Publicité en cours de chargement...
L'ambiguïté de l'hébergement
Il faut se souvenir en effet que l'agrément a d'abord été pensé pour les opérateurs privés (Orange, BULL, etc.) et qu'à aucun moment les pouvoirs publics n'avaient envisagé que les hôpitaux, les syndicats inter-hospitaliers ou autres GCS s'engageraient dans cette voie. De fait, si l'expression « pour compte de tiers » est claire dès lors qu'un opérateur télécom héberge des données de santé (Orange ne soigne personne, tout hébergement est donc forcément pour le compte d'un tiers), c'est moins clair pour un hôpital. Lorsque le CHU régional héberge une base de données régionale dans laquelle se trouvent pour partie des patients du CHU – mais pas seulement -, comment analyser la situation ? Certes le CHU participe au processus de soins, mais pas de tous les patients inclus dans la base : il en verra certains mais pas d'autres. Si le « pour compte de tiers » est à entendre de façon exclusive il ne s'agit pas d'un cas d'hébergement, sinon oui.
Egalement, que faire des données de recherche ? Bien entendu, dans le cas d'une base de recherche dont les données ont été constituées par extraction de bases de soins avec un processus d'anonymisation non réversible, le tout étant stocké dans une base partagée stockées chez un hébergeur agréé, on peut sans risque penser qu'il s'agit bien d'un cas d'hébergement. A ceci près que certains laissent entendre que la recherche échappe au décret hébergeur au motif qu'il ne s'agit pas de soins. D'une part, à notre connaissance aucun texte ni jurisprudence ne viennent confirmer ou infirmer cette analyse, mais surtout quid alors des bases dites de « recherche clinique » ou le soin et la recherche s’entremêlent ? Si la base est monocentrique (constituées des données d'un seul établissement) cela peut être simple, mais la plupart du temps il s'agit de bases multicentriques.
Dans certains cas, de plus en plus fréquents, plusieurs établissements constituent un GCS de moyens, qui a pour objectif la mise à disposition de personnels, de locaux, etc. Les agents de ce GCS (mis à disposition par les établissements constitutifs) travaillent au sein de l'un d'entre eux, sur une base de données commune à tout le monde et stockée chez ce dernier, incluant des patients circulant potentiellement dans tous ces établissements (mais pas forcément ni tous), et servant à la fois de soins et de constitution de cohortes semi-anonymisées dans un but de recherche. Si quelqu'un a un début de réponse...
Avez-vous apprécié ce contenu ?
A lire également.
Analyses d'impact RGPD et AI Act, obligations respectives et liens
03 mars 2026 - 07:57,
Tribune
-Parmi les obligations du Règlement Général sur la Protection des Données (RGPD), l'analyse d'impact relative à la protection des données apparaît centrale et également parfois complexe à mettre en œuvre. L'AI Act requiert la réalisation d'une analyse d'impact des systèmes d'IA à haut risque sur les...
Fuite de données chez CEGEDIM – la question des zones à commentaire
02 mars 2026 - 20:10,
Tribune
-Les données de 15 millions[1] de Français auraient été piratées lors d’une attaque survenue il y a plus de deux mois au sein de la société CEGEDIM et de logiciels utilisés par des médecins libéraux. Les grands médias (Le Monde, France Info) en ont fait état, et fait rarissime, même la ministre de la...
Le Congrès de l’APSSIS se tiendra les 23, 24 et 25 juin 2026 au Mans
02 mars 2026 - 16:22,
Actualité
- APSSISEn juin prochain, l’APSSIS organisera son 14ème Congrès National de la SSI Santé, le #CNSSIS2026 ! Un peu plus de 200 participants sont attendus à l’espace culturel des Quinconces du Mans pour 3 jours de conférences, de tables rondes et de débats. Cette édition proposera 30 conférences, tables-ronde...
L’écosystème biomédical face aux enjeux de cybersécurité : un rendez-vous incontournable à Lyon le 19 mars prochain
02 mars 2026 - 12:11,
Actualité
- Marie-Valentine Bellanger, DSIHUne journée dédiée à la sécurité des dispositifs médicaux et à la résilience des établissements de santé organisée par les équipes Orange Cyberdefense
