La certification « Hébergement de données de santé » vient de fêter sa première année et déjà, les pouvoirs publics annoncent vouloir la réformer.
A l’occasion du 7èmeCongrès National de la Sécurité des Systèmes d’Information de Santé (CNSSIS), un représentant de l’Agence des systèmes d’information partagés de santé (ASIP Santé) aurait annoncé, selon Tic Santé, qu’était en cours de révision la liste des activités susceptibles de donner lieu à l’hébergement de données de santé, aujourd’hui fixée à l’article R1111-9 du Code de la Santé Publique.
Parmi, les 6 activités mentionnées dans cette disposition, traditionnellement regroupées dans deux catégories : « hébergeur d’infrastructure physique» ou « hébergeur infogéreur», figurent les activités d’administration et d’exploitation du système d’information contenant les données de santé.
D’aucuns se souviendront que lors des consultations menées par l’ASIP Santé, l’introduction de cette activité dans le champ de la certification avait suscité la polémique. Etonnament, la polémique n’aurait pas été atténuée par la « mise en production » du décret Hébergeur, version 2018.
L’information a été confirmée par l’ASIP Santé qui a diffusé, en parallèle de cette déclaration, un document revenant notamment sur le champ d’application de l’hébergement de données de santé.
Mais le document va beaucoup plus loin que l’annonce d’une modification du décret HDS et l’impact pourrait être important pour les établissements de santé, les fabricants de dispositifs médicaux et… les entreprises.
Sur la forme, notons la constante dégradation de la sécurité juridique des protagonistes de l’hébergement de données de santé. Les circulaires sont rapidement devenues des « foires aux questions » et des « notes explicatives ». Depuis juillet 2018, les notes de la Délégation à la Stratégie des Systèmes d’Information en Santé se passe de tout formalisme, se bornant à apposer sur le fichier PDF les logos République Française et DSSIS (est-il même officiel ?). Le nom du rédacteur et du signataire ne sont pas précisés. Au-delà du manque de rigueur, l’appauvrissement du formalisme interroge. Car c’est la sécurité juridique des acteurs qui en pâtit. Rappelons que l’article L312-3 du Code des relations entre le public et l’administration permet en effet de à « toute personne [de] se prévaloir des [instructions et circulaires] émanant des administrations centrales et déconcentrées de l’Etat et publiés sur des sites internet désignés par décret ». L’absence de formalisme permettrait donc de contester sinon l’authenticité, à tout le moins l’opposabilité de la nouvelle « FAQ ».
Sur le fond, on notera l’introduction d’éléments importants, par rapport à la version du 11 juillet 2018 (qui, étonnamment, n’est plus en ligne et que vous trouverez en PJ à ce billet) :
- Les actes des services de santé au travail sont devenus, en 2019, des actes de prévention, ce qui implique que tout service de médecine du travail externalisant l’hébergement entrerait dans le champ de l’hébergement de données de santé.
- En matière de recherche, si les organismes de recherche restent « exonérés » de certification, les établissements de santé réutilisant « à des fins de recherche une base de données de santé mise en œuvre dans le cadre de la prise en charge sanitaire des patients est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ladite base». La version de 2018 ne faisait pas le distinguo entre les établissements et le critère permettant de distinguer la recherche interne monocentrique de la recherche multicentrique semble discutable. Rappelons en effet que dans les deux cas, la réutilisation consiste en la mise en œuvre d’un nouveau traitement de données, de sorte que les promoteurs de chacune de ces typologies de recherche paraissent être dans une situation identique.
- Les plus grands perdants, dans l’histoire, sont sans doute les fabricants de dispositifs médicaux. « Exonérés» de l’obligation de certification HDS en juillet 2018, « en dehors du cas où ils interviennent dans des activités de télésurveillance », ils ont disparu de la liste des opérateurs exonérés dans sa version du 2 avril 2019.
L’upgrade de la FAQ sur l’hébergement de données de santé s’accompagne donc d’une extension importante – et à géométrie variable – du champ d’application de l’hébergement de données de santé. Ce qui à mon sens justifie amplement les griefs « formalistes » figurant ci-dessus, non ?
En pratique, je vous recommande de revoir vos dossiers de conformité RGPD en matière de données relatives à la santé et d’analyser le besoin de recourir à un hébergeur de données de santé au vu de cette nouvelle interprétation du texte.