La Délégation de la stratégie des systèmes d’information de santé (DSSIS, Ministère de la santé) a publié une note sur le champ d’application du cadre juridique de l’hébergement de données de santé. Cette note répond à cinq questions :
• Le régime juridique de l’hébergement de données de santé prévu à l’article L. 1111-8 du code de la santé publique. Ce dernier a pour finalité d’encadrer la conservation et la restitution des données de santé à caractère personnel afin de garantir leur confidentialité et leur sécurité, notamment à l’égard des tiers agissant pour le compte des acteurs sanitaires et médico-sociaux.
• L’obligation de toute entité de disposer d’un agrément lorsque qu’elle propose un service d’hébergement portant sur des données de santé à caractère personnel recueillies lors d’activités de prévention, de diagnostic ou de soins, et pour le compte du patient, des professionnels de santé ou de tout autre organisme à l’origine de ces données.
• Les trois conditions à remplir pour héberger des données de santé à caractère personnel : l’hébergement de données de santé sur support papier doit être réalisé par un hébergeur agréé par le ministère de la culture ; l’hébergement de données de santé sur support numérique doit également être réalisé par un hébergeur agréé par le ministère de la culture, dans des conditions définies par décret en Conseil d’Etat pris après avis de la CNIL ; enfin, l’hébergement de données de santé sur support numérique, hors cas d’un service d’archivage électronique, doit être réalisé par un hébergeur certifié dans les conditions définies par décret en Conseil d’Etat pris après avis de la CNIL et des conseils des ordres des professionnels de santé.
• Les activités ne constituant pas une activité d’hébergement au sens de l’article L. 1111-8 du code de la santé publique. Il s’agit du fait « de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».
• Les acteurs qui doivent être certifiés au titre de « l’activité 5 de la certification Hébergement de Données de Santé (HDS) » à savoir « administration et exploitation du système d’information contenant les données de santé ». La note précise que cette question doit fait l’objet d’arbitrage par le ministère de la santé, car cette activité, qui est à la limite de ce qui est qualifié d’hébergement, est importante dans la chaîne de sécurité des données de santé à caractère personnel.