En application des dispositions de l’article L 1111-8 du Code de la santé publique, sont habilités à déposer des données de santé à caractère personnel auprès des personnes physiques ou morales agréées à cet effet, les professionnels de santé ou les établissements de santé ou la personne concernée.
La prestation d’hébergement, quel qu’en soit le support, fait l’objet d’un contrat (1) conclu entre l’ hébergeur de données de santé et les personnes physiques ou morales à l’origine du dépôt des données de santé à caractère personnel (2). Un modèle de contrat doit être joint à la demande d’agrément (3) et intégrer a minima les neuf clauses énumérées à l’article R 1111-13 du Code de la santé publique.
En pratique, il est courant que l’hébergeur noue des relations contractuelles, non pas comme le veulent les textes, avec les seuls professionnels ou établissements assurant la prise en charge médicale de la personne concernée par les données ou la personne concernée elle-même, mais directement avec des acteurs ne relevant pas de ces catégories comme, en particulier, des éditeurs de logiciels du secteur de la santé.
Face à ces pratiques, l’ASIP Santé s’est prononcée sur la question de savoir si un établissement ou un professionnel de santé pouvait déposer des données de santé à caractère personnel auprès d’un éditeur de logiciel non agréé (4) : «[l’éditeur] peut également confier cette prestation d’hébergement d’applications en mode SaaS (ou équivalent) à un organisme tiers agréé hébergeur de données de santé à caractère personnel pour la même famille de service (service en mode SaaS)».
L’autorité a en outre précisé : « Le contrat d’hébergement conclu entre l’éditeur de logiciels et l’hébergeur agréé doit garantir le respect d’obligations énoncées à l’article R 1111-13 du Code de la santé publique (issu du décret 2006-6 du 4 janvier 2006) relatif au contrat d’hébergement et notamment prévoir les modalités de recueil du consentement de la personne concernée par les données de santé hébergées».
Ainsi, si l’Agence n’exclut pas la conclusion du contrat d’hébergement entre l’hébergeur et l’éditeur, il ressort clairement de ses recommandations que cette pratique ne doit en aucun cas permettre aux acteurs concernés de se soustraire aux dispositions légales ou réglementaires.
L’ASIP a donc adopté une interprétation extensive des textes. Pour autant, les pratiques qui en découlent sont parfaitement conformes à l’esprit de la loi qui vise à la protection de l’ensemble des données de santé à caractère personnel sans distinction selon l’acteur qui les traite.
Nul doute que ces pratiques à la marge des textes se verront encadrées par de nouveaux textes réglementaires d’ores et déjà annoncés. Dans l’attente, les industriels doivent veiller à se conformer aux principaux objectifs poursuivis par la réglementation relative à l’hébergement des données de santé, et en particulier, à assurer la sécurité, la confidentialité et la disponibilité des données, et à respecter les droits des personnes concernées.
Marguerite Brac de La Perrière
(1) CSP, art. L1111-8 al 2
(2) CSP, art. R1111-12-5
(3) Décret 2006-6 du 4-1-2006
(4) FAQ sur le référentiel de constitution des dossiers de demande d’agrément ; Asip, Guide de constitution des dossiers de demande