Traitement et stockage de données de santé : ce que dit la loi

Si la digitalisation croissante des établissements et services sociaux ou médico-sociaux (ESMS) facilite bien souvent le travail des professionnels et l'expérience des personnes accompagnées et de leurs proches, elle impose aussi des règles particulières. En effet, les données de santé sont par nature précieuses et sensibles. Pour les protéger, la loi française est à l'œuvre afin d'empêcher les dérives et de responsabiliser les hébergeurs, les éditeurs de logiciels et les établissements dans le traitement et le stockage des données de santé.

Hébergement et sauvegarde des données de santé

Pour qu'une donnée existe et soit enregistrée, utilisée et mise à jour, elle doit être hébergée sur un serveur. Or, s'il est facile d'acheter un espace de stockage en ligne en quelques minutes pour un site web ou un blog, on n'héberge pas les données de santé de la même manière. Le Ministère de la Santé impose un cahier des charges précis et très exigeant. Il sélectionne pour cela les entreprises capables d'héberger ce type de données. Cet agrément est une garantie de sécurité pour les établissements. À la date de l'écriture de cet article, à l'été 2022, ce sont uniquement 66 hébergeurs qui peuvent héberger et sauvegarder des données de santé. Cette liste est d'ailleurs mise à jour régulièrement.

Teranga Software héberge les données personnelles et médicales de ses clients auprès de Claranet. Une société agréée pour une prestation d'hébergement de données de santé à caractère personnel dans le cadre de l'offre Claranet e-santé.

RGPD et traitement des données de santé

Le RGPD est une directive européenne entrée en application en 2018 visant à conférer davantage de droits et de recours aux citoyens concernant l’usage qui est fait de leurs données personnelles. Il s’agit d’un cadre juridique unifié s’appliquant dans tous les pays de l’Union Européenne, y compris aux entreprises non européennes, mais travaillant avec des données personnelles européennes. Lors de sa mise en œuvre, le RGPD a impacté presque toutes les organisations en intégrant de nouvelles pratiques : 

• Création d'un registre de traitement de données.
• Garantie des droits des personnes.
• Mise en place d'un délégué à la protection des données.
• Conformité des formulaires de traitement des données.
• Responsabilisation de ses sous-traitants et fournisseurs.
• Mise en place des processus adaptés en cas de fuite de données.

Par principe, le traitement des données de santé est interdit par le RGPD (article 9.1), sauf dans le cadre des exceptions précisées à l’article 9.2 du RGPD et à l’article 8 de la Loi Informatique et Libertés telles que : le consentement exprès de la personne concernée, le traitement nécessaire à la sauvegarde de la vie humaine, le traitement nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé ou par une autre personne à laquelle s’impose, en raison de ses fonctions, l’obligation de secret professionnel. Se conformer aux règles du RGPD est donc obligatoire pour tous les établissements qui sont responsables du traitement de leurs données de santé, y compris s'ils sous-traitent cette activité auprès d'un éditeur tiers.

Avant de choisir les outils utiles pour digitaliser son organisation, il est important de se pencher sur les questions d'hébergement, de sauvegarde et de traitement des données pour un établissement. C'est un prérequis pour se conformer à la loi, mais surtout pour respecter les données des professionnels et des personnes accompagnées par l'ESMS.