En bref
L'hébergement de données de santé exige une certification HDS obligatoire et le respect des exigences renforcées du RGPD. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Données de santé : définition juridique et portée de la qualification
Art. 4, point 15, RGPD (UE) 2016/679
« Les données concernant la santé englobent toute donnée à caractère personnel relative à la santé physique ou mentale, y compris la prestation de soins, révélant des informations sur l'état de santé d'une personne. La notion est d'interprétation large. »
Certification HDS : obligation légale et modalités de mise en œuvre
Art. L1111-8 C. santé publ.
« Toute personne hébergeant des données de santé à caractère personnel recueillies lors d'activités de prévention, de diagnostic ou de soins, pour le compte de tiers, doit être titulaire d'un certificat de conformité délivré par un organisme accrédité. »
L'hébergement interne n'exempte pas de toute obligation
Un établissement hébergeant en interne ses données de santé reste soumis aux exigences de sécurité du RGPD et aux référentiels de l'ANS, même sans obligation de certification HDS.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Exigences RGPD renforcées applicables à l'hébergement de données de santé
Art. 9 RGPD (UE) 2016/679
« Le traitement des données concernant la santé est interdit sauf exceptions limitatives : consentement explicite, médecine préventive ou du travail, intérêt public en santé publique, recherche scientifique sous garanties appropriées. »
Réalisez l'analyse d'impact avant de choisir l'hébergeur
L'AIPD doit précéder la sélection du prestataire : ses conclusions orientent les exigences techniques et contractuelles à imposer à l'hébergeur retenu et documentent la conformité du responsable de traitement.
Contrat de sous-traitance, transferts internationaux et souveraineté numérique
Art. 28 RGPD (UE) 2016/679
« Le traitement par un sous-traitant est régi par un contrat écrit définissant l'objet, la durée, la nature et la finalité du traitement. Le sous-traitant agit uniquement sur instruction documentée du responsable. »
CE, ord. réf., 13 oct. 2020, n° 444937
« Le Conseil d'État a reconnu le risque d'accès aux données du Health Data Hub par les autorités américaines via le CLOUD Act, sans toutefois ordonner la migration immédiate, eu égard aux garanties techniques déployées. »
Source : Conseil d'État — décision publique
Sanctions et contentieux : risques administratifs, pénaux et civils
CNIL, délib. SAN-2022-009, 15 avr. 2022
« Amende de 1,5 million d'euros pour manquements à l'obligation de sécurité ayant provoqué la fuite de données médicales de près de 500 000 patients. Absence de chiffrement et procédures de migration défaillantes retenus parmi les griefs. »
Source : CNIL — délibération publique
Le sous-traitant ultérieur non certifié engage votre responsabilité
Confier le traitement à un sous-traitant secondaire dépourvu de certification HDS engage la responsabilité du responsable de traitement initial, qui ne peut s'exonérer en invoquant son ignorance du défaut.
Insérez une clause d'audit et de notification d'incident
Prévoyez contractuellement un droit d'audit annuel sur les installations de l'hébergeur et l'obligation de signalement immédiat de tout incident de sécurité affectant les données hébergées.
Questions fréquentes
Qu'est-ce que la certification HDS et quels organismes doivent l'obtenir ?
La certification HDS est un label obligatoire pour tout prestataire hébergeant des données de santé pour le compte de tiers. Elle est délivrée par un organisme accrédité par le COFRAC et repose sur la norme ISO 27001 complétée d'exigences propres au secteur de la santé.
Un cabinet médical utilisant un cloud doit-il exiger la certification HDS de son prestataire ?
Oui. Dès lors que l'hébergement est confié à un prestataire externe, celui-ci doit être certifié HDS. Le cabinet engage sa propre responsabilité en tant que responsable de traitement s'il recourt à un hébergeur non certifié.
Les données de santé peuvent-elles être hébergées hors de l'Union européenne ?
Le transfert est juridiquement possible, mais sous conditions très strictes : décision d'adéquation de la Commission européenne, clauses contractuelles types assorties de mesures supplémentaires, ou règles d'entreprise contraignantes. La CNIL recommande de privilégier un hébergeur non soumis à des lois extraterritoriales.
Quelles peines pénales risque un hébergeur non conforme aux exigences de sécurité ?
L'article 226-17 du Code pénal prévoit cinq ans d'emprisonnement et 300 000 euros d'amende pour défaut de mesures de sécurité. L'article 226-19 sanctionne des mêmes peines le traitement non autorisé de données sensibles, dont les données de santé.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Fort De France
- Procédure à Saint Etienne Du Rouvray
- Procédure à Merignac
- Procédure à Antibes
- Procédure à Saint Quentin
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours