Je m’interroge sur le cadre légal des données de santé. J’ai cru comprendre que seuls les établissements de santé et hébergeur associés sont concernés par le besoin d’une certification HDS.
Mais, je me demande si il y a d’autres spécificités du droit concernant des données de santé qui seraient déposées par les bénéficiaires de services de drive (type nextcloud).
Je pense notamment aux écoles (qui doivent vérifier la vaccination des élèves), au centre de vacances ou autres accueils de mineurs (qui demandent une fiche médicale).
Idem pour les particuliers qui archivent toutes leurs data de santé sans qu’on en ai vraiment conscience dans l’espace nextcloud qu’on leur fournit.
Merci à toutes les personnes qui prendront le temps de réfléchir à la question et spécialement aux DPO ou juristes.
Je ping @interhop qui a peut être une idée sur la question…
Bonsoir,
Toute application qui traite ou stocke des données de santé (sous-traitant ST) pour le compte d’un responsable de traitement RT (au sens RPGD) doit donc être dans un environnement HDS.
De notre côté on a une position claire. Données de santé = HDS. Ca sécurise tout le monde
J’ai cherché de mon côté et je trouve quand même dans les exemples de la FAQ que les organismes d’assurance maladie obligatoire et complémentaire ne sont pas concernés. https://esante.gouv.fr/produits-services/hds
Il semble qu’il faut que les données soient recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social.
Et je remarque aussi que Ecole Directe / Charlemagne Infirmerie ne semble pas HDS.
I.-Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article.
Oui malheureusement plein d’acteurs de la santé ne sont pas HDS alors qu’ils le devraient. Par exemple aussi, beaucoup de pharmacies demandent l’envoi de courriel sur gmail (qui n’est bien sur pas HDS)
Chez KAZ, on a régulièrement des ddes de professionnels de santé (toubib/dentistes/infirmières/…) qui nous demande comment faire pour se dégafamiser. Et je dois dire qu’on se sent assez mal à l’aise pour répondre. Car évidemment, aucune de nos instances nextcloud ne sont dans un environnement HDS.
Mais on peut faire mieux.
Mais oui ! on pourrait pas pousser les solutions proposées par @interhop ? à part vous, vous connaissez d’autres CHATONS qui sont sur du HDS ?
Effectivement, un de nos hébergé association recueille les régimes alimentaires/allergies de ses bénévoles (pour de la préparation de repas).
Ce sont bien des données de santé (en plus d’être personnelles), mais comme l’activité/traitement n’est pas médical ou avoisinant, nul besoin d’un agrément HDS pour l’hébergeur.
J’ai eu une confirmation orale (pour ce que ça vaut) de la CNIL la dessus il y as ~5 ans.
