Données de santé : quelles sont les contraintes réglementaires et de sécurité à mettre en œuvre pour les conserver

Les récents évènements liés à la pandémie ont replacé les données de santé au centre de l’attention. Si le sujet de leurs traitements et sécurisations était déjà un fort enjeu lié aux données à caractère personnel, la crise COVID l’a rendu d’autant plus d’actualité.

Comme l’explique la CNIL, ces données de santé correspondent aux données de trois catégories distinctes :

-          Les données de santé par nature : maladies, antécédents médicaux, prestations de soins, résultats d’examens et traitements, handicap…

-          Les données de santé par croisement : elles deviennent des données de santé du fait qu’elles soient croisées avec d’autres données et indiquent ainsi des informations sur l’état de santé ou encore sur les risques / problèmes de santé d’un individu.

-          Les données de santé par destination : elles deviennent des données de santé du fait de leur utilisation sur le plan médical.

Le champ des données de santé est relativement large et celles-ci sont régulièrement liées à des enjeux de grande ampleur. Cela n’est que la suite assez logique du développement des technologies permettant un traitement de données toujours plus rapide et volumineux. À cela s’ajoutent les problématiques de transparence et de respect de la vie privée, avec les possibles recherches de finalités extérieures (différents scandales de collecte de données de santé par des compagnies d’assurance), ainsi que le recueil du consentement des personnes.

Cela a donc fait naître toutes sortes d’interrogations ; notamment sur la façon dont sont stockées ces données « sensibles ».

La fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) d’environ 1,4 million de personnes testées contre la COVID-19 à la mi-2020 ne vient pas arranger les choses, ni la crainte que nos données de santé se retrouvent disponibles sur le darknet.

Qui sont ces acteurs qui peuvent héberger des données de santé ? Comment obtiennent-ils l’autorisation d’hébergement et pour quelle durée ? Différentes règlementations viennent encadrer l’hébergement et le traitement de ces données « sensibles » et répondre aux questions en limitant tout abus.

Ainsi, les temps de conservation de ces données sont règlementés et leurs finalités détaillées (1), avec une réelle volonté des autorités compétentes de mettre les acteurs face à leurs responsabilités (2), favorisant par ce biais une nécessaire sécurisation des données de santé.

1.       La durée de conservation des données de santé

Les données de santé, comme toutes autres données, ont un cycle de vie, et il paraît important, pour les responsables de traitements, de déterminer leur durée de conservation en vue de se conformer au RGPD. On oppose ici les données de santé hors recherche (1.1) aux données de santé à des fins de recherche (1.2).

1.1   Les données de santé hors recherche

Le 28 juillet 2020, la CNIL a publié trois référentiels : deux sur la gestion de la conservation des données de santé, et un concernant la gestion des traitements courants des cabinets médicaux et paramédicaux. Il est ici question de s’intéresser aux deux premiers.

Comme l’explique la CNIL, ces référentiels ont pour but d’accompagner les acteurs dans l’identification et la détermination des durées de traitement de la façon la plus pertinente possible.

Ces référentiels concernent un bon nombre d’activités de traitements tels que la tenue du dossier d’un patient, la gestion des cabinets médicaux et paramédicaux, la gestion d’une pharmacie d’officine, les laboratoires d’analyse de biologie médicale, ou bien les fameux DMP (Dossier Médical Partagé), …

Pour chaque catégorie et sous-catégorie, une durée de conservation est indiquée en base active et en base intermédiaire. La base active renvoie à la phase d’utilisation courante des données personnelles par les services chargés de la mise en œuvre de leur traitement. La base intermédiaire renvoie à la phase où les données personnelles ne sont plus utilisées pour atteindre l’objectif qui était fixé, mais qui représentent toujours un intérêt administratif pour l’organisme en question.

La plupart des durées de conservation sont imposées par la règlementation, et plus précisément par le CSP (Code de la Santé Publique) et le CSS (Code de la Sécurité Sociale).

En cas d’absence d’obligation légale, la CNIL propose des durées qui n’ont pas caractère obligatoire à travers des normes simplifiées (qui n’ont plus de valeurs juridiques depuis l’application du RGPD mais une valeur de recommandation du régulateur en attendant la publication des référentiels sur les différents sujets) ou des référentiels. Le référentiel « Gestion des cabinets médicaux et paramédicaux » recommande par exemple de conserver les données sur le dossier du patient pour une durée de 5 ans en base active à compter de la dernière intervention sur celui-ci.

