Ces deux recommandations rappellent que "les données de santé à caractère personnel ne peuvent être utilisées que dans l’intérêt direct du patient et à des fins de santé publique, dans les conditions définies par la loi". Dans ce contexte, la CNIL rappelle que les données de santé, qu’elles soient communiquées par les personnes concernées ou par les professionnels de santé, ne devraient pas faire l’objet d’une exploitation commerciale ou d’une communication à des tiers dans une perspective de prospection commerciale.

Ces principes s’appliquent, selon la CNIL, non seulement aux éditeurs de sites, mais également aux " sociétés et organismes susceptibles de gérer et de conserver, pour le compte de professionnels de santé ou d’établissements de santé, des dossiers médicaux accessibles sur Internet ".

La CNIL précise en outre, et c’est là la traduction essentielle de la responsabilité particulière des hébergeurs de données de santé, que des mesures de sécurité spécifiques devront être mises en œuvre, notamment "procédés de chiffrement", "journalisations des connexions", et "portées à la connaissance de la CNIL lors de l’accomplissement des formalités préalables".

La CNIL interpelle enfin le législateur sur la nécessité de prévoir un agrément des sociétés de services chargées d’assurer l’hébergement des dossiers de santé.

Le métier d’hébergeur de données de santé n’est donc pas un métier comme les autres : en tant que "conservateur" de données sensibles, ils doivent être en mesure de s’engager à fournir des prestations d’hébergement présentant des niveaux de sécurité spécifiques, sur lesquels la CNIL portera une attention plus particulière dans le cadre de la mise en œuvre des formalités préalables.

A cet effet, rappelons que les formalités préalables à respecter au titre de la mise en œuvre de traitements de données de santé, varient en fonction du cadre dans lequel ces données sont collectées :

• demande d’autorisation implicite pour les fichiers de recherche en santé (essai clinique),
• demande d’autorisation expresse pour les fichiers d’évaluation des pratiques de soins (réseaux de soins, notamment),
• déclaration préalable pour les autres fichiers en matière de santé.

Dans tous les cas, l’assistance du prestataire d’hébergement sera nécessaire au titre de la description minutieuse des mesures de sécurité physique et logique engagées.

Le projet de loi de réforme de la loi "Informatiques, fichiers et libertés" déposé il y a quelques semaines, mais qui n’a pas encore été discuté, contient enfin des dispositions organisant :

• l’attribution de pouvoirs de sanction pécuniaire à la CNIL, tel que cela est déjà le cas pour d’autres autorités administratives indépendantes telles que le Conseil de la Concurrence ou la COB,
• la légalisation de l’exigence du recueil du consentement exprès des personnes concernées au traitement de données de santé, en tant que données sensibles,
• la généralisation de la procédure d’autorisation pour tous les fichiers contenant des données de santé.

La tendance est donc plutôt à un renforcement des contrôles sur les opérateurs en charge de la gestion de fichiers de santé, et plus particulièrement des hébergeurs.