Les questions autour des données de santé sont particulièrement présentes depuis l'annonce par le gouvernement du projet Health Data Hub (HDH) qui vise à garantir un accès unifié aux données de santé afin d'améliorer la qualité des soins et l'accompagnement des patients.
Cela a généré un intérêt accru de prestataires externes souhaitant être référencés sur l'HDH et de nombreux questionnements sur la position à adopter vis-à-vis des données de santé.
Le règlement européen sur la protection des données personnelles (RGPD) fournit une définition très large des données de santé :
"Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne."
Afin de mieux définir le périmètre relatif aux données de santé, nous pouvons observer trois catégories de données :
Les données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.)
Les données qui le sont via un croisement avec d'autres données permettant de déduire l'état de santé d'un individu (par exemple le poids d'une personne pouvant le placer dans un risque d'obésité)
Les données de santé en raison de leur destination sur un plan médical (par exemple la transmission d'une ordonnance)
Nous pouvons donc noter que la notion de données de santé est très large et doit être appréciée au cas par cas : en fonction de la nature des données, des croisements réalisés et des conclusions qui peuvent être tirées.
Une application web ou mobile utilisant des données de santé doit obligatoirement être hébergée chez des prestataires possédant la certification "Hébergeurs de Données de Santé" (HDS).
Les deux hébergeurs internationaux les plus importants sont Amazon Web Service (AWS) et Microsoft Azure ainsi qu'OVH au niveau français. Mais il existe beaucoup d'autres prestataires d'hébergements en France qui possèdent la certification comme Pictime Group, Ozytem, Cyllene, etc.
Cependant, une surveillance accrue est tournée vers les hébergeurs américains. En juillet 2021, la Cour de Justice de l'Union Européenne (CJUE) a rendu une décision historique invalidant le Privacy Shield :
"Accord dans le domaine du droit de la protection des données personnelles, qui a été négocié entre 2015 et 2016 entre l'Union européenne et les États-Unis d'Amérique"
Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines de données transférées depuis l’Union Européenne ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union.
La CNIL avait déjà fait part de ses réserves sur le choix de Microsoft Azure pour l'hébergement du Health Data Hub.
Il serait possible d'en déduire que, même si des interdictions ne rentrent pas en vigueur pour le choix d'un hébergeur américain, une attention accrue sera portée à la gestion des flux de ces données sensibles et nous pourrions possiblement observer de nouvelles réglementations dans les prochains mois.
Si vous deviez choisir un hébergeur non-français, il est conseillé d'identifier si des transferts de données personnelles hors de l'Union Européenne peuvent être mis en place (pour des raisons de maintenance de serveurs par exemple).
Si c'est le cas, il faut vérifier la légalité de ces transferts dans des pays tierce d'un point de vue de respect de la RGPD. Cette partie doit normalement être analysée par l'organisme procédant au transfert mais il faut y prêter attention lors de la mise en place du contrat d'hébergement.