Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues.
"Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet."
Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés.
L’ASIP Santé (Ministère des Affaires sociales et de la Santé) requiert un agrément de l’hébergeur pour l’hébergement des données de santé à l’extérieur des locaux des structures du social ou médico-social. L’utilisation d’un logiciel de gestion de dossiers d’usagers contenant un volet santé et hébergé sur un serveur externe conventionnel, même si techniquement très sécurisé, est illégal (article L 1111-8 du code de la santé publique et décret 2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel). L’absence de personnel médical dans les locaux de l'établissement ne le dispense aucunement de l’agrément. La loi ne s’applique pas seulement aux établissements sanitaires et aux cabinets médicaux.
