Délibération n° 2017-272 du 12 octobre 2017 portant avis sur un projet de décret en Conseil d'Etat relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (demande d'avis n° 17017671)

JORF n°0049 du 28 février 2018
texte n° 108



Délibération n° 2017-272 du 12 octobre 2017 portant avis sur un projet de décret en Conseil d'Etat relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (demande d'avis n° 17017671)

NOR: CNIX1805537X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par les ministères en charge des solidarités et de la santé, du travail, de l'éducation nationale et des sports d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés modifiée ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le code du patrimoine, notamment son article L. 212-4 ;
Vu le code des relations entre le public et l'administration ;
Vu le code de la santé publique, notamment son article L. 1111-8 ;
Vu la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé ;
Vu l'ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie le 30 août 2017 par les ministères en charge des solidarités et de la santé, du travail, de l'éducation nationale et des sports, d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (ci-après le « projet »).
Ce texte est pris en application des dispositions de l'article L. 1111-8 du code de la santé publique (CSP) modifié par l'ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement des données de santé.
Le projet définit les modalités de mises en oeuvre de la procédure de certification, le périmètre d'application de ce dispositif ainsi que la période de transition entre la procédure d'agrément et de certification.
Il procède également, de manière plus secondaire, à une modification mineure de certains des articles du code de la santé publique ayant trait aux hébergeurs et à la fonction d'hébergement ; ces dernières dispositions n'appellent pas d'observations de la part de la commission.
Sur le champ d'application de l'article L. 1111-8 du CSP
L'article L. 1111-8 du CSP énonce que la procédure de certification ou d'agrément est applicable à « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».
La commission relève que la rédaction de cet article a conduit de nombreux responsables de traitement à s'interroger sur l'obligation de recourir, ou non, à un hébergeur de données de santé ; à titre d'exemple, certains assureurs, lorsqu'ils externalisent l'hébergement des données recueillies dans le cadre des procédures de remboursement, estiment ainsi avoir l'obligation légale de faire appel à des hébergeurs répondant aux obligations issues de l'article L. 1111-8 du CSP, d'autres non. Une interrogation similaire se présente notamment pour les offres de stockage sur des serveurs distants (« cloud computing ») à destination des particuliers, qui ne présenteraient pas expressément leurs offres comme ayant vocation à héberger des données de santé.
L'article R. 1111-8-8. I du projet de texte a pour vocation de préciser le périmètre des activités d'hébergement soumises à certification. Il prévoit ainsi que :
« L'activité d'hébergement consiste à héberger les données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social :
1° pour le compte de personnes physiques ou morales, responsables de traitement au sens de la loi n° 78-17 du 6 janvier 1978, à l'origine de la production ou du recueil de ces données ;
2° pour le compte du patient lui-même.
Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, un hébergement temporaire de données n'ayant pas pour finalité d'organiser leur accès ou leur transmission au profit du responsable de traitement, du patient ou de tout professionnel participant à la prise en charge de la personne concernée par les données ».
La commission relève que ce projet d'article ne remplit pas pleinement l'objectif de précision des conditions d'application de l'article L. 1111-8 du CSP qui était le sien ; le seul ajout notable est la mention d'une exclusion à l'activité d'hébergement au sens de l'article L. 1111-8 du CSP. Sur ce dernier point, le ministère a précisé que cette disposition vise à exclure du champ du texte les opérateurs qui sont amenés à héberger temporairement des données de santé à caractère personnel à l'occasion d'une prestation dont la finalité n'est pas l'hébergement proprement dit (par exemple, la saisie informatique de comptes-rendus médicaux) effectuée pour le compte de l'acteur de santé.
La commission estime que le projet de décret devrait-être modifié pour lever les interrogations subsistantes sur le contour de l'obligation de recourir à un hébergeur de données de santé certifié.
Sur la procédure de certification
La commission relève que la sécurité des données liées à l'activité d'hébergeur certifié sera encadrée par un référentiel de certification.
Le projet énonce en effet dans son article 3 que :
« Toute personne physique ou morale assurant une activité d'hébergement sur support numérique de données de santé à caractère personnel mentionnées au I de l'article R.1111-8-8, doit être titulaire d'un certificat de conformité délivré par un organisme de certification accrédité pour la certification relative à l'hébergement de données de santé, par le Comité français d'accréditation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne membre de la coopération européenne pour l'accréditation et ayant signé les accords de reconnaissance mutuelle multilatéraux couvrant la certification considérée.
L'organisme de certification est accrédité conformément à un référentiel d'accréditation élaboré par le groupement d'intérêt public mentionné à l'article L. 1111-24 en lien avec les organismes d'accréditation concernés et approuvé par arrêté du ministre chargé de la santé.
Le certificat de conformité mentionné au II de l'article L. 1111-8 est délivré sur le fondement d'un référentiel de certification élaboré par le groupement d'intérêt public mentionné à l'article L. 1111-24 et approuvé par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l'informatique et des libertés. »
Ces éléments n'appellent pas d'observations de la commission.


La présidente,

I. Falque-Pierrotin