L’usage des technologies No-Code est de plus en plus populaire auprès des entreprises de toutes tailles. Ces solutions ont de nombreux avantages tels qu’un déploiement plus rapide et des coûts réduits. Par ailleurs, le secteur de la santé est extrêmement dynamique et vaste : des trackers de fitness aux dossiers médicaux informatisés, les usages se multiplient. Pour de nombreux entrepreneurs, start-up ou grandes entreprises engagés dans la recherche de solutions liées à la santé, il pourrait être tentant d’utiliser Bubble, Airtable, Glide ou Zapier…
Mais est-il réaliste de penser qu’une entreprise puisse, pour le traitement des données françaises, utiliser ces outils No-Code dans le secteur de la santé en France ?
Il est recommandé d’être bien informé avant de prendre une telle décision. Dans cet article, nous allons essayer de t’éclairer sur le sujet.
Évidemment, tout ce que tu pourras lire ci-dessous ne relève pas d’un conseil juridique bien qu’il ait été rédigé avec l’aide d’un avocat spécialisé en droit des données de santé. Nous ne pouvons que te recommander de te rapprocher d’une ou d’un avocat pour affiner ton projet.
Néanmoins, ces quelques paragraphes pourront te donner un premier aperçu des notions à connaître, des risques à prendre en compte et des solutions existantes.
- 1. Vérifier si les données à traiter sont bien des données de santé
- 2. Identifier son profil aux yeux de la loi : hébergeur ou responsable de traitement de données de santé
- 3. Adopter les prérequis nécessaires pour éviter les ennuis judiciaires
- 4. Connaître les risques auxquels je m'expose en traitant des données de santé
- 5. S'appuyer sur des solutions No-Code ou Low-code adaptées au traitement des données de santé
1. Vérifier si les données à traiter sont bien des données de santé
Pour éviter les malentendus et tomber dans certains pièges, nous t’avons résumé ici les notions fondamentales à connaître en matière de données de santé.
1.1 Une définition plus large que tu ne l’imaginais
Tu as probablement déjà entendu parler des données à caractère personnel.Il s’agit de “toute information se rapportant à une personne physique identifiée ou identifiable » d’après le Registre Général de Protection des Données (RGPD).Par exemple, ton nom, prénom, ton adresse mail (s’il comprend ton nom et prénom), ton adresse personnelle ou tes données de localisation sont des données à caractère personnel.
A contrario, toutes données anonymisées ne rentrent pas dans le champ du RGPD. Ce sujet pourrait également faire l’objet d’un article. La Commission nationale de l’informatique et des libertés (CNIL) l’a déjà très bien traitée.Les données de santé à caractère personnel sont quant à elles définies par le RGPD comme « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèle des informations sur l’état de santé physique ou mentale, passé, présent ou futur de la personne concernée ».D’après la CNIL, il existe trois catégories de données de santé :
- Données de santé par nature comme une maladie ou les résultats d’un examen médical ;
- Données de santé du fait du croisement avec d’autres données comme le nombre de pas rapporté au poids et à l’âge de l’utilisateur ;
- Données de santé en raison de leur destination lorsqu’elles sont utilisées pour des raisons médicales.
Enfin, les données recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social peuvent également être considérées comme des données de santé à caractère personnel si elles correspondent à l’une des trois catégories citées plus haut.
1.2. Quatre exemples concrets dans la tech
- Alan est une entreprise française d’assurance santé 100% en ligne. Dans un article de blog, l’entreprise explique en détail comment elle héberge ses données de santé.
- Francetest est une entreprise française visant à simplifier la gestion des tests antigéniques par les professionnels de santé. Elle a récemment fait la une de la presse juridique tech en raison d’une mise en demeure par la CNIL. Nous en reparlerons un peu plus bas.
- Doctolib est une entreprise française proposant un logiciel de gestion de rendez-vous et autres services à destination des professionnels de santé, ainsi qu’un service de prise de rendez-vous en ligne pour les patients en France, en Italie et en Allemagne. La plateforme a obtenu une certification pour héberger ses données de santé.
