RGPD, les nouvelles obligations des hébergeurs de santé

03.05.2018
  • RGPD

La relation entre l’hébergeur de données de santé (HDS) et le responsable de traitement doit faire l’objet d’un contrat écrit, reprenant la caractérisation du traitement sous-traité, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable de traitement.L’HDS doit aider le responsable de traitement à respecter ses propres obligations préalables en matière de mesures de sécurité (analyse d’impact, consultation préalable de la CNIL si le traitement s’avérait particulièrement risqué). Cette aide peut se limiter à la fourniture d’un dossier standardisé correspondant à la prestation sous-traitée, ou dans l’esprit de l’agrément originel l’analyse des particularités du traitement. C’est l’objet du code de marque que de maintenir ce niveau de service.Le registre tenu par l’HDS doit comporter pour chaque traitement hébergé les noms et coordonnées du responsable de traitement. Il y a là une difficulté particulière, car bien souvent le client de l’HDS est lui-même un sous-traitant, offreur d’un service auprès d’établissements ou de professionnels de santé qui sont les responsables de traitement. Un mécanisme approprié permettant de propager les coordonnées des responsables de traitements vers l’HDS devra être imaginé et mis en œuvre.Les autres items du registre sont les catégories de traitement effectuées, les transferts vers des pays tiers ou organisations internationales et, dans la mesure du possible, les mesures de sécurité propres au traitement. La restriction dédouane les hébergeurs d’infrastructure de cette obligation, mais elle est renforcée par le code de l’AFHADS.

Pendant l’hébergement. L’hébergeur ne traite les données que sur instruction documentée du responsable de traitement. Typiquement, la mise à disposition de sauvegardes ou d’extraction devra forcément faire l’objet d’une demande formalisée.Il existe un devoir d’aide au responsable de traitement sur ses obligations de sécurité, en tenant à jour son analyse d’impact et ses mesures de sécurité. Le code de l’AFHADS requiert également un réexamen des mesures propres à chaque traitement tous les trois ans.Il doit contribuer à l’obligation de notification des violations tant à la CNIL qu’aux personnes concernées. A ce titre, il doit lui-même s’engager à notifier son client des violations qu’il constaterait.Il doit également alerter son client si les instructions données par celui-ci le mettaient en défaut au regard du RGPD. Ce pourrait par exemple être le cas d’un client éditeur qui souhaiterait obtenir une extraction des données pour anonymisation avant analyse statistique, alors que ce traitement n’a pas été déclaré initialement.Enfin, il doit assister son client pour l’exercice des droits de la personne concernée (information, accès, rectification, effacement ou limitation, portabilité des données). C’est notamment à cet effet que le code de l’AFHADS prévoit le maintien du médecin de l’hébergeur, qui n’est plus requis dans le cadre de la certification.Il doit collaborer à la réalisation d’audits et d’inspections par le responsable de traitement.

En fin d’hébergement. En fin de contrat d’hébergement, l’HDS doit restituer les données au responsable de traitement (ou en cas de cascade de sous-traitance, les restituer à son client, qui lui-même assumera leur reprise ou leur restitution), et détruire l’ensemble des sauvegardes ou archives qu’il détiendrait.

Obligations liées à la sous-traitance. L’HDS ne doit pas recourir lui-même à une sous-traitance relative au traitement confié sans autorisation écrite du responsable de traitement. Il doit par ailleurs propager à ses sous-traitants les obligations issues de sa relation avec son client.Par sous-traitance, il faut entendre la réalisation d’une partie du traitement confié. La société d’entretien des locaux doit certes présenter des garanties envers l’hébergeur ; elle n’est pas pour autant un sous-traitant du traitement hébergé dont le choix devrait être validé par chacun de ses clients.

François Kaag, président de l’AFHADS, (Association française des hébergeurs agréés des données de santé).
Source : Decision-sante.com

A LA UNE

add
visuel Munnich

Arnold Munnich, conseiller santé de Nicolas Sarkozy : "Tout le monde a été surpris par l'absence de conseiller médecin à l'Elysée"

A quoi sert un médecin au plus haut niveau de l’état ? Le Pr Arnold Munich a été conseiller spécial de Nicolas Sarkozy pendant cinq ans. Il livre ici son témoignage. Ou comment de grandes avancées pour la recherche médicale sont obtenues en une heure… 1

ÉVÉNEMENTS

ÉVÉNEMENTS

Retrouvez tous les événements organisés par Décision Santé

Formations

Abonnement

Accédez à l’intégralité de votre magazine en version numérique ou papier

COUPs DE GRIFFE/CŒUR

COUPs DE GRIFFE/CŒUR

Vous souhaitez vous exprimer surl’actualité de votre profession ? Publiez dès maintenant votre courrier en ligne.

KIOSQUE

KIOSQUE

Retrouvez l’édition numérique de votre magazine.