France: Hébergement des données de santé : la certification est officiellement applicable dès le 1er avril 2018

English version below

Pris en application de l'ordonnance du 12 janvier 2017, le décret n° 2018-137 du 26 février 2018, publié au Journal officiel du 28 février, fixe les règles relatives à l'hébergement de données de santé à caractère personnel.

Ainsi, ce décret détermine-t-il les modalités de mises en Suvre de la procédure de certification et son périmètre d'application, qui viendra désormais en remplacement de l'agrément que les hébergeurs devaient obtenir sous l'empire de la règlementation précédente.

Les objectifs poursuivis par la mise en place de la certification sont d'inscrire la démarche (i) dans une procédure déterminée, (ii) qui sera transparente, prédictible et souple.

Dans ce contexte, le nouveau décret :

1. définit le périmètre des activités d'hébergement des données de santé relevant de la certification, à savoir :

• la mise à disposition et le maintien en condition opérationnelle (i) des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé ; (ii) de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé ; (iii) de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé ; (iv) de la plateforme d'hébergement d'applications du système d'information ;
• l'administration et l'exploitation du système d'information contenant les données de santé ;
• la sauvegarde des données de santé.

2. fixe les conditions d'obtention du certificat de conformité et les clauses minimales que doit comporter le contrat d'hébergement de données de santé. A ce titre : 

• la certification interviendra sur la base d'un référentiel de certification élaboré par l'ASIP santé ;
• selon l'article R. 1111-11 du Code de la santé public, les nouvelles clauses suivantes devront figurer dans les contrats d'hébergement:

i.  la définition du périmètre du certificat de conformité, ses dates de délivrance et de renouvellement ;

ii.  la définition des lieux d'hébergement ;

iii. les mesures mises en Suvre pour garantir le respect des droits des personnes concernées ;

iv.  la mention du référent contractuel du client de l'hébergeur pour le traitement des incidents ayant un impact sur les données de santé hébergées ;

v. la mention de l'interdiction pour l'hébergeur d'utiliser les données de santé hébergées à d'autres fins que l'exécution de l'activité d'hébergement ;

vi. l'engagement de l'hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.

3.  Enfin, cette nouvelle procédure de certification étant applicable dès le 1er avril prochain, le décret précise les conditions dans lesquelles sont régies les demandes d'agrément, déposées avant le 31 mars 2018, ainsi que les agréments jusqu'à leur terme :

• le régime actuel restera applicable à tous les agréments délivrés avant le 31 mars 2018 ou à ceux délivrés après cette date pour les demandes déposées jusqu'au 31 mars 2018 ;
• les agréments expirant avant le 31 mars 2019 seront prolongés de 6 mois pour permettre à l'hébergeur d'effectuer les démarches de certification nécessaires à la poursuite de son activité d'hébergement de données de santé.

Entre la mise en application du RGPD et l'entrée en vigueur du décret n° 2018-137 du 26 février 2018, les industriels de la santé sont confrontés à des exigences accrues dans le traitement des différentes données qu'ils sont amenées à traiter et ce, dans un laps de temps assez court.

Hosting health data: certification is officially applicable as of April 1, 2018

Made by the order of January 12, 2017, Decree No. 2018-137 of February 26, 2018, published in the Official Journal of February 28, sets the rules for the hosting of personal health data.

Thus, this decree determines the implementation modalities of the certification procedure and its scope of application, which will be the replacement of the approval that the hosts were to obtain under the previous regulations.

The objectives pursued by the implementation of certification are to include the procedure (i) in a specific procedure, (ii) which will be transparent, predictable and flexible.

 In this context, the new decree:

1. defines the scope of hosting activities for health data covered by certification, which are:

• the provision and maintenance in operational condition of (i) physical sites for hosting the infrastructure materials of the information system used for the processing of health data; (ii) infrastructure of the information system used for the processing of health data; (iii) virtual infrastructure of the information system used for the processing of health data; (iv) the information system application hosting platform
• the administration and utilization of the information system containing the health data
• the safeguarding of health data

2. sets the conditions for obtaining the certificate of compliance and the minimum clauses that must be included in the health data hosting contract.

• The certification will intervene based on a certification framework developed by ASIP Santé,
• Pursuant to article R.1111-13 of the French Public Health Code, the following new clauses will have to be included in the Hosting contracts:

i. the definition of the scope of the certificate of compliance, its dates of issue and renewal

ii. the definition of the accommodation facilities

iii. the measures implemented to ensure respect for the people concerned

iv. the mention of the contractual reference of the host's client for the treatment of incidents that have an impact on the hosted health data

v. the mention of the host's prohibition on the use of hosted health data for purposes other than the performance of the health data hosting activity

vi. the commitment of the host to destroy the health data, without keeping a copy at the end of the service

 3. Finally, since this new certification procedure is applicable from April 1st, 2018, the new decree specifies the conditions under which approval applications filed before March 31, 2018, and approvals till completion :

• the current regime will remain applicable to all approvals issued before March 31, 2018 or those issued after this date for applications filed until March 31, 2018;
• approvals expiring before March 31, 2019 will be extended by 6 months in order to allow the host to do the certification procedures necessary for the continuation of its health data hosting activity.

Between the implementation of the GDPR and the entry into force of Decree No. 2018-137 of February 26, 2018, healthcare companies are faced with increased demands in the treatment of the various data they are required to process and this, in a short time.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.