- Dedalus Biologie est une société commercialisant des solutions logicielles pour des laboratoires d’analyse médicale. Ses solutions gèrent des données médico-administratives de centaines de milliers de personnes. Elle a récemment été sanctionnée par la CNIL. Nous reviendrons en détail sur cette affaire un peu plus bas.
2. Identifier son profil aux yeux de la loi : hébergeur ou responsable de traitement de données de santé
Les problématiques liées à la gestion des données de santé via des solutions No-Code intéressent tous les acteurs concernés : les éditeurs de technologie No-Code, les agences qui conçoivent des services à partir de ces solutions et enfin les No-codeurs gérants et améliorant ces services.
2.1. Es-tu hébergeur de données de santé ?
Dans les activités liées au numérique, l’hébergement de données de santé à caractère personnel consiste à exercer tout ou partie de ces activités :
- La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
- La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
- La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
- La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
- L’administration et l’exploitation du système d’information contenant les données de santé ;
- La sauvegarde de données de santé.
Ainsi, si tu réalises une ou plusieurs de ces activités et que tu es dans l’une des deux situations suivantes, alors tu pourrais être considéré comme un hébergeur de données de santé :
En d’autres termes, si tu es un éditeur de technologies No-Code, tu pourrais être considéré comme un hébergeur de données.
Ce rôle entraîne des obligations dont nous te parlerons plus bas.
2.2 Es-tu responsable de traitement ?
Ne pas être considéré comme un hébergeur de données de santé ne signifie pas être exempt d’obligations.
Les responsables de traitement sont les structures qui confient l’hébergement de données de santé à caractère personnel à un tiers.
Ainsi les agences ou product builder d’app No-Code peuvent être considérés comme des responsables de traitement.
Dans ce cas de figure, l’hébergeur de données de santé est le sous-traitant du responsable de traitement.
Tu es peut-être dans ce cas de figure et donc également soumis à des obligations que nous détaillerons dans la quatrième partie de cet article.
3. Adopter les prérequis nécessaires pour éviter les ennuis judiciaires
Que tu sois hébergeur de données de santé ou responsable de traitement, voici les prérequis à connaître pour avancer dans un projet de service numérique lié à la santé.
3.1 Récolter le consentement
C’est la base. Parce que les données de santé sont des données à caractère personnel, tu dois recueillir le consentement des personnes concernées. La CNIL a également réalisé une note complète sur le sujet.
3.2 Obtenir la certification “hébergeur de données de santé” (HDS)
Si tu es hébergeur :
Pour devenir hébergeur de données de santé, tu dois impérativement disposer d’une certification HDS.
La « certification HDS » est une notion qui recouvre en réalité deux périmètres de certification qui correspondent à deux métiers d’hébergement distincts :
- Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
- Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée.
Les exigences auxquelles sont soumis ces hébergeurs diffèrent selon qu’il s’agit d’hébergeurs d’infrastructure physique ou d’hébergeurs infogéreurs.
Si tu souhaites obtenir cette certification HDS, le ministère de la santé détaille le processus dans une note.
Si tu es responsable de traitement :
Les responsables de traitement qui confient l’hébergement de données de santé à caractère personnel, et notamment de santé, à un tiers, doivent s’assurer que celui-ci est titulaire du certificat HDS.
À titre d’exemple, les hébergeurs OVH ou AWS proposent quelques services d’hébergement disposant de cette certification. La liste complète des opérateurs certifiés est disponible en ligne.
3.3 Option : chiffrer les données
Le chiffrement des données n’est pas une obligation mais davantage une bonne pratique voire un prérequis important. La CNIL partage quelques recommandations sur le sujet si tu veux aller plus loin.
Enfin, le chiffrement ne peut pas se substituer à une certification HDS.
4. Connaître les risques auxquels je m’expose en traitant des données de santé
4.1 Hébergeur de données de santé : prison et amende
Héberger des données de santé sans disposer de la certification HDS t’exposerait à ces sanctions :
- À titre personnel, tu risques trois ans d’emprisonnement et 45.000 euros d’amende ;
- Ton entreprise risque une amende maximum de 225.000 euros ;
En outre, tu peux également être sanctionné pour ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque du RGPD :
- Ainsi, le défaut d’agrément peut être sanctionné en tant que défaut de sécurité et entraîne un panel de sanctions. Une amende dont le montant peut s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent. Le montant le plus élevé étant retenu.
