FAQ CERTIFICATION HDS

Quel est l’objectif du régime juridique de l’hébergement de données de santé fixé à l’article L.1111-8 du code de la santé publique ?

Le Ministère apporte une précision à cette question dans le document suivant.

Précisions du Ministère sur le champs d’application HDS

(Question 1)

Quel est le champ d’application de la législation sur l’hébergement de données de santé à caractère personnel ?

Le Ministère apporte une précision à cette question dans le document suivant

Précisions du Ministère sur le champs d’application HDS

(Question 2)

Quelles sont les conditions à remplir pour héberger des données de santé à caractère personnel ?

Le Ministère apporte une précision à cette question dans le document suivant

Précisions du Ministère sur le champs d’application HDS

(Question 3)

Quelles activités entrent dans l’exclusion prévue à l’article R.1111-8-8-I alinéa 4 ?

Le Ministère apporte une précision à cette question dans le document suivant

Précisions du Ministère sur le champs d’application HDS

(Question 4)

Quels sont les acteurs qui doivent être certifiés au titre de l’activité 5 (administration et exploitation du système d’information de santé) ?

Le Ministère apporte une précision à cette question dans le document suivant

Précisions du Ministère sur le champs d’application HDS

(Question 5)

Qu’est-ce que la donnée de santé ?

Le règlement européen sur la protection des données personnelles donne une définition depuis avril 2016. Ce sont les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. Des précisions sont apportées sur le site de la CNIL

Dans quelle situation parle-t-on d'hébergement de donnée de santé ?

L’article L.1111-8 du code de la santé publique indique que : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient luimême, doit être agréée ou certifiée à cet effet ».

Dois-je informer le patient ?

L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime. L'obligation d'information pèse sur l'hébergeur. Il lui appartient de déterminer les modalités de délivrance de cette information (par lui-même ou par ses clients) et de les formaliser dans le contrat HDS.

Quelles sont les activités soumises à la certification HDS ?

Les activités entrant dans le périmètre de l’hébergement de données de santé sur support numérique sont définies en distinguant deux catégories de métiers « hébergeur de données de santé » :

  • L’hébergeur d’infrastructure physique pour les activités suivantes :
    • mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
    • mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.
  • L’hébergeur infogéreur pour les activités suivantes :
    • mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
    • mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
    • administration et exploitation du système d’information contenant les données de santé ;
    • sauvegarde externalisée de données de santé. Agence du Numérique en Santé – Foire aux questions sur l’hébergement des données de santé Juillet 2018

L’activité d’hébergement de données de santé à caractère personnel sur support numérique consiste à exercer pour le compte d’un tiers (responsable de traitement, patient, etc.) tout ou partie des activités listées ci-dessus. L’hébergeur devra être certifié sur le périmètre des activités qu’il propose.

Qui est concerné par l’hébergement de données de santé ?

Le Ministère chargé de la Santé précise que les personnes physiques ou morales concernées par l'hébergement de données de santé sont d’une part, les patients qui confient l’hébergement de leurs données de santé à un tiers, et d’autre part les responsables de traitements de données de santé à caractère personnel ayant pour finalité la prévention, la prise en charge sanitaire (soins et diagnostic) ou la prise en charge sociale et médico-sociale de personnes.