Héberger des données de santé : quelles sont les règles à respecter ?

régulation de santé
L’hébergement de données de santé s'accompagne d’un cadre réglementaire bien particulier. Proxival vous en dit plus dans cet article.

Un centre hospitalier situé à Corbeil-Essonnes a récemment été victime d’une cyberattaque. Un événement qui a fortement pertubé l’activité de la structure, à tel point qu’un plan d’urgence a dû être déployé pour assurer la continuité des soins, notamment dans le service des urgences et en chirurgie. Une demande de rançon de 10 millions de dollars aurait été demandée par les hackers. Loin d’être une première en France, ce type d’attaque envers les établissements de santé ne cesse de se multiplier. La raison ? Les données médicales n’ont jamais été aussi convoitées. D’où l’importance pour les hôpitaux et autres établissements de santé de protéger leur système d’information. Pour assurer leur sécurité, la gestion et le stockage des données de santé sont encadrés par des textes de loi. Toute infrastructure traitant des données de santé doit en effet se plier à un certain nombre d’obligations. Vous êtes un peu perdu ? PROXIVAL fait le point sur la réglementation à connaître dans le cadre de l’hébergement de données de santé

Les enjeux liés aux données de santé

Qu’est-ce qu'une donnée de santé ?

Selon la définition donnée par le RGPD et reprise sur le site de la Commission nationale de l’informatique et des libertés (CNIL), les données de santé sont décrites comme “les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.”  

La notion reste large. Concrètement, il peut s’agir aussi bien d’informations médicales classiques (antécédents, traitements, maladies déclarées…) que de data recueillies dans des situations de la vie courante (le nombre de pas sur votre smartphone par exemple). 

Pourquoi doivent-elles être stockées en toute sécurité ?

Il est légitime de s’interroger sur la valeur de ce type de données. Pourquoi les data médicales représentent-elles de véritables mines d’or ? 

D’une part, il est primordial de garantir le respect de la vie privée des patients.  Le principe de confidentialité est fondamental pour le malade, qui n’a pas forcément envie de voir ses informations de santé dévoilées. D’autre part, la récolte et le stockage des données de santé sont utiles au secteur de la santé publique. Ils permettent d’améliorer la connaissance des pathologies, de mieux gérer les pandémies, de découvrir de nouveaux traitements… Les nouvelles technologies liées aux data donnent la possibilité à la recherche d’avancer et d’offrir un meilleur parcours de soin pour les malades. 

Mais les intentions ne sont pas toujours aussi louables. Les données de santé sont aussi et surtout un moyen pour les GAFAM (les géants du Web Google, Apple, Facebook, Amazon et Microsoft) d’en savoir plus sur leurs utilisateurs et d’améliorer leurs algorithmes. L’objectif ? Conquérir toujours plus de parts de marché. Un véritable enjeu business donc ! Quant aux hackers, ils n’hésitent pas à revendre les données médicales de centaines de milliers de patients sur le darknet ou à quiconque serait intéressé par ces données. Vous l’aurez compris, les données de santé s’avèrent être des informations hautement sensibles et particulièrement convoitées. Elles font à ce titre l’objet de mesures particulières au niveau juridique. 

Les réglementations liées à l'hébergement des données de santé

Le RGPD

Le Règlement Général sur la Protection des Données est le texte européen de référence en matière de protection des données personnelles. Entré en vigueur en 2018, il concerne toutes les entreprises et organisations qui traitent des données sensibles, et notamment les données médicales. En principe, le RGPD interdit le traitement des données (article 9-I). Néanmoins, il prévoit plusieurs exceptions : 

  • Le consentement : le patient a donné son accord pour le traitement de ses données de santé. Le consentement doit être libre, spécifique, éclairé et univoque. 
  • Le contrat : le traitement est nécessaire à l’exécution d’un contrat qui concerne le patient. 
  • L’obligation légale : le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
  • Les intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux du patient. Prenons l’exemple d’un individu qui arrive inconscient aux urgences de l’hôpital : il n’est pas en mesure de donner son consentement pour le traitement de ses données, mais doit être pris en charge immédiatement.  
  • Les intérêts légitimes : le traitement est nécessaire à l’exécution d’une mission d’intérêt public.
  • La mission publique : le traitement est nécessaire aux fins des intérêts légitimes ou relevant de l’exercice de l’autorité publique.

La certification HDS

Le référentiel HDS est une certification qui se révèle obligatoire pour tout prestataire hébergeant ou gérant des données médicales. Sans elle, pas de stockage ni de traitement de données médicales ! La certification est remise après deux audits : un audit documentaire et un audit sur site. Elle garantit aux entreprises clientes que l’hébergeur traitera en toute sécurité les informations de leurs patients. 

Pourquoi confier l'hébergement des données de santé à un prestataire ?

  • Sécurité : s’entourer d’experts est le meilleur moyen de protéger les données de vos patients. Vous limitez grandement les risques que ces informations soient dérobées et/ou divulguées par une personne malveillante. 
  • Conformité : vous manipulez des données de santé au quotidien ? En cas de non-conformité au règlement, votre organisation s’expose à de lourdes sanctions. Faire appel à un prestataire vous garantit un respect strict des textes de loi en vigueur. 
  • Efficacité : avoir recours à un hébergeur de données de santé signifie aussi pouvoir davantage se concentrer sur son cœur de métier. Parce que l’entreprise ne possède pas forcément les compétences nécessaires, le professionnel prend en charge toute cette partie technique et veille au bon fonctionnement de votre système d’information. 

Confier l’hébergement des données de santé à un tiers semble être une solution avantageuse pour une entreprise. À condition de choisir LE prestataire qui saura répondre à vos exigences. Vous êtes amené à exploiter des informations médicales dans le cadre de votre activité ? EPHAD, clinique, laboratoire d’analyse, centre de rééducation… PROXIVAL vous accompagne dans tous vos projets. Certifiée HDS et spécialisée dans le stockage des données de santé, notre entreprise vous propose un service sur mesure, adapté à vos besoins et à votre rythme. 

Partagez cet article

Abonnez vous à notre newsletter pour bénéficier de toutes les actualités et articles de Proxival

Les autres articles

Scroll to Top