Annoncée depuis la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé (modifiée par la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé), la réforme de l’hébergement des données de santé s’est concrétisée avec la publication, le 26 février 2018, du décret n° 2018‑137 relatif à l’hébergement de données de santé à caractère personnel.

Par ce dispositif législatif, le législateur a organisé l'encadrement de la collecte et de l'accès des données de santé (voir Données de santé), mais aussi les règles d’hébergement des données de santé à caractère personnel et a créé le Système national des données de santé (SNDS), régi par les articles L. 1461-1 et s. du Code de la santé publique. Le SNDS rassemble les données des bases existantes ou en cours de constitution, en matière sanitaire et médico-sociale, sous la responsabilité de la Caisse d’assurance maladie des travailleurs salariés (CNAMTS).

L’hébergement des données de santé à caractère personnel (ou données personnelles de santé) fait donc l’objet d’un encadrement spécifique, aujourd’hui prévu par les articles L. 1111‑8 et R. 1111-8-8 du Code de la santé publique. L'application de ces règles d'hébergement est due y compris si les données sont pseudonymisées.

Ainsi, « [t]oute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article ».

Les conditions pour la mise en œuvre d'un hébergement sont les suivantes :

• l'hébergement des données ne peut avoir lieu qu'après information de la personne concernée et sans opposition de sa part ;
• la prestation d'hébergement fait l'objet d'un contrat ;
• l'hébergeur des données est titulaire d'un certificat de conformité délivré par des organismes de certification accrédités ;
• l'hébergeur des données est agréé par le ministre chargé de la culture pour la conservation des données ;
• un décret pris en Conseil d'État, avis de la CNIL, précise la nature des prestations d'hébergement, les rôles et responsabilités de l'hébergeur et des personnes physiques et morales pour le compte desquelles les données de santé à caractère personnel sont conservées, les obligations de l'hébergeur en matière de stockage sur le territoire d'un État membre de l'union européenne, les stipulations devant figurer dans les contrat ;
• l'accès doit être organisé conformément aux règles des articles 1110-4 et L. 1111-7 du Code de la santé publique.
• l'absence d'utilisation des données à d'autres fins que celles prévues par la prestation d'hébergement.

Sont exclus de la qualification d'hébergeur de données de santé à caractère personnel :

• les organismes d'assurance maladie obligatoire, 
• les organismes de recherche lorsque les bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi médico-social, 
• les associations proposant des activités sportives à des personnes en situation de handicap dans la mesure où elles ne sont pas à l'origine des données de santé.

Jusqu’à l’adoption du décret de 2018, l’activité d’hébergement de données de santé était soumise à l’obtention d’un agrément délivré spécifiquement à cet effet par le ministre de la Santé. 

En 2016, le législateur a considéré que ce régime devait être « simplifié » et a, en 2017, donné au Gouvernement une habilitation afin d'adopter de nouvelles règles par ordonnance pour « remplacer l’agrément prévu au même article L. 1111‑8 par une évaluation de conformité technique réalisée par un organisme certificateur accrédité ». On est donc passé d'un régime d'agrément à un régime juridique de certification de l’hébergeur par un organisme accrédité. - Ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement des données de santé à caractère personnel

Le Code de la santé publique précise notamment les opérations propres à l'activité d'hébergement, le champ d’application de la certification (article R. 1111-9), les modalités de mise en œuvre de la procédure de certification (article R. 1111-10), ainsi que le contenu du contrat d'hébergement (article R. 1111-11).

Parmi les offres de produits et services qu'elle offre, l'Agence du Numérique en Santé figure la Certification HDS (Hébergement des Données de Santé) pour les hébergeurs d'infrastructures physiques et les hébergeurs infogéreurs.

Différentes opérations sont, en effet, considérées par l'article R. 1111-9 du Code de santé publique comme des opérations d'hébergement :

• la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé ;
• la mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé ;
• la mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé ;
• la mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information ;
• l'administration et l'exploitation du système d'information contenant les données de santé.

Son exonérés de la certification, selon le ministère de la Santé, les Groupements hospitaliers de territoire à trois conditions cumulatives :

• La convention GHT doit prévoir explicitement la délégation d’activité d’hébergement à l’établissement hébergeur ;
• un accord de co-responsabilité de traitement doit être conclu entre l’ensemble des membres du GHT, conformément aux dispositions de l’article 26 du RGPD ;
• des mesures doivent être prises pour assurer la sécurité et la confidentialité des données hébergées ainsi que, d’une manière plus générale, le respect du RGPD.

Le Système national des données de santé ne peut conserver les données de santé que pour une durée maximale de 20 ans. – Article L. 1461, IV, 4° du Code de la santé publique

La CNIL a établi un référentiel pour fixer les durées de conservation relatif à la conservation des données à caractère personnel traitées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. - Délibération n° 2020-077 du 18 juin 2020. En 2023, la CNIL a adopté de nouveaux référentiels, ainsi que le Référentiel de l’échantillon du système national des données de santé.

Ce référentiel précise les durées applicables en fonction des finalités, en s’appuyant notamment sur les Méthodologies de Référence (MR). Si un responsable de traitement choisit de s’engager à respecter une MR, il est tenu de suivre les durées qu’elle prévoit.

Dans le cas où, à l'inverse, les données personnelles ne sont pas traitées conformément à une MR, le responsable de traitement doit définir une durée adaptée au projet, en respectant le principe de limitation de la conservation. Cette durée est examinée par la CNIL lors de l’instruction de la demande d’autorisation. Une fois cette autorisation délivrée, le responsable de traitement doit impérativement se conformer à la durée mentionnée.