RGPD et HDS : quelle compatibilité ?


6 mars 2018

RGPD et HDS : de nouvelles réglementations pour renforcer la protection des données de santé à caractère personnel et bâtir un écosystème de confiance autour de la santé numérique.

Le nouveau règlement européen sur la protection des données personnelles (connu sous le nom RGPD, Règlement Général sur la Protection des Données) entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique. Le RGPD opère un changement de paradigme en passant d’une logique de formalités préalables à une logique de conformité continue tout au long du cycle de vie de la donnée et reposant sur une responsabilisation accrue des acteurs.

D’application directe, le règlement prévoit que les États membres peuvent disposer de certaines marges de manœuvre notamment concernant la gestion des données sensibles, dont font partie les données de santé à caractère personnel. L’article 9-4 du RGPD précise que « les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé ».

Consultée sur le projet de loi1 élaboré par le Gouvernement pour permettre l’application effective du texte européen, la CNIL2 souligne que la France a fait un usage raisonnable des marges de manœuvres qui lui étaient accordées, réservant la mise en œuvre de spécificités nationales aux seuls cas qui le justifient absolument, et notamment certains traitements de données de santé à caractère personnel pour lesquels des formalités préalables seront maintenues.

Concernant la règlementation sectorielle, un cadre règlementaire unique en Europe applicable à l’Hébergement de Données de Santé à caractère personnel (HDS) a été établi en France par la loi 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé. L'activité d'hébergement de données de santé à caractère personnel est subordonnée à l'obtention préalable d'un agrément, délivré par le ministère de la Santé, et dont les conditions d’obtention sont fixées par le décret n° 2006-6 du 4 janvier 2006.

L’ordonnance du 12 janvier 2017, prise en application de la loi de modernisation de notre système de santé du 26 janvier 2016, a remplacé la procédure d’agrément par une procédure de certification qui entrera en application au plus tard le 1er janvier 2019. Comme le souligne l’Agence des Systèmes d’Information Partagés (ASIP) en santé, les objectifs poursuivis par la nouvelle procédure de certification sont d’inscrire la démarche dans une procédure bien connue du monde industriel (notamment la certification ISO 27001) et d’accroître la fiabilité du contrôle des exigences par des audits sur site, elle permettra également une meilleure lisibilité au niveau international.

Une complémentarité au service de la sécurité numérique dans le domaine de la santé

Les réglementations HDS et RGPD, si elles se recoupent sur certains principes communs apparaissent également complémentaires. Le RGPD définit des obligations générales comme la nomination d’un DPO, la déclaration des incidents de sécurité ou en encore la réalisation d’analyse d’impact sur la vie privée. La réglementation HDS précise et renforce les mesures de sécurité à mettre en œuvre et les rend applicables avant toute opération d’hébergement.

Les mesures issues du RGPD se trouvent ainsi renforcées sur au moins deux aspects :

  • D’une part, l’instauration d’une obligation a priori pour les hébergeurs de données de santé à caractère personnel d’obtenir une certification à cet effet avant tout hébergement des dites données ;
  • D’autre part, le renforcement des exigences de sécurité applicables aux hébergeurs de données de santé à caractère personnel.

Les exigences de sécurité applicables sont issues des normes ISO27001, ISO20000, ISO27017 et ISO 27018 et sont complétées par des exigences spécifiques au domaine de la santé. Elles permettent de couvrir un large spectre de thématiques relatives aussi bien à la sécurité physique, la sécurité logique ou à la sécurité organisationnelle. La norme ISO27018 relative à la protection des données personnelles dans le Cloud permet en outre d’introduire des exigences spécifiques pour la protection des données de santé à caractère personnel notamment :

  • L’obligation pour le sous-traitant de coopérer avec le responsable de traitement en matière de respect des droits des personnes ;
  • Le respect des finalités de traitement ;
  • La minimisation des données ;
  • La transparence et la traçabilité en cas de communication des données notamment en cas de requête légale ;
  • La transparence en matière de recours à la sous-traitance ;
  • La transparence en cas d’atteinte à la sécurité des données ;
  • La transparence en matière de localisation des données et en cas de transfert.
  • La réalisation d’audits

Ces exigences sont également présentes au niveau du RGPD dans une logique de conformité continue. Ainsi, du fait du recoupement de ces deux règlementations, la mise en œuvre d’une certification HDS pourra ainsi servir d’outil de conformité à la réglementation RGPD (voir chapitre ci-dessous).

