RGPD, hébergement des données de santé : quels impacts pour les acteurs de la santé ?

Article paru le 29 mai 2018 | Partager sur les réseaux sociaux

Classé dans : Newsletter Santé RGPD

Le Règlement Général sur la Protection des Données personnelles (RGPD) sera applicable dans l’ensemble des pays de l’Union Européenne dès le 25 mai 2018. Ce règlement remplace la Loi Informatique et Libertés de la CNIL, actuellement en vigueur en France. Son objectif est d’encadrer la collecte, l’utilisation et le stockage des données personnelles de chacun. Les données de santé ne constituent donc plus qu’une sous-partie du nouveau périmètre défini. En parallèle le cadre réglementaire de l’hébergement des données de santé évolue et devient plus exigeant.

Les principales différences du RGPD avec la Loi Informatique et Libertés consistent en des obligations et des responsabilités plus importantes et plus étendues pour le titulaire et principal responsable du traitement des données personnelles, mais aussi pour les sous-traitants et le nouveau délégué à la protection des données (DPO). L’ensemble des acteurs intervenant dans le traitement des données doit s’y conformer, quel que soit le pays (France, UE, hors UE), et ce pour l’ensemble des données collectées dans l’UE.

Une nouvelle démarche pour les hébergeurs de données de santé

En parallèle une évolution importante touche les hébergeurs de données de santé. Jusqu’en mars 2018, ils étaient tenus d’obtenir un agrément, instruit par l’ASIP Santé. Depuis le 1er avril, ils doivent détenir une certification qui ne peut être délivrée que par un organisme accrédité. Tous les hébergeurs de données de santé à caractère personnel doivent désormais être certifiés. L’agrément qui était valable 3 ans et délivré sur simple déclaration, est remplacé par une certification valable pour une durée de 5 ans accordée sur la base d’exigences contrôlées annuellement (près de 300).

Transition de l’agrément à la certification

La certification passe par un audit et couvre les normes suivantes :

  • ISO 27001 (système de gestion de la sécurité des systèmes d’information) : cette norme constitue l’essentiel de la certification ;
  • ISO 20000 (système de gestion de la qualité des services) ;
  • ISO 27018 (protection des données à caractère personnel).

Elle encadre également l’archivage électronique des données.

La certification est définie en deux périmètres distincts selon le métier de l’hébergeur :

  • Une certification pour les hébergeurs d’infrastructures physiques ;
  • Une certification pour les hébergeurs infogéreurs.

Les premiers sont responsables de la mise à disposition de locaux d’hébergement ou d’infrastructures physiques, alors que les seconds sont responsables de la mise à disposition des infrastructures virtuelles, des plateformes logicielles ou des systèmes d’information pour le traitement des données de santé. Ils peuvent également avoir en charge la sauvegarde externalisée de données de santé.

En pratique, peu d’organisations de la Santé, en particulier dans les Groupements Hospitaliers de Territoire, seront capables d’assumer seules ces nouvelles exigences. La question qui se pose est donc celle de la mutualisation avec d’autres acteurs plus importants pouvant proposer ce service (cas de certains GHT), ou de l’externalisation chez un hébergeur du marché.

Premières actions à mettre en œuvre par les acteurs de la santé :

Pour les acteurs de la santé, cette double évolution règlementaire nécessite d’adopter une approche concertée, particulièrement dans le contexte des Groupements Hospitaliers de Territoire (GHT). En premier lieu les acteurs doivent nommer d’ici le 25 mai 2018 un Délégué à la Protection des Données (DPO - Data Protection Officer). Il sera chargé d’instruire les actions prioritaires et de déterminer les meilleurs choix pour son organisation. Ces étapes peuvent être synthétisées de la façon suivante :

Étapes à réaliser, identifiées après la nomination d'un DPO

La preuve de la mise en place de la démarche et de son plan d’actions ainsi que la bonne volonté des acteurs seront des éléments déterminants aux yeux de la CNIL lors des premiers contrôles de conformité.

Combinant une double expertise métier et juridique, mc²i Groupe accompagne ses clients dans la mise en conformité au RGPD. Nous disposons notamment d’un des rares profils de DPO certifié Bureau Veritas. mc²i Groupe accompagne actuellement une vingtaine de clients sur des problématiques RGPD.
Partagez cet article sur les réseaux sociaux