Agrément des hébergeurs de données de santé : retour d’expérience

Sept ans après l’entrée en application du dispositif d'agrément des hébergeurs de données de santé;, il convient de revenir sur quatre points importants: les critères posés par la loi, la position de l'entité agréée dans la chaîne de valeur, la localisation des données et enfin la constitution du dossier d'agrément.

Les hôpitaux, cliniques et les cabinets médicaux produisent chaque jour des volumes de données de plus en plus grands concernant leurs patients et dont ils ne peuvent ou ne souhaitent pas toujours assurer eux-mêmes le stockage. Leur hébergement chez un prestataire extérieur, qui pourra être un éditeur de logiciels, un prestataire informatique de l'e-santé ou une société dans le domaine du matériel médical, constitue alors la solution. L’hébergement de données de santé à caractère personnel est encadré en France depuis la loi n°2002-303 du 4 mars 2002 notamment dans le but de garantir la confidentialité, l’intégrité et la disponibilité des données des patients.  Ce texte soumet cette activité d’hébergement à un agrément préalable du ministre de la santé.

(1) Les critères de l’hébergement

Le code de la santé publique (art. L.1111-8) définit l’hébergeur au travers de trois critères cumulatifs : il sera la personne physique ou morale chez laquelle (1) les professionnels de santé ou les établissements de santé ou la personne concernée (2) déposent des données de santé à caractère personnel, (3) recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins. Les premiers et troisièmes critères peuvent être source de questions, par exemple lorsque les données ne sont pas déposées par un professionnel ou un établissement de santé mais sont le fruit d’un dispositif de monitoring. Notons à cet égard que ASIP Santé a publié sur son site une note du 21 mars 2012 concernant la situation des prestataires de service à domicile (PSAD) et des distributeurs dispositifs médicaux (DM). Il en ressort notamment que l’agrément n’est pas applicable à ces derniers lorsque les professionnels de santé ne font qu’accéder aux données en consultation sans pouvoir déposer des données chez l’hébergeur. Comme pour l’établissement hospitalier (ou la clinique) hébergeant lui-même les données de santé des patients qu’il soigne, il y a ici unicité entre le producteur des données et celui qui les « héberge » lequel ne sera alors pas soumis au régime des hébergeurs. Notons également que dans une note du 10 mai 2011, la Mission juridique des affaires sociales estime que le régime des hébergeurs ne s’applique ni aux bases de données constituées au cours d’une recherche biomédicale par un organisme de recherche, ni à toutes les bases de données constituées en vue de cette recherche dans la mesure où les traitements de données précités sont déjà soumis à un encadrement juridique propre.

(2) La qualité d’hébergeur correspond à une responsabilité juridique

Il est important de garder à l’esprit que la qualité d’hébergeur de données de santé correspond à une responsabilité juridique. L’hébergeur agréé sera l’entité, personne physique ou morale, qui répondra de la conformité de l’opération globale d’hébergement au regard des exigences de la loi. L’hébergeur pourra très bien recourir à un sous-traitant dont il répondra dans les mêmes conditions que s’il assurait lui-même les prestations sous-traitées. Les industriels ont finalement la faculté de positionner l’hébergeur agréé sur tout le long de la chaine de valeur des services qu’ils souhaitent proposer, de l’exploitation technique des serveurs jusqu’au service final au professionnel/établissement de santé. L’hébergeur pourra également se positionner comme l’intégrateur de prestations élémentaires distribuées à des sous-traitants.

(3) Les données devront être localisées dans l’Union européenne sauf exceptions

La loi n’exige pas que les données soient localisées en France. Les données peuvent être hébergées dans tout pays de l’Union européenne, dans les huit pays reconnus par la Commission européenne comme assurant un niveau de protection adéquat ainsi qu’en dehors de l’Union au travers les dispositifs Binding Corporate Rules, Clauses contractuelles types et Safe Habor. De même, le Cloud Computing est possible dans son principe à la condition que celui-ci respecte en tous points l’exigence précédente de localisation, toutes choses égales par ailleurs. Enfin, notons que suivant le code de la santé publique (art. L.1111-8), l’agrément n’est pas délivré de manière générale mais au titre d’une offre d’hébergement délimitée par des conditions contractuelles. Une forte attention devra donc être portée sur ce contrat au plan juridique, lequel devra préciser les responsabilités de l’hébergeur et celles du client professionnel/établissement de santé ou du patient. 

(4) La constitution du dossier d’agrément représente un travail important

Les industriels doivent avoir à l’esprit que l’agrément prévu par la loi n’est pas une simple déclaration d’activité, mais une démarche importante tant sur le plan du dossier de demande qu’une fois l’agrément obtenu. Il s’agira tout d’abord de confronter le dispositif d’hébergement en projet avec les exigences du décret du 4 janvier 2006 puis d’expliquer et de documenter l’existant. Une implication forte de compétences métiers, informatiques et juridiques constituera, à notre avis, l’un des facteurs-clefs de succès. Le décret précité prévoit que l’hébergeur agréé devra désigner un médecin impliqué dans l’activité d’hébergement et qui sera le garant du respect du secret médical.
Cette activité de médecin de l’hébergeur reste nouvelle et peu organisée. Sauf à disposer déjà d’un médecin en interne en mesure d’assumer cette fonction sans incompatibilités, les candidats devront anticiper ce point, là encore le plus en amont de leur projet. De même, il ressort du décret du 15 mai 2007 (dit « confidentialité ») que l’utilisation de la carte de professionnel de santé (CPS) ou de tout dispositif équivalent est obligatoire en cas d'accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique. Cette exigence est ainsi pleinement applicable à l'accès aux données hébergées. Or, le déploiement de la CPS au delà des praticiens libéraux demeure toujours en cours. Il semble que le comité d’agrément des hébergeurs en tienne compte. Les industriels doivent cependant considérer qu’il leur sera dans tous les cas demandé le recours à une authentification forte ainsi qu’une traçabilité des accès.

En résumé, ce type de dossier prend en général plus de temps qu'initialement prévu et demande une véritable implication de l'équipe concernée.