Comment contractualiser l’hébergement des données de santé de vos clients et/ou de vos patients ?
« Sous-traiter l’hébergement des données, ça ne veut pas dire donner toutes les clés à l’hébergeur. L’entreprise qui sous-traite garde une large part de responsabilité dans la protection de ses données » Gaëlle Tilloy, avocate en droit du numérique
En matière de traitement des données de santé, les intervenants sont souvent nombreux. Autrement dit, l’hébergeur et son client sont loin d’être les seules parties prenantes. Du professionnel de santé qui saisit les données dans un logiciel, en passant par l’éditeur qui développe les API permettant le transfert des données, jusqu’à l’hébergeur : tous portent une part de responsabilité dans la sécurisation des données.
Contractualiser en mode complexe
Le responsable de traitement doit ainsi s’assurer que tous les fournisseurs de services numériques respectent les bonnes pratiques en matière de RGPD.Dans l’idéal, il devrait faire auditer ses prestataires de premier niveau et s’assurer que ces derniers choisissent eux-mêmes des prestataires de second niveau « compliant ». Une bonne pratique dans le cadre de sous-traitance : les contrats tripartites, associant par exemple un hébergeur, un éditeur et un établissement de santé. Ce mode de contractualisation est aujourd’hui peu courant mais préconisé du point de vue juridique.
PAQ et PAS : quésako ?
Le Plan d’Assurance Qualité (PAQ) est un document de gestion de projet qui définit toutes les spécificités et les caractéristiques nécessaires pour la gestion opérationnelle du projet. Par exemple : tenue des comités de pilotage, modalités de tests de sécurité…
Le Plan d’Assurance Sécurité (PAS) précise les mesures que le prestataire adopte concrètement en matière de sécurité, dans son architecture technique comme dans l’organisation pratique de son activité quotidienne : modalités techniques d’accès aux services informatiques, différents enregistrements opérés afin de tracer les opérations ou assurer les sauvegardes, moyens de protection et de contrôle mis en place à chaque étape…
S’il n’est pas obligatoire de joindre les PAQ et PAS au contrat, il est largement recommandé de le faire, notamment dans le cas de projets complexes.
Par ailleurs, ces annexes au contrat peuvent faire l’objet de modifications en cours d’exécution du contrat. Elles offrent une souplesse précieuse, alors même que le contexte réglementaire et technologique ne cesse d’évoluer.