Il est d’ailleurs précisé dans ce référentiel que l’ensemble des durées inscrites ont été mises à jour le 18 juin 2020.

1.2   Les données de santé à des fins de recherche  

Le référentiel sur les données de santé à des fins de recherche présente les durées de conservation pour les mêmes typologies de traitement que celui hors recherche.

La différence entre les données de santé hors recherche et les données de santé à des fins de recherche se situent principalement dans les acteurs réalisant ces traitements ainsi que leurs finalités.

Ici, les données hébergées concernent des recherches impliquant la personne humaine (RIPH) ou non (RNIPH), et les recherches nécessitant, pour certaines, le recueil du consentement de la personne concernée comme les recherches interventionnelles, ou ne nécessitant pas le recueil du consentement comme les essais de médicaments par grappes.

Concernant les durées de conservation de ces données, deux situations se présentent :

-          Les durées sont prévues par des textes figurant dans la règlementation et ont donc force obligatoire, ou alors elles sont visées par les méthodologies de référence (MR) qui doivent être respectées par le responsable de traitement si celui-ci s’engage à se conformer à la MR.

-          Les durées sont définies par le responsable de traitement conformément à l’article 5-1-e) du RGPD. Ensuite, la proportionnalité de la durée sera appréciée par la CNIL au moment de l’instruction de la demande d’autorisation pour le projet de recherche concernée. Le responsable de traitement devra alors se conformer à la durée mentionnée dans l’autorisation que délivrera la CNIL.

La multitude des données de santé collectées nécessite une classification minutieuse. La protection des données de santé passe est donc contrainte par la règlementation, et ces référentiels participent grandement au développement de cette protection !

Cependant, il ne suffit pas d’aiguiller les responsables de traitement sur la marche à suivre, mais de s’assurer qu’ils se sentent bien concernés par les enjeux qui découlent de la conservation de ces données.

2.       La responsabilisation des acteurs en matière d’hébergement des données de santé

L’évolution de la protection des données « sensibles » n’est pas le fruit du hasard. Elle est notamment due au fait que les autorités compétentes se montrent plus concernées par les enjeux qui découlent de l’hébergement de ces données, avec pour preuve l’affaire médiatisée du Health Data Hub (2.1) et les obligations bien précises auxquelles doivent se conformer les hébergeurs de données de santé (2.2).

2.1   Microsoft et l’affaire du Health Data Hub

Rappel du contexte :  Health Data Hub est une plateforme créée en novembre 2019, qui héberge des données de santé, permettant de faciliter le partage ces données afin de favoriser la recherche. Cette plateforme a d’ailleurs signé un contrat avec une filiale irlandaise de la société Microsoft en date du 15 avril 2020 dans un but d’hébergement des données et d’utilisation de logiciels nécessaires à leur traitement.

Dans le même temps, certaines de ces données sont utilisées pour les besoins de la crise provoquée par la pandémie de la Covid-19. Or, de nombreux syndicats, associations, et citoyens ont formulé des demandes auprès du juge référé-liberté du Conseil d’Etat afin que soit suspendu tout traitement de données lié à la pandémie mondiale sur cette plateforme en invoquant le risque de transfert de données vers les Etats-Unis.

En 2020, le Conseil d’Etat avait été saisi par un collectif de dix-huit requérants qui se préoccupaient grandement de l’implication de Microsoft dans ce projet. Cette demande faisait suite à l’arrêt « Schrem II », rendu par la CJUE. Au regard du droit européen, la protection du « Privacy Schield », (protection des données transférées vers les Etats-Unis) est déclarée insuffisante.

Un arrêté ministériel a alors été pris le 9 octobre 2020 dans le but d’interdire tout transfert de données à caractère personnel dans le cadre du contrat invoqué ci-dessus.

