Hébergement de données de santé : les données « bien-être » ne sont pas concernées par la certification

L’activité d’hébergement de données de santé est très réglementée et doit faire l’objet, depuis le 1er avril 2018 (avec une application progressive), d’une certification par un organisme certificateur indépendant (l’ancienne procédure relevait de l’agrément).

Le code de la santé publique est très strict à ce sujet et propose, aussi bien dans sa partie législative (à partir de l’article L. 1111-8) que dans partie réglementaire (à partir de l’article R. 1111-8-8). 

Mais une question se pose s’agissant des données « bien-être » qui sont, par exemple, les données récoltées par les objets connectés (dont les applications mobiles) sur les kilomètres parcourus par un individu, son rythme cardiaque, ou encore son sommeil. Ces données-là, qui sont des données de santé car elles sont relatives « à la santé physique ou mentale d’une personne physique » (définition proposée par l’article 4 du Règlement général relatif à la protection des données, RGPD). 

Pourtant, l’hébergement de telles données n’est pas soumis aux mêmes conditions de certification que des données de santé « classiques ». Explications. 

Les données de santé « bien-être » peuvent être hébergées sans certification

Pour comprendre la différence entre les données dont l’hébergement nécessite une certification, et celles qui peuvent être hébergées sans certification, il faut se reporter au texte de loi. Que dit l’article L. 1111-8 du code de la santé publique ? Il dispose que la certification de l’hébergeur est nécessaire dès lors qu’il

« héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même« . 

Dans le cas qui nous concerne, l’information à retenir est le contexte du recueil des données : il faut qu’elles soient prélevées pour des activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. Dès lors, il faut se demander si les données « bien-être » produites par les individus et recueillies par leurs applications et objets connectés, le sont pour l’une des occasions prévues par le texte de loi. 

Si l’individu ne produit ces données que pour son bien-être, sans que cela s’inscrive dans un cadre médical suivi, alors l’hébergement de telles données n’a pas à être certifié. 

La CNIL corrobore cet état de fait et à la question de savoir si

« l’éditeur d’une application mobile de « bien-être » [doit] respecter les obligations découlant de l’hébergement des données de santé« ,

elle répond que

« non, si les données collectées, enregistrées et conservées, le cas échéant, par un prestataire extérieur ne sont pas collectées à l’occasion d’activités de prévention, de diagnostic, de suivi social ou médico-social« . 

Cela veut-il dire que l’hébergement des données « bien-être » est totalement libre ? Pas tout à fait. Il ne faut pas oublier que ces données restent soumises à l’application du RGPD et de la loi Informatique et Libertés. Néanmoins, l’absence d’obligation de certification pour l’hébergeur enlève une contrainte non négligeable.

A propos Leo Guittet 171 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Hey, salut toi le lecteur de Décider et Entreprendre.


Ça fait maintenant deux ans que D&E existe et continue de se développer. Et le tout, sans jamais avoir reçu de subvention. Alors depuis maintenant un mois, D&E a décidé et entrepris d'intégrer quelques publicités sur sa homepage, mais aussi au cœur de ses articles. Car D&E rémunère ses équipes.


Derrière D&E se cachent des journalistes, des développeurs informatiques, des responsables communications, mais aussi des éditorialistes de passage. Tout ce petit monde travaille d'arrache-pied pour ramener de l'information fraîche, des points de vues tranchés, mais argumentés et autres gaudrioles à l'un des seuls médias en ligne complètement indépendant, à la ligne éditoriale libre, mais aussi en plein développement.


Alors, voilà, aujourd'hui, cher lecteur, on te demande un petit geste de pas grand-chose. Non, range ton portefeuille (bien que l'on accepte aussi les dons). Non, on te demande juste de désactiver ton bloqueur de pub (Ad-Block, AdThwart, Webmail Ad blocker, etc) le temps de ta navigation sur notre site ou de mettre une exception de blocage qui concerne D&E.


Le simple fait d'afficher les pubs sur notre site nous permet de rémunérer nos « incroyables » équipes. Promis, les publicités ne sont pas invasives ni agressives. On peut même les cacher si on veut (avec la petite croix dessus).


Ça nous ferait vraiment plaisir et ça permettrait qu'on s’achète notre table de ping-pong continue à écrire librement, à titiller les puissances en place, mais aussi à proposer d'autres pistes de réflexion sur des sujets habituellement traités par les médias subventionnés.


Un petit geste pour toi, mais un grand pas pour Décider & Entreprendre.


Merci à toi, ô lecteur de D&E. Et bonne lecture.

Lire les articles précédents :
Le point sur la réforme des retraites… Ce qu’on sait déjà ! 1ère partie

Le président présentera au parlement à l'été 2019, « sa » grande réforme du système des retraites, avec un objectif : équité...

Fermer