Des champs d’application légèrement différents

Même si les réglementations RGPD et HDS sont complémentaires, elles présentent néanmoins des écarts en matière champ d’application. En effet, le RGPD est applicable à l’ensemble des traitements de données à caractère personnel réalisés sur le territoire de l’Union Européenne ou bien relatives à des personnes concernées qui se trouvent sur le territoire de l'Union. Cela inclut notamment les traitements relatifs aux données de santé définies au niveau du règlement comme étant « des données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

Le champ d’application de la réglementation relative à l’hébergement de données de santé défini à l’article L1111-8 du code de la santé publique est quant à lui plus restrictif. En effet bien qu’élargi par la loi Touraine 2016-41 du 26 janvier 2016 qui a consacré l’interprétation extensive qu’en faisait la CNIL et le comité d’agrément des hébergeurs, le champ d’application de la certification HDS ne concerne que les données de santé à caractère personnel « recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données ou pour le compte du patient lui-même ». Ainsi, l’obligation de recourir à un hébergeur agréé ne s’impose qu’en cas d’externalisation. Lorsque le responsable d’un traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social conserve par ses propres moyens lesdites données, il n’est pas soumis à l’agrément. Ce n’est que si l’établissement de santé, par exemple, décide de confier la conservation des données de santé à un prestataire tiers, que ce dernier devra être agréé3.

De plus, une lecture stricte de ce champ d’application pourrait laisser à penser qu’il ne s’applique pas à toutes les données de santé, mais uniquement à celles collectées et/ou produites dans un contexte et avec une finalité médicale ou médico-sociale excluant ainsi de son champ d’application les traitements réalisés notamment par les mutuelles ou les compagnies d’assurances.

La définition du contour reste floue ; ainsi, si l’ASIP Santé, lors de la dernière Journée Nationale des industriels qu’elle a organisée, confirmait qu’en cas d’externalisation les organismes de complémentaire santé devaient recourir à un hébergeur agréé, la question des assureurs restait à clarifier ainsi que celle des prestataires qui sont amenés à avoir accès à des données de santé pour l’exécution d’une mission mais qui n’ont pas vocation à les conserver4.

Le futur décret relatif aux modalités de certification des hébergeurs de données de santé permettra peut-être des clarifications.

On peut s’interroger sur la pertinence d’opérer une différentiation sur le niveau de protection à accorder à deux types de données de santé compte tenu de la finalité du législateur qui est de protéger les bases de données de santé afin de préserver la vie privée des individus. La restriction au seul critère de l’utilisation des données apparait limitée et crée des incertitudes en laissant des données aux frontières de différents concepts dans une zone grise et en excluant d’autres traitements de données de santé à personnel dont la finalité n’est pas clairement ou immédiatement médicale. La qualification du régime applicable n’est pas sans conséquence puisqu’elle permettra notamment de déterminer si les données concernées doivent bénéficier d’une protection accrue et être ou non hébergées chez un prestataire certifié. L’intérêt de cette question s’accroit d’autant plus en considérant la définition de la donnée de santé donnée par le RGPD. En effet, le règlement européen opte pour une définition large, le considérant 35 du texte précisant que les données de santé comprennent « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèle des informations sur l’état physique ou mentale passé, présent ou futur de la personne concernée » et s’entendent notamment des « informations collectées en vue de l’inscription » pour bénéficier d’une prestation de service de soins de santé ou lors de cette prestation ou encore de « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro ».

La certification HDS : un outil de conformité au RGPD

Malgré ces différences au niveau des champs d’application, les règlementations RGPD et HDS n’en demeurent pas moins compatibles et complémentaires. Dans un contexte de responsabilisation des acteurs dans le cadre du RGPD, et en considérant les deux champs d’application, l’hébergement de données de santé à caractère personnel dans un environnement certifié apparait en effet comme étant soit obligatoire, soit fortement recommandé s’agissant par exemple des données qui se situent dans la zone grise ou des données de santé dont la finalité n’est pas clairement médicale et pour le traitement desquelles un hébergement dans un environnement certifié pourrait constituer un atout concurrentiel. De même, pour des responsables de traitement qui n’y seraient pas soumis car n’externalisant pas cette activité, la certification HDS pourrait être utilisée comme un outil de conformité au RGPD. La certification garantit en effet la mise en place un SMSI ou Système de Management de la Sécurité de l’Information et met en application des exigences de sécurité renforcées issues de normes internationalement reconnues.

Qu’il fasse le choix de se faire certifier, ou qu’il s’appuie sur un sous-traitant hébergeur certifié, et en mettant en œuvre les exigences complémentaires sur le périmètre restant sous sa responsabilité, un responsable de traitement pourra constituer un ensemble cohérent et complémentaire lui facilitant ainsi la démonstration de sa conformité aux exigences du RGPD.