 La décision du Conseil d’Etat a été rendue le 14 octobre 2020, en expliquant que le « traitement de données par Microsoft sur le territoire de l’Union Européenne n’est pas en lui-même une illégalité grave et manifeste », et ne pourrait, de ce fait, justifier la fermeture de la plateforme ou le fait que ce contrat soit annulé. Cependant, il convient de noter qu’il est inscrit dans le contrat en question que les parties « s’engagent à refuser tout transfert de données de santé en dehors de l’Union européenne »

Il a été reconnu que le traitement des données par Microsoft sur le territoire européen n’est pas d’une illégalité grave et manifeste même s’il a été admis l’existence d’un risque potentiel, dans le cas où cette dernière ne serait pas en mesure de s’opposer à une demande des services de renseignements américains.

Pour prendre cette décision, le juge a fait peser dans sa balance le fait que les données de santé sont pseudonymisées avant leur hébergement et leur traitement sur la plateforme Health Data Hub, et également le fait que l’intérêt public était ici majeur concernant l’utilisation des données de santé dans le cadre de  la crise du Covid-19.

Ainsi le juge des référés a ordonné, pour le court terme, que ce contrat continue mais sous le contrôle de la CNIL, en attendant de prendre une décision plus poussée afin de bloquer toute possibilité d’accès aux données de santé par les autorités américaines.

Cette affaire montre les risques que peuvent engendrer l’hébergement des données de santé et alerte sur des possibles dérives. Elle rassure toutefois sur l’implication et la réactivité des autorités compétentes qui ne négligent pas l’importance de la sécurisation de ces dernières, en veillant bien à limiter l’accès au strict minimum.

2.2   Les obligations spécifiques des hébergeurs de données de santé

Comme vu ci-dessus, n’importe qui ne peut pas héberger des données de santé.  

Leur hébergement et leur accès sont encadrés par la loi, avec des conditions de sécurité qui seront proportionnelles à la criticité de ces données.

L’article L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016 dispose que « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. »

On parlait auparavant d’agrémentation, mais la nouvelle procédure parle de certification. C’est le décret 2018-137 du 26 février 2018 qui se charge de faire la transition. Désormais, les hébergeurs pourront déposer une demande de certification HDS[U4]  (Hébergement des Données de Santé) auprès de n’importe quel organisme de certification qui aura réalisé les démarches d’accréditation auprès du COFRACC.

Comment se déroule cette procédure de certification ?

Elle repose sur une évaluation de conformité par rapport au référentiel de certification. Pour cela, l’organisme de certification, que l’hébergeur aura choisi, va procéder à un audit composé de deux étapes, en vérifiant l’équivalence aux certifications ISO 27001 « système de gestion de la sécurité des systèmes d’information » ou ISO 20000 « système de gestion de la qualité des services » que l’hébergeur est censé avoir déjà acquis.

La première étape est un audit documentaire, dans lequel il est question de déterminer la conformité du système par rapport aux exigences du référentiel de certification. Pour ce faire, l’organisme responsable de la certification réalise une revue documentaire du système d’information de l’hébergeur afin de l’évaluer en la comparant aux exigences du référentiel de certification.

La seconde étape est un audit sur site, dont les preuves sont récoltées conformément aux conditions définies dans le référentiel d’accréditation. C’est lors de cette phase qu’il est vérifié le respect des normes ISO 27001 et ISO 20000 ainsi que certaines exigences spécifiques à l’hébergement des données de santé.

L’hébergeur dispose de trois mois, après la seconde étape, pour corriger les éventuels points de non-conformité, pour ensuite faire auditer ses rectifications. Si ce délai est dépassé, et si l’hébergeur ne réagit pas, alors il lui faudra de nouveau réaliser la procédure d’audit sur site.

Si tout est conforme, le certificat est alors délivré pour une durée de trois ans par l’organisme choisi par l’hébergeur. À noter qu’un audit de surveillance est effectué chaque année.

On distingue deux types de certificat qui peuvent être délivrés aux hébergeurs :

-          Un certificat « hébergeur d’infrastructure physique », concernant les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;

-          Un certificat « hébergeur infogéreur », concernant les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, de plateforme d’administration et d’exploitation, et également de sauvegarde externalisée.

Les données de santé étant particulièrement sensibles, leurs protections et les exigences du régulateur sur leurs sécurisation sont très importantes. Les hébergeurs de données de santé ont un rôle clé dans cette sécurisation et leurs certifications permet de limiter les risques de fuite de données aussi précieuses que celles-ci.   

Toute l’équipe de La Robe Numérique se tient à votre disposition.

Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr

Par Marius Saussereau pour le blog La Robe Numérique