Hébergement de données – Le 24 septembre 2014, l’ASIP Santé a publié le rapport d’activité 2012-2013 du Comité d’Agrément des Hébergeurs de données de santé (CAH). Ce dernier y propose notamment la mise en place d’une procédure de certification des hébergeurs agréés.
Le CAH est un organe consultatif créé par le décret du 4 janvier 2006 (1). Il est en charge de l’analyse des dossiers de demandes d’agréments, c’est-à-dire, pour la période 2012-2013, de 70 dossiers (pour 40 dossiers agréés).
Dans son rapport d’activité d’une soixantaine de pages, la CAH adopte une vision pragmatique à la procédure d’agrément et précise : « le périmètre de l’hébergement agréé ne peut être fixé dans les tables, il doit évoluer avec la vie des professions, les développements technologiques ».
La CAH soulève à ce titre qu’ « une réflexion forte et urgente doit, par exemple, se mettre en place sur les bases détenues par les assureurs privés et publics », grands oubliés de la loi « Kouchner » du 4 mars 2002 (2).
Si une analyse littérale des dispositions législatives conduit à exclure les organismes d’assurance du champ d’application de la procédure d’agrément ou certaines données de santé, l’ASIP Santé relève que toutes les données de santé (à l’exception de celles recueillies ou produites à l’occasion des activités de recherche) doivent faire l’objet de la même protection par la réglementation.
Les données de santé à caractère personnel doivent bénéficier de la même confidentialité et sécurité, quelque soit leur origine ou l’acteur responsable de leur hébergement.
Soutenant cette analyse, le rapport de la CAH précise que « les caisses d’assurance maladie conservent donc les données de santé recueillies à l’occasion des missions d’activités de prévention, de diagnostic ou de soin, dont la conservation doit respecter les dispositions de l’article L.1111-8 du Code de la santé publique »
Pointant la grande disparité entre les différentes prestations d’hébergement proposées (hébergement « à sec », fournisseurs de salle blanche, hébergement d’applications avec ou sans accès patients, etc.), le CAH constate la complexité d’une procédure orientée initialement vers l’hébergement de dossiers médicaux.
Elle propose donc, afin d’adapter la procédure d’agrément à la finalité de la prestation d’hébergement présentée dans chaque dossier, que soit mise en place une procédure de certification s’inspirant de la procédure de certification PCIDSS (Payment Card Industry Data Security Standard).
Cette procédure, issue du domaine bancaire, vise à améliorer la sécurité physique et logique des systèmes d’information qui capturent, transportent, stockent ou traitent des données de cartes bancaires en contrôlant le respect par les acteurs de des bonnes pratiques de sécurité (auto-évaluation, audit trimestriel).
La CAH propose en outre de mettre en place une procédure de contrôle des hébergeurs agréés afin de dissuader les acteurs concernés du non-respect de ce dispositif.
Marguerite Brac de La Perrière
Ronan Saiget
Lexing Droit Santé numérique
(1) Décr. 2006-6 du 4-1-2006 relatif à l’hébergement de données de santé.
(2) Loi 2002-303 du 4-3-2002 relative aux droits des malades et à la qualité du système de santé.