Une entité est soumise à l’obligation d’être hébergeur agréé dès lors qu’elle conserve des
données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale.

Un établissement de santé ou un professionnel de santé n’est pas soumis à la procédure d’agrément pour héberger les données de santé des patients pour lesquels il intervient dans des activités de prévention, de diagnostic ou de soins.

Un établissement ou un professionnel hébergeant des données pour une autre entité est soumis à l’agrément hébergeur. C’est notamment le cas d’un GCS ou d’un GIP hébergeant pour le compte de ces membres. Par exemple, la délibération CNIL 2005-026 fait obligation au GIE Télémédecine Océan Indien d’obtenir l’agrément d’hébergeur pour son dossier médical partagé en cancérologie.

Sources :
– présentation de l’agrément hébergeurs sur le site de l’ASIP Santé
– guide de l’AFCDP sur la protection des données de santé (publication à venir)