Ce document traite de l'importance de l'agrément pour les hébergeurs de données de santé en France, en détaillant le contexte, les acteurs impliqués et les exigences réglementaires. Il met en lumière l'expérience de la PME h2ad, qui a obtenu cet agrément en 2010, et décrit les procédures et défis associés à son application. Les principes de protection des données personnelles et les obligations légales pour garantir la sécurité des informations de santé sont également abordés.

1. La collecte d’information sécurisée et la protection de la
vie privée
Pourquoi un agrément pour l’hébergeur de
données de santé, comment l’appliquer : retour
d’expérience
H2AD
Serge Nepomiastchy – Directeur SI
17 novembre 2011

2. Agenda
Pourquoi un agrément pour l’hébergeur de santé, comment
l’appliquer : retour d’expérience’
• Le contexte et les acteurs
• L’Agrément en tant qu’Hébergeur de Données de Santé
à Caractère Personnel
• Un retour d’expérience: H2AD

3. Le contexte et les acteurs
• La loi
– Informatique et Libertés
– Code la Santé Publique
• La CNIL - « l’informatique doit respecter l’identité humaine, les
droits de l’homme, la vie privée et les libertés »
• L’ASIP Santé - L’Agrément en tant qu’Hébergeur de Données de
Santé à Caractère Personnel
• H2AD – Une PME opérant un centre d’appels médicalisé et des
solutions de télémédecine

4. Le contexte et les acteurs
• La CNIL
– « l’informatique doit respecter l’identité humaine, les droits de
l’homme, la vie privée et les libertés »
– Données de santé: 5 principes issus de la loi Informatique et
Libertés:
• Finalité: données recueillies pour un usage déterminé et légitime
• Pertinence
• Droit à l’oubli
• Sécurité et confidentialité
• Droits des personnes
– Information
– Droit d’accès et rectification

5. Le contexte et les acteurs
• L’ASIP Santé
– « Agence Nationale des Systèmes d’Information partagés »
créée en 2009
– 3 Chantiers « historiques »
• L’Interopérabilité
• La CPS – Carte Professionnelle de Santé
• Le DMP – Dossier Médical Personnel
– L’Agrément en Tant qu’Hébergeur de Données de Santé à
Caractère Personnel

6. Le contexte et les acteurs
• H2AD
– PME créée en 2004
– 40 collaborateurs
– Centre d’appels médicalisé opérationnel en 24/7 depuis le 1er
janvier 2006
– Solutions de télémédecine: système Twitoo
– Agréé Hébergeur de Données de Santé depuis Février 2010

7. L’Agrément en tant qu’Hébergeur de Données de
Santé à Caractère Personnel
• Les principes de l’agrément
– Organiser le dépôt et la conservation des données
• Garantir leur pérennité et leur confidentialité
• Définir par contrat les modalités de mise à disposition de ces données
• Restituer les données en fin de contrat
– Distinguer le responsable des « traitements » et l’ « hébergeur
des données de santé »
• La Loi Informatique et Libertés s’applique au responsable des traitements
• Les responsable des traitements sous-traite l’activité d’hébergement
• L’hébergeur est soumis à l’agrément
– La présence d’un « Médecin Hébergeur »
– Un établissement de santé qui héberge lui-même les données
de santé de ses patients n’est pas soumis à l’agrément

8. L’Agrément en tant qu’Hébergeur de Données de
Santé à Caractère Personnel
• La procédure d’agrément
– Constitution du dossier d’agrément
• Présentation du service d’hébergement
• Analyse des risques
• PSSI
• Déclaration des sous-traitants
• Modèles de contrats types
• Dispositions de sécurité
– 8 mois d’instruction par l’ASIP et la CNIL
– Agrément valable 3 ans
– Procédure de mise à jour de l’agrément
• Auto-évaluation au minimum annuelle
• Procédure de renouvellement au bout de 3 ans avec audit

9. L’expérience d’H2AD
• Le métier H2AD
– Des caractéristiques particulières
• Taille: PME
• Offre de services complète
– Un plateau médicalisé 24/7
– Une application logicielle « dossier de suivi médical » des patients
– Des solutions de maintien à domicile et de téléalarme
– Des solutions de télémédecine
• Offre de services intégrée
– Fourniture des services humains et médicaux
– Fourniture de l’application logicielle sous-jacente
– Hébergement des données de santé générées
– Une expérience de terrain
• Plateau opérationnel sans interruption depuis janvier 2006

10. L’expérience d’H2AD
• H2AD et l’agrément hébergeur
– Une approche fonctionnelle
• Plateau médicalisé 24/7
• Procédures manuelles et automatique de contrôle
• Un suivi structuré des conditions de mise en œuvre de l’agrément
– Médecin hébergeur et contrôles qualité
– Commission de Sécurité du Système d’Information
– Comité Juridique et Déontologique
– Site Intranet dédié
– Une procédure d’obtention longue
• Préparation interne du dossier: 4 mois
• Dépôt, instruction, questions/réponses: 8 mois
• Notification en février 2010

11. L’expérience d’H2AD
• Un agrément complexe à « manier »
– La frontière traitement/hébergement pose question
• Chiffrement et authentification
• Continuité de service
• Accès aux données par le médecin hébergeur
– La PSSI – un outil interne pertinent mais complexe
• Quel périmètre
– Un nouveau client = un nouveau contrat type = mise à jour de
l’agrément?
• Mises à jour fréquentes
• Evolutions « non substantielles » ou nouvel agrément?

12. En vous remerciant…
– Quelques liens:
• http://www.afhads.fr
• http://esante.gouv.fr
• http://www.cnil.fr
• http://www.h2ad.net
Serge Nepomiastchy
Directeur Système d’Information H2AD
sn@h2ad.net