Être ou recourir à un Hébergeur de Données de Santé ? : telle est la question

De nombreuses sociétés se disent souvent quand elles ont vocation à traiter de données de santé à caractère personnel, qu’il leur est obligatoire d’être certifié en tant qu’Hébergeur de Données de Santé (ci-après HDS), et ce en toute situation.

La question de savoir s’il est obligatoire pour une entreprise d’être certifiée HDS est centrale puisque l’obtention d’une telle certification implique de nombreux investissements liés à la réglementation applicable et par conséquent aux obligations incombant aux HDS.

Or, il pourrait s’avérer dommage qu’une entreprise réalisant tous ces efforts se rende compte, après coup, qu’elle pouvait en réalité sous-traiter l’hébergement des Données de Santé à un sous-traitant qualifié HDS.

Revenons donc sur les conditions permettant de déterminer si une entreprise doit être qualifiée d’HDS et obtenir un certificat ou un agrément pour pouvoir exploiter son activité.

Pour savoir valablement qui peut être qualifié d’hébergeur de données de santé, il convient de s’intéresser au Code de la Santé Publique qui en donne la définition (CSP).

Le régime applicable aux HDS est explicité à l’article L 1111-8 du CSP et complété par les dispositions réglementations R 1111-8-8 à R 1111-11 du CSP.

L’article L 1111-8 du CSP donne la définition suivante de l’HDS :

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et de médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

Il convient donc de retenir que pour être qualifié d’HDS, un acteur doit :

Ces conditions sont cumulatives. Ainsi si elles ne sont pas toutes remplies l’acteur ne peut pas être qualifié d’HDS. 

Dans ce cas, l’acteur peut recourir pour l’hébergement des données de santé traitées dans le cadre de son activité à un tiers qualifié HDS comme le confirme l’article R 1111-8-8 II. du CSP :

« Les responsables de traitement mentionnés au 1° du I, qui confient l’hébergement de données de santé à caractère personnel à un tiers s’assurent que celui-ci est titulaire du certificat de conformité mentionné au II de l’article L. 1111-8. ».

Au-delà de la définition donnée par le Code de la Santé Publique, il convient de se rapporter au référentiel de certification, en ce que ce référentiel pris en compte par l’organisme certifiant un acteur d’HDS donne parfois quelques précisions sur le régime applicable aux HDS.

En ce mois de mars 2024, le référentiel de certification applicable est celui daté de mai 2018. Ce référentiel n’apporte aucune précision sur la définition donnée par le Code de la Santé Publique.

Néanmoins, ce référentiel de certification devrait bientôt faire l’objet d’une mise à jour en 2024[1] via la notification d’une version révisée de ce référentiel communiquée à la Commission Européenne en décembre 2023[2].

Ce projet mise à jour de ce référentiel indique dans sa partie dédiée au champ d’application du référentiel que :

« la certification HDS s’applique à toute personne physique ou morale qui fournit tout ou partie d’un service d’hébergement de données de santé à caractère personnel et qui a la qualifié de sous-traitant au sens de l’article 28 du RGPD ». 

Cette définition ajoute donc une précision parmi les conditions de l’article L 1111-8 du CSP en énonçant expressément qu’un acteur peut être certifié HDS s’il a qualité de sous-traitant selon le RGPD, laissant entendre qu’un responsable de traitement au sens du RGPD ne peut pas être qualifié d’HDS.

En conclusion, pour savoir si un acteur doit obtenir une certification en tant qu’HDS, il est essentiel de savoir, dans un premier temps, si cet acteur réalise une activité d’hébergement.

Contrairement à ce que l’on pourrait s’imaginer, la notion d’hébergement évoquée dans le Code de la Santé Publique concernant les HDS n’est pas l’hébergement tel que défini par la loi LCEN généralement applicable concernant le secteur du numérique.

L’article L 1111-8 du CSP précise que l’hébergement peut être un hébergement réalisé sur un support papier ou bien sur un support numérique.

L’article R 1111-9 du CSP donne la définition de l’hébergement sur support numérique en dehors de la question d’archivage numérique.  Cette définition consacre une liste de 6 activités considérées comme de l’hébergement à savoir :

L’article R 1111-8-8 du CSP précise néanmoins que le fait de se voir confier les données de santé pour une courte période par les personnes physiques ou morales à l’origine de la production ou du recueil de données pour effectuer un traitement de saisie, de mise en forme, matérialisation ou dématérialisation de ces données ne peut pas être qualifié d’hébergement.

Bien qu’étant définies par le CSP, les activités d’hébergement n’apparaissent pas toujours claires, notamment dans le cadre des activités n°5 et n°6.

En pratique, des débats sur l’activité n°5 relative à l’exploitation d’un système d’information ont même conduit en 2021 le ministère de la santé et des solidarités à affirmer que la question de savoir si un acteur exploite un système d’information n’est pas précise et qu’à ce titre elle devrait faire l’objet d’une mise à jour[3]. Le ministère indique de ce fait être « conscient que l’activité 5 est à la limite de ce qu’on qualifie généralement d’hébergement » et déclaré engager des travaux sur ce sujet afin d’étudier l’opportunité et les modalités d’encadrement de l’exploitation d’application.

C’est donc en mars 2023, qu’un projet de mise à jour du référentiel de certification a été communiqué.

Favorablement accueillie par la CNIL, ce référentiel a été notifié le 5 décembre 2023 à la commission européenne et devrait être publié au premier trimestre 2024. Ce référentiel a pour objectif d’éclaircir cette activité n°5 mais également apporter des précisions sur l’activité n°6.

En conclusion, pour qu’un acteur puisse savoir s’il est qualifié d’HDS et doit être certifié dans le cadre de ses acteurs, il se doit de se référer à la définition d’HDS afin de voir s’il en remplit les conditions. La question de savoir si l’acteur concerné réalise un hébergement est parfois difficile à trancher, notamment pour certaines activités liées à l’exploitation de système d’exploitation et devrait faire l’objet de clarification prochainement.

En tout état de cause, et parce que ces données de santé sont des données sensibles, il est indispensable que les acteurs qui se lancent dans le traitement de ces données s’assurent de concevoir non seulement le système d’information qui les sécurise le mieux mais aussi qu’ils s’assurent que leur statut légal en tant qu’acteur soit clairement défini afin d’anticiper le niveau d’exigence qui sera attendu d’eux.

A bon entendeur…

Sadry PORLON (Avocat Fondateur) et Vicky BOUCHER (Avocate Collaboratrice)