Questions fréquentes

L’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé a pour objectif d’organiser et d’encadrer la conservation et la restitution des données de santé à caractère personnel recueillies à l’occasion d’activité de prévention, de diagnostic, de soin ou de suivi social et médico-social, dans des conditions propres à garantir leur confidentialité et leur sécurité.

Par cet encadrement, le législateur souhaite garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs sanitaire, social et médico-social confient les données de santé qu’ils produisent ou recueillent, notamment en mesurant l’impact de l’activité du prestataire sur la protection des données, au travers des critères de sécurité à l’état de l’art « disponibilité, intégrité, confidentialité et auditabilité (DICA) » notamment visés par l’ANSSI et les normes ISO.

Cette confiance dans les tiers agissant pour le compte de ces acteurs sanitaires et sociaux et médico-sociaux est donnée au travers de l’obligation d’être certifiés « HDS ».

Lorsqu’un professionnel de santé reçoit une version 2 d’un document CDA avec un ordre de remplacement (ou de suppression) de la version 1, alors que cette version 1 n’a pas encore été classifiée dans le dossier patient au moment de la réception :

Il convient de se référer à l’exigence SC.CDA/VISU.02, qui impose que :

Lorsque le système stocke plusieurs versions d’un document, il doit permettre à l’utilisateur de visualiser la dernière version ainsi que les versions précédentes.

Aucun complément n’étant précisé dans le REM, les modalités d’implémentation sont laissées à l’appréciation de l’éditeur.

À titre indicatif, il peut être pertinent de :

• mettre en place des mécanismes d’alerte (ex : pop-up) pour informer l’utilisateur,
• et proposer un outil de comparaison entre versions, afin de faciliter la compréhension des évolutions du document.

Cette exclusion couvre uniquement les activités suivantes citées dans le décret : « le traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données ».

Pour rappel, l’article R. 1111-8-8.-I. alinéa 4 dispose : « Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données. »

L'hébergeur d'un système d'archivage électronique de données de santé à caractère personnel doit être certifié HDS dès lors que les données de santé à caractère personnel ont été recueillies à l'occasion d'activité de prévention, de diagnostic, de soins ou de suivi social et médico-social et que cet hébergement est réalisé pour le compte de la personne concernée ou des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Lorsqu’un document CDA comporte plusieurs versions (par exemple versions 1 et 2 avec un même setId) et qu’une version 3 est reçue avec un ordre de remplacement ou de suppression visant uniquement la version 2 :

En l’absence de précisions dans le REM, aucune contrainte spécifique n’est définie concernant la gestion de la version 1.
Il appartient donc à l’éditeur de retenir l’option la plus adaptée aux usages des professionnels de santé, notamment en matière de conservation ou de visibilité des versions antérieures.

Exemple de cas d'usage : les coffres forts numériques où l'utilisateur peut stocker des données de santé à caractère personnel.

Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :

1. La prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure i) les vaccinations, ii) les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires), iii) d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.).
2.  La prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc.
3.  La prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).

Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.

L’hébergeur doit être certifié sur toutes les activités qui constituent son offre (y compris sur les activités de son offre sous-traitées). 
 

La responsabilité conjointe de traitement déclarée entre deux organismes ne fait pas disparaître l'obligation de certification HDS si les autres conditions sont remplies. En effet, dans la mesure où la détermination de la responsabilité conjointe de traitement relève de leur appréciation, on ne peut pas considérer qu'ils pourraient décider de se soustraire à l'obligation de certification, par cette seule décision.

L’article L.1111-8 du code de la santé publique dispose que :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».