Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD et HDS : quelles compatibilités ?

12 mars 2018 - 12:49,
Tribune - Orange Healthcare
Les données de santé à caractère personnel vont bénéficier d’un nouveau cadre de protection avec le règlement général sur la protection des données, le RGPD, qui entre en vigueur le 25 mai 2018 et les nouvelles procédures de certification des hébergeurs de données de santé, applicables au plus tard le 1er janvier 2019. Deux éléments qui doivent contribuer à bâtir un écosystème de confiance autour de la santé numérique. Sont-ils pour autant compatibles ?

Les auteurs : Marie-Christelle Mellouet, Juriste Déléguée à la Santé et Mohamed Zahouani, Responsable Sécurité d’Orange Healthcare

Le nouveau règlement général sur la protection des données, le RGPD, qui doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique opère un changement de paradigme, en passant d’une logique de formalités préalables à une logique de conformité continue tout au long du cycle de vie de la donnée et reposant sur une responsabilisation accrue des acteurs. De son côté, la procédure de certification des hébergeurs de données de santé, qui n’est pas sans rappeler la démarche bien connue du monde industriel (avec notamment la certification ISO 27001), se substitue à la procédure existante d’obtention d’un agrément.

Une complémentarité au service de la sécurité numérique dans le domaine de la santé

Les réglementations HDS et RGPD apparaissent complémentaires sur bien des points. Le RGPD définit des obligations générales comme la nomination d’un data protection officer (DPO), la déclaration des incidents de sécurité ou encore la réalisation d’analyse d’impact sur la vie privée. Quant à la réglementation HDS, elle précise et renforce les mesures de sécurité à mettre en œuvre et les rend applicables avant toute opération d’hébergement.

Les mesures issues du RGPD se trouvent ainsi consolidées sur au moins deux aspects :

  • l’instauration d’une obligation a priori pour les hébergeurs de données de santé à caractère personnel d’obtenir une certification à cet effet avant tout hébergement des dites données,
  • le renforcement des exigences de sécurité applicables aux hébergeurs de données de santé à caractère personnel.

Du fait du recoupement de ces deux règlementations, la mise en œuvre d’une certification HDS pourra ainsi servir d’outil de conformité à la réglementation RGPD.

Des champs d’application légèrement différents 

Bien que complémentaires, les réglementations RGPD et HDS présentent des écarts en matière de champ d’application. Le RGPD est applicable à l’ensemble des traitements de données à caractère personnel réalisés sur le territoire de l’Union Européenne ou bien de données relatives à des personnes concernées qui se trouvent sur ce territoire. Le champ d’application de la réglementation relative à l’hébergement de données de santé défini à l’article L1111-8 du code de la santé publique est quant à lui plus restrictif. Il ne concerne que les données de santé à caractère personnel « recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil des dites données ou pour le compte du patient lui-même ». L’obligation de recourir à un hébergeur agréé ne s’impose qu’en cas d’externalisation. Quant au contour des données de santé visées, il demeure flou. S’agit-il uniquement des données collectées et/ou produites dans un contexte et avec une finalité médicale ou médico-sociale, ce qui de fait exclut de son champ d’application les traitements réalisés notamment par les mutuelles ou les compagnies d’assurances ? Le futur décret relatif aux modalités de certification des hébergeurs de données de santé devrait permettre de clarifier ce périmètre.

La certification HDS : un outil de conformité au RGPD

Pour des responsables de traitement qui ne seraient pas soumis à l’obligation d’hébergement de données de santé à caractère personnel dans un environnement certifié, la certification HDS pourrait être utilisée comme un outil de conformité au RGPD. Cette certification garantit en effet la mise en place d’un SMSI, ou système de management de la sécurité de l’information, et met en application des exigences de sécurité renforcées issues de normes internationalement reconnues.

Qu’il fasse le choix de se faire certifier, ou qu’il s’appuie sur un sous-traitant hébergeur certifié, et en mettant en œuvre les exigences complémentaires sur le périmètre restant sous sa responsabilité, un responsable de traitement pourra constituer un ensemble cohérent et complémentaire lui facilitant ainsi la démonstration de sa conformité aux exigences du RGPD.

Venez rencontrer les experts de l’hébergement et du traitement de données de santé d’Orange Healthcare au Salon Big Data, les 12 et 13 mars 2018, stand A16.  

Avez-vous apprécié ce contenu ?

A lire également.

Illustration À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

08 mai 2025 - 14:46,

Communiqué

-
Philippe VEMCLEFS

Utilisée par plus de 10 000 structures de santé à travers le monde dont 550 000 médecins (1), Dragon Medical One (DMO) est la solution de reconnaissance vocale médicale la plus reconnue, tant chez les médecins spécialistes que chez les radiologues. Devenue une référence incontournable dans le secteu...

Illustration Le DPI complet GALEON à SantExpo 2025

Le DPI complet GALEON à SantExpo 2025

06 mai 2025 - 00:21,

Communiqué

- GALEON

Plus que quelques semaines avant l’un des plus importants rassemblements annuels du secteur de la santé en France. SantExpo, organisé par la FHF, attend 30 000 participants Porte de Versailles à Paris, du 20 au 22 mai. Cette édition 2025 pourra compter sur la présence du DPI Galeon, qui figurera par...

Illustration [SANTEXPO 2025] Inscrivez-vous à la conférence inédite de Nicolas BOUZOU à Santexpo !

[SANTEXPO 2025] Inscrivez-vous à la conférence inédite de Nicolas BOUZOU à Santexpo !

05 mai 2025 - 19:12,

Communiqué

- Axigate Link

"Économie de la santé & transformation numérique : les enjeux et les leviers pour améliorer la qualité du système de santé" Le mercredi 21 mai à 15h00, la Division Axigate Link du Groupe EQUASENS, aura l'honneur d'accueillir Nicolas BOUZOU, économiste et essayiste reconnu, pour une conférence exclus...

Illustration [SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !

[SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !

05 mai 2025 - 18:50,

Communiqué

- Axigate Link

À l’occasion de SantExpo, du 20 au 22 mai 2025, retrouvez les équipes de la Division Axigate Link du Groupe EQUASENS à SANTEXPO sur le Stand K48 pour échanger autour de vos enjeux métier, découvrir les innovations logicielles, et assister à une série de conférences exclusives animées avec nos client...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.