sur le respect des obligations en terme de sécurité et de confidentialité

Claudia Weber, avocat associé et Eloïse Urbain, avocat
ITLAW Avocats - www.itlaw.fr

Partager: