D- LES DANGERS DU « CLOUD COMPUTING » OU HÉBERGEMENT OPAQUE
1- L'encadrement des hébergeurs de données de santé
Vos rapporteurs se sont inquiétés auprès des représentants de la CNIL du grand nombre de professionnels, qui, en dehors des acteurs de santé, autour du corps médical, ont accès aux données, notamment les ingénieurs, les personnes chargées de la maintenance des appareils et en particulier à distance, par Internet, les sociétés non médicales qui ont un accès au coeur des machines ; comment être certain que les informations ne peuvent pas être diffusées à l'extérieur sans que le patient en soit informé ? Comment assurer la protection de ces données contre d'éventuels piratages ?
Il existe une législation stricte et précise sur les hébergeurs de ces données, applicable à tout détenteur, producteur ou conservateur de ces données. L'article L.1111-8 du code de la santé publique en organise le cadre général. Il dispose dans ses deux premiers alinéas que : « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.
Les traitements de données de santé à caractère personnel que nécessite l'hébergement prévu au premier alinéa, quel qu'en soit le support, papier ou informatique, doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La prestation d'hébergement, quel qu'en soit le support, fait l'objet d'un contrat. Lorsque cet hébergement est à l'initiative d'un professionnel de santé ou d'un établissement de santé, le contrat prévoit que l'hébergement des données, les modalités d'accès à celles-ci et leurs modalités de transmission sont subordonnées à l'accord de la personne concernée ».
Le décret du 4 janvier 2006 détermine les conditions de l'agrément, organise la procédure et fixe le contenu du dossier qui doit être fourni à l'appui de la demande. L'article R.1111-13, résultant de ce décret, définit les clauses minimales que doivent contenir les contrats d'agrément, passés avec l'organisme hébergeur.
Selon les responsables de la CNIL 86 ( * ) auditionnés par vos rapporteurs, un effort assez novateur a été fait avec ce dispositif, puisque le prestataire qui devient responsable d'un traitement doit obtenir un agrément du ministre, pris après avis de la CNIL, puis d'un comité d'agrément des hébergeurs placé auprès du ministre de la santé, qui se prononce sur la conformité du dossier au regard des dispositions du décret du 4 janvier 2006.
La CNIL estime que la multiplication des contrôles effectués chez les hébergeurs de santé ces dernières années, a eu un effet pédagogique et a produit une progression dans l'élévation des niveaux de sécurité. En concertation avec l'Agence des systèmes d'information partagés de santé (ASIP Santé), elle a élaboré des référentiels de sécurité et d'interopérabilité et considère qu'« un véritable ordre public propre à garantir la sécurité des données de santé est ainsi en cours de construction ».
* 86 Sophie Vuillet-Tavernier, directrice des études de l'innovation et de la prospective de la CNIL et Frédérique Lesaulnier, service des Affaires juridiques - (Audition des Rapporteurs du 23 novembre.2011).