Comment vos données de santé
sont-elles protégées ?

Bracelets fitness, application régime, carte vitale : comment vos données de santé sont-elles protégées sur le web ?

Depuis quelques années le secteur de la santé fait face à un double phénomène de dématérialisation et d’accumulation des données de santé à leur disposition. Cette recrudescence, causée par l’informatisation des dossiers des patients et la banalisation des instruments de mesure physiologique disséminés dans les objets connectés, soulève de nombreuses questions sur la sécurisation de l’écosystème numérique.

données de santé

Avec la révolution digitale, les personnels de santé ont progressivement abandonné le stockage papier pour passer au tout numérique. Les indicateurs qui mesurent la santé du patient font maintenant partie de bases de données stockées sur des serveurs : antécédents médicaux, opérations subies, maladies chroniques, c’est un véritable historique du parcours de santé qui s’y trouve.

Soucieux de protéger ces données sensibles liées aux patients, le législateur a voté une loi en 2002 censée sécuriser le traitement des données de santé. Sa mesure phare contenue dans l’article L1111-8 du Code de Santé Publique crée un statut d’hébergeur agréé de données de santé (HADS) que doivent obtenir tous les hébergeurs ayant vocation à accueillir ce type d’information.

Qu’est-ce qu’un hébergeur agréé de données de santé ?

santé ordinateurLes professionnels et établissements de santé (laboratoires compris) qui souhaitent externaliser le stockage des données de santé à caractère personnel doivent impérativement avoir recours à un HADS. La loi stipule en effet que « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. »

Ainsi l’hébergement de données de santé ne concerne pas exclusivement le secteur de la santé, mais bien tout l’écosystème numérique qui gravite autour : startups, agences web, propriétaires de serveurs, développeurs d’applications, etc. Une précision qui a son importance puisque le marché de la e-santé devrait représenter plus de 230 milliards de dollars en 2020 – un chiffre astronomique qui reflète la très forte croissance du secteur, notamment dans le mobile.

Dans un tel contexte de boom de la monétisation des données de santé, l’agrément pour les hébergeurs vient rassurer les patients et les professionnels sur la sécurisation d’informations potentiellement sensibles. Ses principaux objectifs sont les suivants :

  • Assurer la traçabilité des accès aux données, notamment par le biais d’une historicisation des modifications apportée aux registres et aux équipements
  • Identifier clairement les personnes disposant des droits d’accès
  • Sécuriser au maximum les données en contraignant les hébergeurs à constamment mettre à jour les technologies de support
  • Anonymiser les données et leur origine afin de ne pas pouvoir remonter jusqu’à l’identité du patient
  • Faire respecter des chartes de confidentialité qui garantissent la sécurité des secrets protégés par la loi
  • Envisager des plans de secours robustes en cas d’attaque informatique, d’intrusion ou de malveillance

Comment devient-on HADS ?

serveur cableDu fait des critères d’agrément particulièrement stricts, certains hébergeurs renoncent à acquérir l’agrément tandis que d’autres en font leur spécialisation. On compte à ce jour en France 92 hébergeurs récipiendaires de l’agrément. Afin de l’obtenir, l’entreprise doit adresser une demande au ministère de la santé qui suit un parcours bien précis :

  • La demande est dans un premier temps soumise à la Commission Nationale de l’Informatique et des Libertés (CNIL) afin qu’elle rende un avis consultatif dans un délai de deux mois (renouvelable une fois)
  • Passé ce délai, le dossier est transmis à un comité d’agrément constitué d’experts dans les domaines de la sécurité informatique, de la santé et de la finance. Celui se prononce dans le mois (renouvelable une fois) sur « les garanties d’ordre éthique, déontologique, technique, financier et économique » du candidat
  • La demande est enfin soumise au ministre de la santé qui décide dans les deux mois de confier ou non l’agrément à l’hébergeur

Quel rôle jouent les prestataires intermédiaires (agence web, startups…) entre les détenteurs des données de santé et les hébergeurs ?

Les établissements de santé font de plus en plus appel à des prestataires pour concevoir des applications ou des services web qui font usage de leurs données. De telle sorte que ces intermédiaires, en plus de traiter avec leurs clients, doivent interagir avec les hébergeurs de données de santé dans une configuration tripartite scellée par un ou plusieurs contrats.

Dans ce cadre, et contrairement aux usages répandus, les intermédiaires ne bénéficient pas d’un accès direct aux données de santé. L’hébergeur de données de santé s’assure en outre du respect par le prestataire des processus conventionnés dans le contrat, de même que l’intermédiaire doit garantir que son client, professionnel ou établissement de santé, respecte la confidentialité des données de santé en mettant en place dans le service ou produit développé des garanties de sécurité.

Ressources externes :

Liste des hébergeurs dotés de l’agrément données de santé


Vous cherchez à innover dans le domaine de la santé ? 7Circles fournit à ses clients des solutions web personnalisées qui bénéficient de l’agrément hébergeur de données de santé, pour une relation de confiance saine et sécurisée. Contactez-nous.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *