Dans le cadre de la mise en conformité au RGPD des personnes qui hébergent des données de santé, se pose la question de leur certification et/ou agréement prévu à l’article L 1111-8 du Code de la Santé Publique (CSP).

Le décret du 26 février 2018, pris en application de cet article, définit l’activité d’hébergement de donnée de santé (HDS), mais ne précise pas si celle-ci concerne l’hébergement en interne, ou en externe de ces données, autrement dit s’il s’agit d’un hébergement effectué par un responsable de traitement, ou un sous-traitant.

D’où en pratique des problèmes d’interprétation : certains considèrent que cette réglementation s’applique à l’hébergement en interne de données de santé, tandis que d’autres considèrent qu’elle ne s’applique qu’à l’hébergement externalisé.

Examinée sous le prisme du RGPD, la réglementation sur l’hébergement de donnée de santé semble ne s’appliquer qu’à l’hébergement externalisé auprès d’un sous-traitant (1), et non à l’hébergement en interne de telles données par un responsable de traitement (2).

1/Un hébergement externalisé auprès d’un sous-traitant.

Selon l’article L 1111-8 du Code de la santé publique, la réglementation sur l’hébergement de donnée de santé s’applique à : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même (…) ».

L’article R1111-8-8 I du CSP crée par le décret du 26 février 2018 précise que cette activité d’hébergement est effectuée :
« 1° Pour le compte de personnes physiques ou morales, responsables de traitement au sens de la loi n° 78-17 du 6 janvier 1978, à l’origine de la production ou du recueil de ces données ;
2° Pour le compte du patient lui-même. »

L’article R1111-8-8 du CSP I 1°prévoit donc que l’hébergement de données de santé peut être effectué pour le compte d’un responsable de traitement, ou pour le compte du patient lui-même.

Pour le compte d’un responsable de traitement.

L’article R1111-8-8 I 1° du CSP précise que l’hébergement « pour le compte de personnes physiques ou morales », est effectué pour le compte de « responsables de traitement au sens de la loi n° 78-17 du 6 janvier 1978 ».

Or un traitement effectué pour le compte d’un responsable de traitement est lui-même défini, par le Règlement Général sur la Protection des Données (RGPD), comme une opération de sous-traitance.

En effet, selon l’article 4 8) du RGPD, un « sous-traitant », est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

L’hébergeur de donnée de santé agissant « pour le compte de personnes physiques ou morales, responsables de traitement au sens de la loi n° 78-17 du 6 janvier 1978 » est donc un sous-traitant au sens du RGPD.

On peut par conséquent en déduire que, dans le cas d’un hébergement de données de santé pour le compte d’un responsable de traitement, la réglementation susvisée vise l’hébergement effectué par un sous-traitant, et donc externalisé, et non l’hébergement en interne de telles données.

Pour le compte du patient « lui-même ».

Concernant l’hébergement effectué pour le compte du « patient lui-même », l’article R1111-8-8 ne le qualifie pas de « responsable de traitement ».

Et pour cause : le patient lui-même n’est pas un responsable de données personnelles au sens du RGPD, il agit à des fins « strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale » (Considérant 18 du RGPD). Il en résulte que de telles activités de traitement échappent à la qualification de responsable de traitement de données.

Néanmoins l’absence de référence à cette qualification, n’exclut pas l’application du RGPD aux responsables de traitement ou aux sous-traitants qui fournissent des moyens de traitement aux personnes agissant à de telles fins personnelles ou domestiques.

En effet, le considérant 18 du RGPD prévoit : « Toutefois, le présent règlement s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. »

Autrement dit, un sous-traitant peut agir pour le compte non seulement d’un responsable de traitement mais aussi d’un simple particulier agissant à des fins domestiques, personnelles.

Partant de là, l’hébergement de donnée de santé tel que prévu à l’article L. 1111-8 du Code de la santé publique doit être interprété en ce sens qu’il est effectué par un sous-traitant agissant pour le compte d’un responsable de traitement, ou pour le compte du patient lui-même.

En revanche, la réglementation spécifique à l’hébergement de donnée de santé n’apparaît pas applicable à l’hébergement « en interne » de données de santé par un responsable de traitement.

2/L’hébergement « en interne » par un responsable de traitement.

La personne qui héberge en interne des données de santé n’agit pas en qualité de sous-traitant, pour le compte d’un responsable de traitement de donnée, ou du patient lui-même.

