L’hébergement des données de santé


03 Janvier 2017

Dossier-L-hebergement-des-donnees-de-sante_full-width

Dans un monde global et digital, l’hébergement des données personnelles de santé n’est plus l’apanage de quelques acteurs isolés. Dossiers médicaux dématérialisés, dispositifs médicaux connectés, applications de santé : les nouveaux outils encouragent plus que jamais la collecte, le stockage et le partage de données de santé entre hôpitaux, médecins, chercheurs, laboratoires, patients et prestataires de services. Pour garantir le respect des droits et de la vie privée des patients tout en exploitant le potentiel extraordinaire du Big Data, la France a énoncé de nouvelles règles relatives à l’hébergement des données personnelles de santé. Entre ouverture et sécurité, la loi française promet de s’adapter au futur de l’e-santé.

Chiffres clefs

Entre 2009 et mai 2016, le Comité d’agrément a reçu près de 280 dossiers, 96 hébergeurs de données de santé ont été agréés, près de 100 décisions d’agréments sont actuellement en cours.
http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

L'hébergement des données de santé chez Orange Healthcare

Orange Healthcare, pour coller aux besoins de ses clients, a fait de la protection des données sa priorité.
Orange a ainsi été le premier opérateur de télécommunications en France à obtenir l’agrément d’hébergeur de données de santé à caractère personnel, au terme d’un processus de vérification long et poussé, couvrant un grand nombre de champs, de l’accès aux données à l’évaluation des risques, en passant par l’autorisation et le contrôle.
Tiers de confiance, Orange Healthcare met ainsi son expertise aux services des établissements de soins pour l’hébergement, le stockage et l’archivage des données de santé à caractère personnel. L’offre Health Data Solutions (ouvre un nouvel onglet) est basée sur une technologie de Cloud Computing qui permet aux établissements et aux professionnels de santé de stocker et d’accéder à distance et à la demande aux données hébergées. Cette solution est entièrement adaptable aux besoins réels des établissements et à leur évolution au cours du temps pour leur garantir performance et agilité.

Découvrez notre offre d'hébergement de données de santé  (ouvre un nouvel onglet)

Pour plus d’informations sur notre offre d’hébergement de données de santé, contactez-nous.

Consulter un dossier médical à distance, transmettre les résultats d’un examen à un confrère pour partager un diagnostic, surveiller le rythme cardiaque d’un patient au quotidien… L’essor de la télémédecine est l’un des nombreux exemples qui illustrent l’importance que va prendre la donnée dans notre système de santé dans les années à venir. Cette matière brute et sensible, reliée à la vie privée des individus, fait ainsi l’objet d’une attention toute particulière de la part du législateur depuis quelques années. La loi de modernisation de notre système de santé du 26 janvier 2016 a ainsi modifié de façon significative l’encadrement des conditions d’hébergement des données de santé, en élargissant son champ d’application, et en organisant le remplacement de la procédure d’agrément par une procédure de certification des hébergeurs.

Un périmètre élargi à toute personne responsable du traitement de données de santé

La nouvelle loi stipule que : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ». La Loi de 2016 apporte ainsi des modifications à l’article L. 1111-8 du Code de la santé publique qui obligeait les « établissements de santé » et les « professionnels de santé » à recourir à un hébergeur agréé, en étendant cette obligation à « toute personne morale ou physique qui traite ou collecte des données à caractère personnel ». Cette précision permet d’inclure tous les acteurs susceptibles de traiter des données personnelles de santé et d’en externaliser le stockage, aussi bien l’hôpital qu’une compagnie d’assurances. « Le texte de 2002 pouvait donner lieu à une lecture restrictive, la notion d’ « établissement de santé » n’était pas assez claire pour assurer la protection des données du patient quel que soit son lieu de prise en charge », explique Kahina Haddad, juriste en droit de la santé et chef de projet de la procédure d’agrément au sein de l’ASIP santé1. En outre, la loi de 2016 s’applique sur une plus large catégorie de données, en incluant les données recueillies à l’occasion du « suivi social et médico-social », ce qui permet de lever une ambiguïté concernant les données prises en compte. Il ne s’agit pas seulement de protéger les données collectées par les médecins, les professionnels de santé, les hôpitaux et les cliniques, mais d’inclure aussi les données traitées par les maisons de retraite (EHPAD), les services de santé au travail ou encore les fédérations sportives.

