Hébergement données médicales en Europe : le guide simple

Pourquoi l'hebergement est un sujet qui compte vraiment

Quand un patient appelle votre cabinet et parle a un assistant vocal, sa voix est transformee en texte, ce texte est analyse, et des informations sur lui (son nom, sa demande, son rendez-vous) sont enregistrees quelque part. Ce "quelque part", c'est un serveur informatique. Et l'emplacement physique de ce serveur a des consequences juridiques reelles.

C'est le sujet de l'hebergement des donnees medicales. Ce n'est pas un detail technique. C'est une obligation legale dont vous etes responsable en tant que praticien, meme si vous confiez la gestion telephonique a un prestataire.

Le cadre legal en deux points

Deux textes encadrent principalement l'hebergement des donnees medicales.

Le premier est le RGPD (Reglement General sur la Protection des Donnees, Reglement UE 2016/679). Il s'applique a toutes les entreprises qui traitent des donnees de citoyens europeens. Son article 46 encadre strictement les transferts de donnees hors de l'Union europeenne.

Le deuxieme est la legislation nationale. En France, les donnees de sante sont soumises a des regles supplementaires concernant leur hebergement, definies dans le Code de la sante publique. Les Hebergeurs de Donnees de Sante (HDS) doivent obtenir une certification specifique delivree par l'ANS (Agence du Numerique en Sante).

En Belgique, l'APD (Autorite de Protection des Donnees) a publie des lignes directrices specifiques sur le traitement des donnees de sante, incluant des exigences sur leur hebergement.

Ce que "hebergement en Europe" signifie concretement

Quand un prestataire dit que ses donnees sont "hebergees en Europe", ca veut dire que les serveurs sur lesquels vos donnees patients sont stockees sont physiquement situes dans un pays membre de l'Union europeenne.

Ce n'est pas suffisant de verifier que l'entreprise prestataire est europeenne. L'entreprise peut etre basee a Paris et heberger ses donnees sur des serveurs a Dublin (Irlande, UE) ou a Frankfort (Allemagne, UE), ce qui est conforme. Mais si elle heberge ses donnees sur des serveurs de AWS US East (Virginie, Etats-Unis), c'est une violation potentielle du RGPD, meme si l'entreprise elle-meme est francaise.

La question a poser : "Dans quel datacenter, dans quelle ville, dans quel pays sont physiquement stockees les donnees de mes patients ?"

Le probleme des prestataires americains et des clauses Schrems II

Depuis l'invalidation du Privacy Shield par la Cour de Justice de l'Union Europeenne (arret Schrems II, juillet 2020), le transfert de donnees personnelles vers les Etats-Unis est une zone juridiquement complexe.

Plusieurs grands prestataires technologiques americains (AWS, Google Cloud, Microsoft Azure) ont des centres de donnees en Europe. En theorie, si vous utilisez leur region europeenne, vos donnees restent en Europe. En pratique, ces entreprises peuvent etre soumises a des lois americaines (notamment le Cloud Act de 2018) qui permettent aux autorites americaines d'exiger l'acces a des donnees stockees en dehors des Etats-Unis par des entreprises americaines.

Pour des donnees de sante, c'est particulierement problematique. L'APD belge et la CNIL francaise ont toutes deux emis des avertissements sur l'utilisation de services cloud americains pour le traitement de donnees sensibles.

La recommandation la plus sure : privilegier des prestataires dont les donnees sont hebergees chez des hebergeurs europeens independants des grands acteurs technologiques americains.

Comment verifier l'hebergement de votre prestataire IA vocale

Voici les questions concretes a poser a tout prestataire d'IA vocale avant de signer un contrat.

Question 1 : Quel hebergeur utilisez-vous ? Le nom de l'hebergeur (OVH, Scaleway, Hetzner, etc.) et sa nationalite.

Question 2 : Dans quelle region geographique sont vos serveurs ? La ville et le pays. "Region Paris", "Region Francfort" ou "Region Bruxelles" sont des reponses specifiques et verifiables.

Question 3 : Est-ce que des donnees peuvent transiter ou etre temporairement stockees hors Europe pendant le traitement ? Les API de reconnaissance vocale et de traitement du langage naturel peuvent etre des points de fuite si elles font appel a des services externes.

Question 4 : Avez-vous une certification HDS (pour la France) ou l'equivalent ? Cette certification n'est pas obligatoire pour tous les types d'hebergement de donnees de sante, mais sa presence est un signal positif sur le serieux du prestataire en matiere de conformite.

Question 5 : Quels sont vos sous-traitants et ou hebergent-ils les donnees ? Un prestataire qui utilise plusieurs services externes doit etre transparent sur chacun d'eux.

Ce que vous devez documenter comme praticien

En tant que responsable du traitement au sens du RGPD, vous avez des obligations documentaires meme si vous confiez le traitement des donnees a un prestataire.

Le registre des activites de traitement : vous devez tenir un registre qui recense vos traitements de donnees, incluant l'utilisation d'un agent vocal, avec les informations sur le prestataire, la nature des donnees traitees, et les mesures de securite en place.

L'accord de traitement des donnees (DPA) : ce document doit etre signe avec votre prestataire avant tout deploiement. Il definit les obligations de chaque partie, les sous-traitants utilises, et les procedures en cas de violation de donnees.

La politique de confidentialite : vos mentions legales et politique de confidentialite (sur votre site, dans votre salle d'attente) doivent mentionner l'utilisation d'un agent vocal et les garanties associees.

Ces documents ne sont pas juste des formalites. En cas de controle par l'APD ou la CNIL, ou en cas de plainte d'un patient, ils constituent votre premiere ligne de defense.

Conclusion

L'hebergement des donnees medicales n'est pas un sujet que vous pouvez deleguer en blanc a votre prestataire et ignorer ensuite. Vous restez responsable, en tant que praticien, de la maniere dont les donnees de vos patients sont traitees.

La bonne nouvelle : verifier la conformite d'un prestataire n'est pas tres complique si vous posez les bonnes questions. Un prestataire serieux doit pouvoir y repondre clairement, fournir la documentation correspondante, et signer un DPA detaille.

Des questions sur la conformite RGPD de votre futur prestataire IA vocale ? Contactez-nous et nous vous fournissons notre documentation complete de conformite.

Lire aussi : IA vocale et secret medical : est-ce legal ?