A ce jour, l’activité dite « d’administration et d’exploitation d’applications du système d’information (« SI ») de santé », correspondant à l’activité 5 de la certification Hébergeur de Données de Santé (« HDS »), n’a toujours pas été supprimée du périmètre de la certification, malgré les questionnements qu’elle suscite du fait notamment de son absence de définition.
Avant d’aborder le projet de suppression de l’activité 5 de la certification, le présent article fait le point sur :
- l’obligation de certification ou d’agrément HDS et
- les sanctions encourues à défaut de certification ou d’agrément,
- les différentes activités d’hébergement.
L’obligation de certification ou d’agrément HDS
L’hébergement des données de santé à caractère personnel est encadré en France par les articles L.1111-8 et R.1111-9 et suivants du Code de la santé publique (CSP).
L’ordonnance n°2017-27 du 12 janvier 2017 relative à l’hébergement des données de santé à caractère personnel(1), ainsi que son décret d’application(2), ont apporté des modifications à la procédure d’agrément en posant les principes d’une certification.
Conformément à l’article L.1111-8, I, du CSP, la règlementation applicable à l’hébergement de données de santé concerne :
« Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même (…) .
L’hébergement, quel qu’en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.
La prestation d’hébergement de données de santé à caractère personnel fait l’objet d’un contrat ».
Ce texte pose l’obligation, pour toute personne physique ou morale à l’origine de la production ou du recueil de ces données de santé, de :
- recourir à un hébergeur certifié ou agréé lorsqu’elle externalise la conservation des données dont elle est responsable.
Conformément à l’article L.1111-8, II et III, du CSP, les hébergeurs de données de santé doivent selon le cas être titulaire d’un :
- certificat de conformité, délivré par des organismes de certification accrédités par l’instance française d’accréditation, ou d’un
- agrément délivré par le ministre chargé de la culture.
Le critère de distinction
Le texte précité opère une distinction, selon que l’hébergement des données de santé à caractère personnel sur support numérique :
- concerne un service d’archivage électronique, auquel cas l’hébergeur doit obtenir un certificat de conformité ;
- concerne un service d’archivage électronique, auquel cas l’hébergeur doit obtenir un agrément délivré par le ministre de la Culture.
Selon l’article L.1115-1 du CSP, encourt trois ans d’emprisonnement et de 45 000 euros d’amende :
- toute prestation d’hébergement de données de santé sans agrément ou certificat de conformité prévu par l’article L.1111-8 ou
- tout traitement de ces données sans respecter les conditions de l’agrément obtenu.
Les différentes activités d’hébergement
Conformément à l’article R.1111-9 du CSP, les certificats sont délivrés pour des activités précises de l’hébergeur.
Le périmètre des activités d’hébergement certifiées couvre la mise à disposition et le maintien en condition opérationnelle :
- des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
- de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
- de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
- de la plateforme d’hébergement d’applications du système d’information ;
- l’administration et l’exploitation du système d’information contenant les données de santé ;
- la sauvegarde des données de santé.
L’agence du numérique en santé répertorie sur son site internet les hébergeurs certifiés(3) ou agréés (sous l’ancienne procédure)(4).
Dans cette liste, plusieurs groupes américains possèdent leurs serveurs à l’étranger (Amazon Web Services, Google Cloud Services, Microsoft Corporation).
Lorsque le périmètre d’activités comprend uniquement les activités numérotées 1 et/ou 2 :
- l’évaluation de l’hébergeur porte sur la conformité aux exigences s’appliquant aux hébergeurs d’infrastructure physique ;
- il s’agit d’une certification « hébergeur d’infrastructure physique ».
Lorsqu’il comprend uniquement les activités numérotées de 3 à 6 :
- l’évaluation porte sur la conformité aux exigences s’appliquant aux hébergeurs infogéreurs ;
- il s’agit d’une certification « hébergeur infogéreur ».
Enfin, lorsqu’il comprend comprend au moins une activité appartenant aux deux périmètres :
- l’évaluation de l’hébergeur porte sur la conformité à toutes les exigences obtenues pour les deux périmètres de certification.
Le projet de suppression de l’activité 5 et ses enjeux
Dans un FAQ intitulé « Explicitation du champ d’application du cadre juridique de l’hébergement de données de santé » élaboré par le ministère chargé de la Santé, il a été précisé courant 2019 à propos de l’activité 5 :
Question 5 : Quels sont les acteurs qui doivent être certifiés au titre de l’activité 5 (administration et exploitation du système d’information de santé) ?
Cette activité, relative à l’application métier, a conduit de nombreux acteurs (éditeurs de logiciels, fabricants de dispositifs médicaux, etc.) à s’interroger sur la nécessité d’être certifiés. Conscient que cette activité est effectivement à la limite de ce qu’on qualifie normalement d’hébergement, mais que cette activité est néanmoins importante dans la chaîne de sécurité des données de santé à caractère personnel, le ministère chargé de la Santé va engager des travaux pour étudier l’opportunité et les modalités d’encadrement de l’activité d’administration et d’exploitation d’applications. Ces travaux pourront déboucher sur la mise en place d’un dispositif spécifique pour encadrer au mieux l’activité correspondante quelle que soit la nature et la taille de la structure qui la réalise. Une modification du décret HDS pourrait être nécessaire pour préciser l’encadrement de l’ « activité d’administration et d’exploitation des SI de santé» telle qu’elle est actuellement définie dans le référentiel HDS.
La réflexion sera conduite dans une approche globale du sujet de sécurité et de qualité des applications, du point de vue de la confidentialité des données de santé à caractère personnel comme de celui du bon fonctionnement des applications.
L’on peut en effet regretter l’absence de définition de cette activité 5 ou son caractère insuffisamment circonscrit. Toutefois, il n’existe à ce jour aucun dispositif spécifique permettant d’encadrer différemment l’activité 5.
Nous ne manquerons pas de mettre à jour cet article et de vous tenir informés d’une éventuelle évolution règlementaire.
Isabelle Chivoret
Lexing Santé numérique