Coup de frein pour les start-up françaises de la e-santé ?
Par Nathalie Boudet-Gizardin, Marine Vanhoucke, associées et Linah Bonneville, stagiaire
Le projet de loi n°1514 visant à sécuriser et réguler l'espace numérique en France, connu sous le nom de SREN (Sécurisation et Régulation de l'Espace Numérique) a été adopté par le Sénat le 5 juillet 2023.
Lors de sa première lecture à l’Assemble nationale, le texte a fait l’objet de nombreux amendements par la commission spéciale, dont un en particulier suscite des inquiétudes quant à son impact sur les start-up du secteur de la e-santé en France.
Avant d’examiner la teneur de cet amendement, il y a lieu de rappeler brièvement le cadre juridique de l’hébergement des données de santé en France.
I - Bref rappel du cadre juridique de l’hébergement des données de santé
Les données de santé sont des données à caractère personnel particulières car elles sont considérées comme sensibles et font donc l’objet d’une protection particulière. Elles se définissent comme : « les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ».
En France, la protection des données de santé à caractère personnel et notamment son hébergement a fait l'objet d'un renforcement significatif de son cadre juridique.
Depuis le 1er avril 2018, l'article L.1111-8 du code de la santé publique définit l’activité d’hébergement de donnée de santé (HDS) recueillies « à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ») et précise les règles applicables à l’hébergement de données de santé effectué pour le compte d’un responsable de traitement, ou pour le compte du patient lui-même.
Les principales exigences de cet article sont les suivantes :
- L'hébergement des données de santé doit être réalisé après en avoir informé la personne concernée, à moins qu'elle ne s'oppose légitimement à cet hébergement.
- La prestation d'hébergement des données de santé à caractère personnel doit être formalisée par un contrat, établissant clairement les droits et les responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées.
- Les hébergeurs de données sur support numérique sont tenus d'obtenir un certificat de conformité délivré par des organismes de certification dûment accrédités. Ces certificats attestent que les hébergeurs respectent des normes de sécurité et de protection des données strictes, garantissant ainsi la sécurité des données de santé hébergées.
II - L'Amendement « SecNumCloud » : un défi pour les start-up de la e-santé
La commission spéciale de l’Assemblée Nationale a proposé d’insérer au projet de loi un nouvel article 10 bis B prévoyant que :
« Le deuxième alinéa du III de l’article L. 1111‑8 du code de la santé publique est complété par une phrase ainsi rédigée : «À compter du 1er juillet 2024, en cas d’archivage numérique au moyen d’un service d’informatique en nuage, les conditions d’agrément respectent les conditions en vigueur prévues par le référentiel d’exigences des prestataires de services informatiques en nuage publié par l’Agence nationale de sécurité des systèmes d’information. »
Rappelons que l'Agence nationale de la sécurité des systèmes d'information (L'ANSSI) en France a été créée en 2009 et est rattachée au secrétariat général de la Défense et de la Sécurité nationale.
En 2016, l'ANSSI a élaboré le référentiel évolutif "SecNumCloud" pour qualifier les prestataires de services de cloud computing. Son objectif est de promouvoir des prestataires de confiance pour l'hébergement des données, applications et systèmes d'information, tant pour les entités publiques que privées cherchant à externaliser leurs services informatiques.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a, elle aussi, précisé que ce référentiel était recommandé aux prestataires de services cloud, afin de s’assurer de leur conformité aux exigences européennes relatives à la protection des données personnelles notamment à la jurisprudence de la Cour de Justice de l’Union Européenne relative au transfert de données en dehors de l’Union (arrêt « Schrems II »).
Dans ce cadre, l'amendement en discussion prévoit que les données de santé françaises doivent être hébergées chez des opérateurs labellisés "SecNumCloud" d'ici le 1er juillet 2024. Cela signifie que toutes les entreprises, y compris les start-up du secteur de la e-santé, devront migrer leurs données vers des fournisseurs de cloud certifiés SecNumCloud dans un délai de neuf mois à compter de l'entrée en vigueur de cette loi.
Les principales préoccupations des start-up sont les suivantes :
- Le délai de neuf mois est considéré comme insuffisant pour réaliser une migration en toute sécurité de l'ensemble de leurs données. Les start-up craignent que cela ne perturbe leurs services, voire qu'elles soient contraintes de suspendre leurs activités, ce qui aurait un impact très négatif sur leurs clients et leurs opérations.
- Les solutions de cloud certifiées SecNumCloud actuellement disponibles en Europe sont perçues comme moins compétitives en termes de coûts et de performances par rapport aux géants américains tels qu'Amazon Web Services (AWS), Google Cloud ou Microsoft Azure.
En réponse à ces inquiétudes, certaines start-up suggèrent de remplacer la référence à SecNumCloud par la certification "HDS" (Hébergeurs de données de Santé). Cette certification, en vigueur depuis 2018, est déjà utilisée par certaines entreprises du secteur de la e-santé. Elle vise également à renforcer la protection des données de santé et à instaurer un climat de confiance propice au suivi des patients.
La question de savoir quelle certification sera finalement retenue fait actuellement l'objet de débats et de discussions au sein du gouvernement et de l'industrie, dans le but de trouver un équilibre entre sécurité, performance, et coûts pour l'ensemble du secteur de la e-santé en France.
Les prochains jours seront décisifs car le projet SREN est en cours de discussion devant l’Assemblée nationale.
Nathalie Boudet-Gizardin
Associée
Elle a rejoint le cabinet la même année au sein de l’équipe Civil et Santé de Catherine Paley-Vincent. Elle conseille les acteurs de santé particulièrement en matière de :
Défense civile, disciplinaire et pénale des professionnels de santé, des ordres professionnels et des laboratoires de biologie médicale et vétérinaire
Conseil et assistance des professionnels de santé pour structurer leurs activités, y compris dans le cadre de coopération public/privé, notamment en imagerie médicale.
Marine Vanhoucke
Associée
Marine Vanhoucke conseille les entreprises en matière de Propriété Intellectuelle et les accompagne sur leurs sujets de Conformité.
Responsable du bureau de Hong Kong, elle assiste les sociétés françaises dans leur implantation et croissance en Asie et a construit une expertise des questions juridiques de droit international, mêlant notamment des intérêts français et asiatiques.