Quel impact le règlement européen a-t-il sur l’hébergement agréé des données de santé ?


Nouvelles obligations pour les sous-traitants
Le Règlement européen de protection des données (1) a été définitivement adopté le 27 avril 2016, après plus de quatre années de discussions. Il sera applicable et opposable à tout responsable de traitement et sous-traitant à compter du 25 mai 2018.Il prévaut sur la loi Informatique et libertés (2), qui devra être mise en conformité dans ce délai.

La nouvelle procédure de certification d’hébergeur de données de santé sera probablement mise en place avant l’application du règlement, la loi de modernisation de notre système de santé. Elle devra nécessairement prendre en compte les nouvelles obligations découlant dudit règlement.

En effet, l’hébergeur de données de santé,  agréé en vertu des articles L 1111-8 et R 1111-9 et suivants du Code de la santé publique (3), est un sous-traitant au sens du Règlement européen (1).

L’hébergeur agréé sera dès lors soumis directement aux obligations suivantes :

  • le recours à la sous-traitance par le sous-traitant est subordonné à l’autorisation écrite spécifique préalable du responsable de traitement (art. 28) ;
  • la tenue d’un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement (art. 30) ;
  • la coopération avec l’autorité de contrôle (art. 31) ;
  • la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (art. 32) ;
  • la notification au responsable du traitement de toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance (art. 33) ;
  • la désignation d’un délégué à la protection des personnes sous certaines conditions (art. 37) (4) ;
  • le respect des règles relatives aux transferts de données hors Union européenne (art. 44).

Par ailleurs, le contrat d’hébergement devra prévoir les engagements suivants du sous-traitant (art. 28) :

  • réalisation de traitement uniquement sur instructions du responsable ;
  • engagement du personnel tenu par convention ou par obligation légale de confidentialité ;
  • réalisation des mesures nécessaires de sécurité ;
  • demande d’autorisation préalable du responsable de traitement pour toute sous-traitance ;
  • création des conditions techniques et organisationnelles nécessaires pour permettre au responsable de s’acquitter de son obligation de donner suite aux demandes d’exercice de leurs droits par les personnes concernées ;
  • aide du responsable à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité des données, notifications de violations, analyse d’impact, consultation préalable) ;
  • suppression ou renvoi des données au terme de la prestation ;
  • mise à disposition du responsable et de l’autorité de contrôle de toutes les informations nécessaires.

Il convient dès lors de modifier les modèles de contrat d’hébergement des hébergeurs agréés.

Le sous-traitant est en outre pleinement responsable des prestations confiées à son propre sous-traitant (art. 28).

Ce qui change pour les hébergeurs agréés

Les hébergeurs de données de santé appliquent déjà de strictes mesures de sécurité, en vertu de leur agrément. Ce qui change, c’est qu’ils seront directement responsables vis-à-vis de l’autorité de contrôle, en sus de leur éventuelle responsabilité civile et pénale découlant du non-respect de leur agrément.

Concrètement, la tenue d’un registre, la notification des violations, la désignation d’un délégué à la protection des données sont autant de mesures nouvelles qui devront être mises en place par les hébergeurs.

Il conviendra également d’encadrer, dans les contrats d’hébergement, l’assistance apportée par l’hébergeur au responsable de traitement, son client, s’agissant des droits des personnes et s’agissant de ses obligations relatives à la sécurité des données, à la notification de la violation, à l’analyse d’impact et à la consultation préalable.

A date, les contours du rôle du sous-traitant dans la réalisation de l’analyse d’impact, telle que définie à l’article 35 du règlement, ne sont pas clairement définis. Le 16 juin 2016, la Cnil a lancé à ce sujet une consultation, dont les contributions sont disponibles en ligne (5) et devrait rendre son rapport prochainement.

marguerite-brac-de-la-pierre-vignette
Marguerite Brac de La Perrière

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique

NA
(1)    REGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).(2)    Loi n°78-17 du 6 01 1978 relative à l’informatique, aux fichiers et aux libertés.(3)    Articles L1111-8 et R1111-9 et suivants du Code de la santé publique.(4)    L’article 37 du Règlement européen prévoit trois cas obligatoires de désignation d’un délégué à la protection des données :

  • traitement effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
  • en cas d’opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • en cas de traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions (ce dernier cas est susceptible d’inclure les hébergeurs agréés de données de santé).

(5)    Cnil, Consultation sur le règlement européen sur la protection des données, 19 juillet 2016.

1495 Total Views 9 Views Today



1496 Total Views 10 Views Today