En effet, un médecin ou un établissement de santé n’agissent pas sur instruction, pour le compte de leurs patients. Ils hébergent des données de santé dans un dossier médical, lequel est strictement réglementé par le Code de la santé publique.

De même, un service de santé au travail en entreprise, n’agit pas sur instruction, et pour le compte de ses salariés, ou en cas de service interentreprise (SSTI), pour le compte de ses adhérents. Ces personnes agissent comme responsable de traitement, conformément à la réglementation applicable (Code du travail).

L’ensemble de ces personnes déterminent en effet les finalités et les moyens de traitement des données en fonction de la réglementation applicable, et non sur instruction de patients, de salariés, ou d’adhérents.

Or l’hébergement de donnée de santé, au sens des articles L. 1111-8 et s. du CSP intervient « pour le compte de », et donc en qualité de sous-traitant.

Médecins, établissements de santé, services de santé au travail n’apparaissent pas ainsi comme étant des sous-traitants, et donc des hébergeurs de donnée de santé au sens des articles susvisés.

Par ailleurs, le Décret n° 2018-137 du 26 février 2018 relatif à l’HDS précise lui-même qu’il « détermine les conditions d’application de l’obligation, pour toute personne physique ou morale à l’origine de la production ou du recueil de ces données de santé, de recourir à un hébergeur certifié ou agréé lorsqu’il externalise la conservation des données dont il est responsable ». [1]

Le décret du 26 février 2018 n’apparaît pas ainsi applicable à l’hébergement « en interne » de données de santé, et ce type d’hébergement ne devrait donc pas faire l’objet d’une certification HDS, ou d’un agrément.

De plus, il ressort de l’explication du gouvernement que « Par cet encadrement, le législateur souhaite garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs sanitaire, social et médico-social confient les données de santé qu’ils produisent ou recueillent, (…)  » [2]

Le gouvernement interprète donc son propre décret comme visant l’hébergement par des tiers aux responsables de traitement, autrement dit externalisé.

L’hébergement en interne de donnée de santé ne devrait pas ainsi faire l’objet de la certification et/ou de l’agrément prévus par l’article L1111-8 du CSP.

Ce qui n’exclut pas bien entendu que ces personnes soient tenues à une obligation de sécurité de telles données (article 32 du RGPD), et doivent respecter des référentiels d’interopérabilité et de sécurité (Article L1110-4-1 du CSP).

En revanche, un sous-traitant qui héberge pour le compte d’un responsable de traitement ou d’un patient des données de santé devra s’assurer qu’il est bien certifié et/ou agrée. Ce qui peut être le cas par exemple d’un patient qui demande à un hébergeur de sauvegarder ses données dans un cloud, ou d’un établissement de santé (hôpital ou clinique) qui demande à un sous-traitant d’héberger des dossiers médicaux.

Précisons que l’activité d’hébergement n’est pas limitée à la sauvegarde de donnée mais s’étend également à l’activité d’infogérance (article R1111-9 du CSP), et que le contrat d’hébergement de donnée de santé est strictement règlementé par l’article R. 1111-11 du CSP. L’hébergeur, en tant que sous-traitant, devra enfin se conformer aux dispositions du RGPD, et notamment à son article 28.

Dans tous les cas, il est clair que les articles du Code de la santé publique sur la qualification d’hébergeur de donnée de santé manquent de clarté, et de cohérence avec le RGPD.

Dans son avis du 12.10.2017 portant sur le projet de décret relatif à l’hébergement de donnée de santé, la CNIL avait déjà souligné le manque de précision de la qualification d’HDS. [3]

Comme quoi la sécurité juridique et la sécurité des données personnelles sont deux choses bien distinctes mais aussi intimement liées : il ne peut y avoir de sécurité des données personnelles sans un bonne sécurité juridique.

Arnaud Dimeglio, Avocat spécialiste en droit des nouvelles technologie, droit de l'informatique et de la communication

Comentaires:

• 
  précision sur l’hebergeur, olivier, 12 février 2024

  La notion de sous-traitant s’entend très bien pour un hébergeur de type cloud ou infogérance. Toutefois, est-ce la même chose pour un hébergeur qui ne fournirait qu’un emplacement physique dans son datacenter avec des service de fournitures de climatisation et d’électricité ?
  A comprendre que l’hébergeur n’a dans ce cas-ci aucun accès au système d’information du responsable de traitement et c’est le responsable de traitement lui même qui positionne ses serveurs, ses baies de stockage et qui les administre.