Les données de santé traitées dans le cadre de la recherche, dont le stockage est externalisé, doivent-elles être transférées chez un hébergeur soumis à une certification HDS ?
Eléonore Scaramozzino, Avocat
L’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel a instauré un nouveau dispositif d’hébergement fondé sur la certification. L’article L.1111-8 du Code de la santé publique (CSP) modifié, distingue trois grandes catégories de services d’hébergement de données de santé. Celui sur support papier doit être réalisé par un hébergeur agréé par le Ministre de la Culture (procédure déjà existante). L’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique doit être réalisé par un hébergeur agréé par le Ministre de la Culture et l’hébergement de données de santé sur support numérique (hors cas d’un service d’archivage électronique) doit être réalisé par un hébergeur certifié. Le décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel a précisé les conditions de cette nouvelle certification. Deux types de certificats sont délivrés en fonction de deux métiers d’hébergement distincts : un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle, et un certificat « hébergement infogéreur » pour les activités de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée. Le référentiel de certification s’appuie sur des normes internationales (la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information », des exigences de la norme ISO 20000 « système de gestion de la qualité des services », des exigences de la norme ISO 27018 « protection des données à caractère personnel ») d’une part, et des exigences spécifiques à l’hébergement de données de santé, d’autre part. La procédure de certification se fonde sur le processus standard de type système de management décrit dans la norme ISO 17021 et précisé dans la norme ISO 27006
Dans quel cas, le promoteur de la recherche, qui envisage un stockage externalisé des données de santé, doit-il recourir à un hébergeur qui justifie de telle certification ?
Pour la Cnil le critère à prendre en considération est le caractère directement identifiant des données. Ainsi, les données exploitées dans le cadre d’une recherche médicale ne nécessitent pas d’hébergement certifié, dès lors dès lors qu’elles ont été pseudonymisées, et ont donc perdu leur caractère directement identifiant.
La solution adoptée en matière de données de santé, n’est pas aussi tranchée. Ce critère ne figure pas à l’article L 1111-8 et R-1111-8-8 et s. du CSP. A l’occasion d’une présentation du décret de 2018, la secrétaire générale de l’ASIP Santé de l’époque, Jeanne BOSSI a considéré que « le champ d’application de la procédure d’agrément s’applique à toute base de données recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins : recherche, secteur assurantiel ». « La situation avancée par Jeanne BOSSI fait uniquement référence aux données qui auraient dans un premier temps été recueillies pour des activités de soin, de prévention ou de diagnostic, puis récupérées ensuite à des fins d’utilisation secondaires ». On peut donc considérer qu’il existe deux régimes de protection différents en fonction du type de recherche. « Les données de santé utilisées dans le cadre de recherches rétrospectives seront mieux protégées, car initialement collectées dans le cadre visé à l’article L.1111-8, que celles collectées dans le seul but d’effectuer une recherche médicale[1].
Cette position a été repris en avril 2019, par le Ministère des solidarités et de la santé et la Délégation à la stratégie des systèmes d’information de santé, dans une note intitulée« Explication du champ d’application du cadre juridique de l’hébergement de données de santé fixé à l’article L 1111-8 du code de la santé publique », accessible sur le site de l’ASIP Santé. Ainsi sont exclues de l’obligation de recourir à un prestataire agréé ou certifié HDS : « les organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ». Cependant le recours à un hébergeur certifié HDS n’est pas totalement exclu. En effet, les traitements de données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre mis en œuvre par un établissement de santé ou une personne privée, pour servir des finalités de recherche, sont soumis obligatoirement à une analyse d’impact relative à la protection des données (AIPD) (article 35 du RGPD). Ainsi, les données de santé recueillies dans le cadre d’un appel pour une recherche spécifique, ne sont pas stockées chez un hébergeur certifié HDS, sauf si l’AIDP montre que le traitement génère un risque inhérent très élevé pour les droits et libertés des personnes concernées, dont le recours à un hébergement HDS constitue une mesure de sécurité appropriée. En effet, le RGPD met à la charge du responsable de traitement une obligation de sécurité, qui lui impose d’adopter des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque identifié (article 32)
Dans son avis 130, « Données massives et santé : une nouvelle approche des enjeux éthiques », le Comité Consultatif d’Ethique, a précisé : « L’adoption de mesures particulières de sécurité a pour avantage évident de mieux assurer la confidentialité. Celles-ci peuvent avoir l’inconvénient – en particulier pour l’hébergement – de compartimenter les bases de données (cliniques, médico administratives, génomiques) ce qui peut avoir pour effet de limiter les possibilités de communication entre elles. Or, le croisement de ces bases est d’un intérêt majeur pour la recherche médicale et l’efficacité de celle-ci s’en trouve affectée, puisqu’elle ne peut tirer tout le bénéfice de la particulière richesse des données collectées dans notre pays. Pour permettre le croisement des données, les projets européens (dont ceux financés dans le cadre d’Horizon 2020) incitent les gouvernances des entrepôts de données à suivre les principes et critères du FAIR[2] (findable, accessible, interope- rable, re-usable, ou, en Français, « trouvable, accessible, interopérable et réutili- sable »). Les principes du FAIR permettent la construction, le stockage, la présentation et la publication des données afin de disposer, entre autres, d’un partage facilité et encadré. C’est le sens de la politique française de science ouverte énoncée par la ministre de l’enseignement supérieur et de la recherche le 4 juillet 2018[3]. Cette protection spécifique n’est applicable que pour les données « recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social »[4].
[1] Laora Tilman, « L’utilisation des technologies de l’information et de la communication à l’hôpital face au droit », thèse de droit, soutenue à l’université de Lille, droit et santé, 2017., spéc.p.90 et 91
[2] Voir le site https://www.force11.org/fairprinciples ; et Wilkinson M, et al. The FAIR guiding principles for scientific data management and stewardship. Scientific Data 3, Article number : 160018 (2016).
[3] Le Plan national pour la science ouverte annoncé par Frédérique Vidal, le 4 juillet 2018. http://www.enseignementsup-recherche.gouv.fr/cid132529/le-plan-national-pour-la-science-ouverte-les-resultats-de-la-recherche-scientifique-ouverts-a-tous-sans-entrave-sans-delai-sans-paiement.html.
[4] CCNE, avis 130, Données massives et santé : une nouvelle approche des enjeux éthiques, spéc. 22.