Aurélien DOUARD ZZ1

La place de la santé dans l’informatique en France

Sommaire

1 - Introduction 1

2 - La vie privée et le numéro de sécurité sociale 2

3 - Les normes de sécurité pour les données de santé 2

4 - conclusion 3

sources 3
1 - Introduction
L’informatique occupe une place prépondérante dans la vie de tous les jours et de nouveaux
dilemmes font surface comme la gestion de la vie privée et des informations sensibles
comme les données de santé.

Dans cet exposé, nous allons voir comment sont gérées les données de santé dans
l’informatique en France?

Qu’est-ce qu’une donnée de santé?

D’après la CNIL une donnée de santé est une donnée « relative à la santé physique ou
mentale, passée, présente ou future, d’une personne physique (y compris la prestation de
services de soins de santé) qui révèle des informations sur l’état de santé de cette
personne. »

Par exemple, une donnée de santé peut être le résultat d’un test sanguin, d’allergies
alimentaires, ainsi que d’antécédents médicaux.

Mais il peut aussi y avoir des cas où des données qui initialement ne sont pas des données
de santé en deviennent. Par exemple, en ayant plusieurs données quelconques sur un
individu, nous pouvons déceler des informations sur sa santé en croisant les informations,
les données quelconques deviennent alors des données de santé.

Dans ce cas, qu’est-ce qui n'est pas une donnée de santé? La définition donnée par la CNIL
annonce qu’une donnée n’est pas catégorisée comme donnée de santé si à partir de
celle-ci, « aucune conséquence ne peut être tirée au regard de l’état de santé de la
personne concernée ».

Une donnée de santé est avant tout une donnée personnelle, et comme toute donnée
personnelle, elle peut s’avérer être sensible. C’est pourquoi elles sont soumises aux
contraintes de la RGPD. Le principe est simple: la personne doit donner son accord pour le
traitement de ses données, elle peut demander la manière dont elles sont traitées et a un
droit de copie et de suppression de ses informations.

Comme énoncé plus tôt, les données de santé sont des données sensibles, c’est pourquoi
tout traitement automatisé est interdit. On peut tout de même observer des exceptions, c’est
le cas dans les établissements de santé qui comprennent une automatisation du traitement
de données.

1
2 - La vie privée et le numéro de sécurité sociale
En informatique, on a souvent besoin d’identifier une personne avec certitude à l’aide d’un
identifiant unique qui lui est propre. On pourrait se dire pourquoi pas utiliser le numéro de
sécurité sociale (NIR), mais c’est fortement déconseillé, voir même interdit. Par définition le
numéro de sécurité sociale est une suite de chiffres ordonnés par rapport aux
caractéristiques de la personne. Le numéro de sécurité sociale est donc une donnée
personnelle. D’après la CNIL, il faut une autorisation juridique pour enregistrer et utiliser le
numéro de sécurité sociale.

3 - Les normes de sécurité pour les données de

santé
Les données de santé sont des données critiques. La fuite de ces données peut “gravement
atteindre la vie privée d’une personne”. Mais ces données doivent aussi être accessibles et
exactes à n'importe quel moment. La loi a donc instauré des normes pour l’hébergement des
données de santé.

Pour assurer “ la sécurité, la confidentialité, la pérennité et l’accessibilité des données des

patients ”, la loi impose aux prestataires d’hébergement de données de santé pour des tiers
à être en possession d’un agrément ou une certification du ministre de la santé. Mais si l’on
veut héberger des données de santé en interne, seulement la norme de la RGPD s’applique.

La procédure d’agrément n’existe plus, elle a été remplacée par une certification en 2018.

Cette certification vise à autoriser le prestataire à héberger des données de santé recueillies
“à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et
médico-social.” Mais en contrepartie, le prestataire doit suivre plusieurs points qui sont
définis dans l’ Article R1111-9.

Pour synthétiser ces points, un prestataire d'hébergement pour des tiers doit fournir un
service physique et virtuel disponible à tout moment afin de permettre le traitement,
l’hébergement et la sauvegarde des données de santé, mais aussi veiller au bon
fonctionnement et à la disponibilité de ces services. C'est-à-dire, veiller à la sécurité
physique et virtuelle des hébergeurs et prévenir d'éventuelles cyber attaques.

Un prestataire d’hébergement de données de santé qui n’a pas d’agrément ou de

certification risque 3 ans de prison et 45 000 € d’amende.

2
4 - conclusion
Les données de santé sont des données à part en informatique, car elles sont personnelles
et extrêmement sensibles. La banalisation des données de santé a entraîné la création d’un
cadre juridique pour encadrer ces données afin de protéger la vie privée des personnes.

On peut remarquer que la place de la santé dans l’informatique n’est pas anodine en
France. L’hébergement des données de santé doit être dans des lieux certifiés et sécurisés.
L'utilisation de ces données est très encadrée, elle est même interdite par défaut, ce qui
complique son utilisation.

L’intégration et l’utilisation de données de santé dans des systèmes informatiques sont donc
très fastidieuses. Seuls les prestataires de service de santé font exception dans l’interdiction
de l’utilisation des informations de santé.

sources
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000036658481/
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on
https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
https://www.cnil.fr/fr/quel-identifiant-pour-le-secteur-de-la-sante-la-cnil-propose-la-creation-d
un-numero-specifique
https://www.cnil.fr/fr/cnil-direct/question/quelles-condititions-peut-demander-le-numero-de-se
curite-sociale-nir
https://books.openedition.org/putc/4409?lang=fr