Sauvegarde des données : devoirs des professionnels de santé

Stéphane MORER & Océane ABENOZA  

Avocat à la Cour de Paris
Cabinet Bayet & Associés

L’obligation impérative des professionnels de santé en matière de sauvegarde des données personnelles

Responsabilité et mesures de sécurité

Les professionnels de santé sont responsables de la protection des données des patients contre tout accès non autorisé ou illicite, ainsi que contre la perte, la destruction ou les atteintes d’origine accidentelle.
Ils doivent donc mettre en place des mesures de sécurité adaptées.

Application du RGPD aux traitements de données de santé

Des règles spécifiques du RGPD s’appliquent à tous les traitements de données personnelles et de santé (nom, prénom, numéro d’identification, etc.) réalisés par un professionnel de santé, quel que soit le mode d’exercice, y compris informatisé.
Cette obligation concerne aussi les bureaux d’études chargés de l’évaluation des produits de santé (médicaments, vaccins, dispositifs, programmes, organisations en Santé).

Hébergement des données et certification HDS

La majorité des données sont hébergées par un prestataire externe qui doit être certifié HDS (Hébergeur de Données de Santé), conformément à l’article L.1111-8 du Code de la santé publique.

Objectif de la certification HDS

  • Garantir la sécurité et la confidentialité des données de santé.

  • Délivrée par un organisme accrédité par le COFRAC.

  • Validité de 3 ans, avec un audit annuel de suivi.

Vérification de la conformité du prestataire

Le professionnel de santé doit s’assurer que le prestataire respecte :

  • Le RGPD ;

  • Les dispositions des articles L.1111-8 et R.1111-9 à R.1111-15 CSP.

Exigences légales

  • L’article L.1111-8 CSP : les données de santé ne peuvent être hébergées que par des entités certifiées.

  • L’article R.1111-9 CSP : la certification est personnelle à chaque entité juridique.

Identification de l’entité certifiée

Chaque entité du groupe (y compris les filiales) doit obtenir sa propre certification, même si la maison mère est certifiée.

La certification est ni cessible ni transmissible.

Champ et objet de la certification

Il faut vérifier :

  1. Que le site physique utilisé est bien inclus dans le champ de la certification.

  2. La nature de la certification obtenue :

    • Hébergeur d’infrastructure physique ;

    • Hébergeur infogéreur (inclut aussi les services informatiques et sauvegarde externalisée).

Si un site d’hébergement non certifié est utilisé, les exigences légales ne sont pas respectées.

Durée et renouvellement

  • La certification HDS est valide 3 ans.

  • Le prestataire doit en demander le renouvellement à échéance.

  • En cas de non-renouvellement, le contrat peut être annulé pour objet illicite.

Responsabilité du professionnel de santé

Le professionnel de santé est :

  • Responsable du traitement, à titre personnel ;

  • Responsable également des actes de ses sous-traitants.

En cas de manquement du sous-traitant au RGPD, le professionnel peut être sanctionné.

Responsabilité du sous-traitant

  • Doit respecter le RGPD en propre ;

  • Peut être responsable vis-à-vis du professionnel de santé ;

  • Peut être responsable des violations causées par ses propres sous-traitants.

Sanctions possibles

En cas de non-conformité :

  • Sanctions administratives, financières ou pénales (article 226-16 du Code pénal).

Détection d’un manquement en cours de contrat

Cas 1 : Certification absente à la signature

  • Possibilité de demander la nullité du contrat.

  • Jurisprudence : Cour d’appel de Nîmes, 15 décembre 2022 (n°21/01216).

Cas 2 : Certification perdue en cours de contrat

  • Possibilité de résilier pour manquement grave.

  • Jurisprudence : Tribunal de commerce de Paris, 2 juin 2025.

Conséquences contractuelles et financières

  • Dommages-intérêts possibles.

  • En cas de contrat de location financière, la nullité ou résiliation du contrat principal entraîne la caducité du contrat financier.

Jurisprudence constante : Cour de cassation, 12 juillet 2017 (n°15-23.552 et n°15-27.703).

Procédure à suivre en cas de manquement

  1. Mettre en demeure le prestataire de prouver sa conformité.

  2. Informer l’établissement financier en cas de résiliation.

  3. Préserver les documents pour se défendre en justice.

Conclusion

La conformité à l’article L.1111-8 CSP est une exigence d’ordre public.

Le recours à un hébergeur certifié HDS est obligatoire et garantit la sécurité des données de santé.
Le non-respect de cette obligation entraîne des conséquences juridiques lourdes : nullité du contrat, sanctions, responsabilité civile ou pénale.

Il est impératif que les professionnels de santé sécurisent leurs relations contractuelles afin d’assurer la licéité de leurs traitements et d’éviter toute mise en cause de leur responsabilité.

 

Le 18 Juin 2025

Stéphane MORER & Océane ABENOZA