Deux exemples récents
- La société Francetest (en tant que sous-traitant) a été mise en demeure récemment par la CNIL pour sécurisation insuffisante des données de santé au regard de l’article 32 du RGPD. La CNIL a relevé de multiples insuffisances en termes de sécurité et notamment l’hébergement de données de santé chez un prestataire ne disposant pas d’un agrément HDS. La procédure a été clôturée depuis. La société Francetest a notamment changé l’hébergement de ses données de santé et recourt désormais à un prestataire HDS.
- La CNIL a été encore plus sévère avec l’entreprise Dedalus Biologie. Une amende de 1,5 million d’euros a été infligée à cette société en raison de manquements à plusieurs obligations prévues par le RGPD, en particulier l’obligation d’assurer la sécurité des données personnelles. En février 2021, la presse s’était fait l’écho d’une fuite massive de données de santé concernant près de 500 000 personnes. Ces données étaient gérées par la société DEDALUS. Les nom, prénom, numéro de sécurité sociale, nom du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques) avaient été diffusés sur internet.
4.2 Responsable de traitement : prison et amende
Un responsable de traitement (éditeur de solutions No-Code, agence No-Code ou No-Code builder) qui ne vérifierait pas la certification HDS de son hébergeur de données de santé pourrait être sanctionné sur le fondement du RGPD :
- 5 ans d’emprisonnement et 300.000 € d’amende à titre personnel ou 1.500.000 € pour les personnes morales ;
- Par la CNIL par un panel de sanctions administratives, et notamment de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’exercice précédent ;
Un exemple récent
- La CNIL a condamné deux professionnels de santé (médecins radiologues exerçant à titre libéral) pour ne pas avoir suffisamment protégé les données à caractère personnel de leurs patients et ne pas avoir notifié la violation de données à la CNIL. Ces deux professionnels de santé ont été condamnés respectivement au paiement de deux amendes de 3.000 € et 6.000 €.
5. S’appuyer sur des solutions No-Code ou Low-code adaptées au traitement des données de santé
5.1 En No-Code, ça devient possible
Aujourd’hui, il existe très peu d’outils No-Code permettant de déployer des solutions hébergeant et traitant des données de santé en France.
L’éditeur No-Code français Ksaar est l’un des premiers à proposer ce service. Ksaar permet de créer un logiciel métier sans coder. Les références de leur certification HDS sont mentionnées dans leur FAQ. De même pour udo.tools qui a dans son pricing une offre pour les données de santé.
Nul doute que d’autres éditeurs de solutions No-Code vont suivre ce mouvement. D’ailleurs, si tu en connais d’autres, n’hésite pas à nous les signaler.
ncScale reste en veille pour prévenir la communauté No-Code France dès qu’une nouvelle solution No-Code obtient la certification HDS.
5.2 En Low-Code, c’est aussi atteignable grâce à l’open source
Les solutions Low-Code et open source sont des pistes sérieuses à envisager si tu souhaites avancer plus rapidement dans ton projet.
Si tu héberges des données de santé ainsi que des solutions low code open source chez un opérateur certifié HDS, tu devrais pouvoir lancer un premier service.
Tu peux découvrir les solutions low-code et open source sur les sites Open Source Builders ou FLOSS.
Déployer une solution avec cette approche te demandera néanmoins beaucoup d’abnégation. De plus, tu devras consentir à un investissement financier plus important que pour d’autres projets lancés entièrement en No-Code.
Toutes les références juridiques pour aller plus loin :
- Données à caractère personnel : Loi n° 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés, art. 34.
- Hébergement des données de santé à caractère personnel : articles L.1111-8, R.1111-8-8 et L.6111-1 du code de la santé publique
- Règlement général sur la protection des données (RGPD) : Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
- Cadre juridique du HDS : Ministère des solidarités et de la santé et DSSIS – Explicitation du champ d’application du cadre juridique de l’hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d’information de santé, 16-5-2019
- Sanction : article 226-13 et 226-17 du Code pénal