Publicité en cours de chargement...
L'ambiguïté de l'hébergement
Il faut se souvenir en effet que l'agrément a d'abord été pensé pour les opérateurs privés (Orange, BULL, etc.) et qu'à aucun moment les pouvoirs publics n'avaient envisagé que les hôpitaux, les syndicats inter-hospitaliers ou autres GCS s'engageraient dans cette voie. De fait, si l'expression « pour compte de tiers » est claire dès lors qu'un opérateur télécom héberge des données de santé (Orange ne soigne personne, tout hébergement est donc forcément pour le compte d'un tiers), c'est moins clair pour un hôpital. Lorsque le CHU régional héberge une base de données régionale dans laquelle se trouvent pour partie des patients du CHU – mais pas seulement -, comment analyser la situation ? Certes le CHU participe au processus de soins, mais pas de tous les patients inclus dans la base : il en verra certains mais pas d'autres. Si le « pour compte de tiers » est à entendre de façon exclusive il ne s'agit pas d'un cas d'hébergement, sinon oui.
Egalement, que faire des données de recherche ? Bien entendu, dans le cas d'une base de recherche dont les données ont été constituées par extraction de bases de soins avec un processus d'anonymisation non réversible, le tout étant stocké dans une base partagée stockées chez un hébergeur agréé, on peut sans risque penser qu'il s'agit bien d'un cas d'hébergement. A ceci près que certains laissent entendre que la recherche échappe au décret hébergeur au motif qu'il ne s'agit pas de soins. D'une part, à notre connaissance aucun texte ni jurisprudence ne viennent confirmer ou infirmer cette analyse, mais surtout quid alors des bases dites de « recherche clinique » ou le soin et la recherche s’entremêlent ? Si la base est monocentrique (constituées des données d'un seul établissement) cela peut être simple, mais la plupart du temps il s'agit de bases multicentriques.
Dans certains cas, de plus en plus fréquents, plusieurs établissements constituent un GCS de moyens, qui a pour objectif la mise à disposition de personnels, de locaux, etc. Les agents de ce GCS (mis à disposition par les établissements constitutifs) travaillent au sein de l'un d'entre eux, sur une base de données commune à tout le monde et stockée chez ce dernier, incluant des patients circulant potentiellement dans tous ces établissements (mais pas forcément ni tous), et servant à la fois de soins et de constitution de cohortes semi-anonymisées dans un but de recherche. Si quelqu'un a un début de réponse...
Avez-vous apprécié ce contenu ?
A lire également.
Imprivata lance Agentic Identity Management pour sécuriser et gouverner les agents IA dans le secteur de la santé
11 mars 2026 - 09:52,
Communiqué
- ImprivataImprivata, fournisseur leader de solutions de gestion des identités et des accès pour le secteur de la santé et les industries critiques, vient de dévoiler Agentic Identity Management, de nouvelles capacités conçues pour sécuriser et gouverner les agents IA dans les environnements de soins de santé ...
Un projet de guide sur l’IA en santé soumis à consultation par la HAS et la CNIL
09 mars 2026 - 09:23,
Actualité
- Rédaction, DSIHIssu d’un travail pluridisciplinaire, le projet de guide intitulé « IA en contexte de soins » vise à apporter des éclairages aux professionnels de santé concernant leurs obligations et les bonnes pratiques à adopter. Le document est soumis à consultation publique jusqu’au 16 avril 2026.
La cyber, les bras et le chocolat
09 mars 2026 - 09:00,
Tribune
-S’il est un truc dont l’écosystème cyber ne manque pas (l’écosystème IT aussi, du reste), ce sont les consultants encravatés qui vous expliquent, avec force schémas bien léchés et PowerPoint tout enluminés, qu’il faut aborder la cyber par là, puis par là, avec moult comités Théodule et méthodes perl...
Analyses d'impact RGPD et AI Act, obligations respectives et liens
03 mars 2026 - 07:57,
Tribune
-Parmi les obligations du Règlement Général sur la Protection des Données (RGPD), l'analyse d'impact relative à la protection des données apparaît centrale et également parfois complexe à mettre en œuvre. L'AI Act requiert la réalisation d'une analyse d'impact des systèmes d'IA à haut risque sur les...