Une procédure d’agrément revue en profondeur

La loi de 2016 semble vouloir revenir avec le plus de pragmatisme possible sur les lacunes de la procédure actuelle, qui organise la délivrance d’agréments pour 3 ans aux hébergeurs de données de santé. « Ce cadre a été posé en 2002 avec la loi Kouchner, avec l’objectif de sécuriser les bases de données de santé. En 2006 un décret² a mis en place une procédure qui s’est avérée trop longue et trop lourde administrativement. », précise K. Haddad. Et pour cause, le parcours imposé aux candidats à l’agrément fait intervenir de nombreux acteurs : la CNIL, un comité d’agrément composé de représentants de l’IGAS3, du CNOM4, de l’UNPS5, des associations de patients, des experts juridiques et informatiques, etc. Ces instances consultatives sont chargées d’émettre des avis soumis ensuite au ministère de la Santé, imposant ainsi des délais de traitement de 6 à 8 mois, incompatibles avec les business plan des industriels. Outre son caractère chronophage, cette procédure a aussi pour défaut de coûter cher à l’État qui prend en charge le service d’agrément, et de mal aiguiller les candidats dans la constitution de leur dossier. « Le décret de 2006 indiquait les objectifs à atteindre pour le candidat hébergeur, sans préciser les moyens techniques à mettre en œuvre pour y parvenir », souligne K. Haddad. La nouvelle procédure de certification apporte une réponse à ce manque de lisibilité, comme le précise Maître Pierre Desmarais, avocat en Droit de la santé et spécialiste des questions e-santé et innovation : « il n’y a actuellement aucune transparence, les candidats ne savent pas sur quel critère ils sont jugés. Nous allons passer à une procédure plus transparente avec un vrai référentiel. »

Un référentiel de certification basé sur des standards internationaux

La loi du 26 janvier 2016 permet au gouvernement de procéder par ordonnance pour remplacer la procédure actuelle d’agrément par une procédure de certification, qui sera confiée à des organismes privés et non plus à l’État. « La certification va permettre d’industrialiser la procédure, d’en diminuer le coût et de la rendre plus transparente et prédictible pour les industriels », explique K. Haddad. Pour ce faire, les industriels concernés et la DSISS ont d’ores et déjà planché sur un référentiel de certification commun, soumis à concertation publique durant le mois d’octobre 2016. « L’avantage majeur pour les industriels est que la certification sera basée sur des standards internationaux, des référentiels connus du monde industriel comme la norme ISO27001. Ceci va permettre à l’hébergeur d’évaluer en amont sa conformité au référentiel, de choisir le périmètre sur lequel il veut être certifié, et d’utiliser ces certifications à d’autres fins que l’hébergement de données de santé ». Du temps gagné et une meilleure maîtrise de la procédure du côté des hébergeurs, avec des exigences de sécurité stables, mais aussi la garantie d’un meilleur contrôle de ceux-ci, puisque la certification s’accompagnera d’un audit sur site organisé par l’organisme certificateur. La certification apporte ainsi une réponse au besoin de sécurisation des bases de données de santé et à la progression spectaculaire de l’informatisation des données de santé : « le nombre de dossiers de candidatures d’hébergeurs de données de santé explose, confie Kahina Haddad, nous avons besoin d’une procédure industrialisée pour répondre à l’accroissement de ce marché ».

1ASIP santé : Agence française de la santé numérique.
2Décret 2006-6 du 4 janvier 2006
3IGAS : Inspection générale des affaires sociales.
4CNOM : Conseil National de l’Ordre des Médecins.
5UNPS : Union Nationale des Professionnels de Santé.