Stéphane MORER & Océane ABENOZA
Avocat à la Cour de Paris
Cabinet Bayet & Associés
Les professionnels de santé sont responsables de la protection des données des patients contre tous accès non autorisés ou illicites et contre la perte, la destruction ou les atteintes d’origine accidentelle. Ils doivent donc mettre en place des mesures de sécurité adaptées.
Des règles spécifiques du RGPD s’appliquent à tous les traitements de données personnelles et de santé (comme le nom, le prénom, le numéro d’identification du patient, etc.) effectués par un professionnel de santé, quel que soit le mode d’exercice de son activité, y compris lorsque ces traitements sont informatisés. Cette obligation concerne également les bureaux d’études chargés de l’évaluation des produits de santé (médicaments, vaccins, dispositifs, programmes et organisations en Santé).
Le plus souvent, ces données sont hébergées par un hébergeur extérieur qui doit justifier de l’obtention d’une certification HDS en application des dispositions de l’article L.1111-8 du Code de la santé publique.
La certification HDS est un mécanisme qui vise à garantir la sécurité et la confidentialité des données de santé en assurant que les organismes qui les hébergent respectent les normes de sécurité et de confidentialité appropriées. Délivrée par un organisme indépendant accrédité par le Comité français d’accréditation (COFRAC), elle permet aux établissements de santé, et aux autres parties prenantes, de s’assurer que ces données sont traitées de manière sûre et responsable.
Le certificat, délivré par l’organisme certificateur, a une validité de trois ans, et chaque année, un audit de suivi est réalisé.
Il conviendra donc au professionnel de santé de vérifier que le prestataire est en conformité avec les règles du RGPD mais surtout avec les dispositions d’ordre public visées aux articles L.1111-8 et R.1111-9 à R.1111-15 CSP. Ces articles réglementent l’hébergement de données de santé en France et imposent une obligation de certification HDS pour toute entité qui héberge des données de santé à caractère personnel.
L’article L.1111-8 CSP stipule que « Les données de santé […] ne peuvent être hébergées que par des hébergeurs […] ayant été certifiés dans des conditions fixées par décret en Conseil d’État. »
Cela implique que chaque hébergeur (c’est-à-dire chaque entité juridique responsable des activités d’hébergement) doit démontrer qu’il est certifié conformément aux exigences du décret.
L’article R.1111-9 CSP précise que la certification est accordée à une personne morale ou physique identifiée, ce qui exclut une transmission automatique à d’autres entités, même au sein d’un même groupe.
Pour cela, il conviendra donc d’obtenir la certification afin de s’assurer que la société mentionnée au contrat comme assurant la sauvegarde externe y est bien identifiée de manière explicite.
En effet, la certification est propre à chaque entité juridique ; elle est accordée à une société suite à un audit ayant pour objet d’évaluer sa conformité aux exigences légales et techniques spécifiques (notamment celles définies par l’ANS). Dès lors, si une autre entité du groupe, telle qu’une filiale, réalise des activités d’hébergement de données de santé, elle doit obtenir sa propre certification, même si la maison mère est certifiée.
La certification n’est donc ni cessible ni transmissible. Seule l’entité qui a obtenu cette certification peut s’en prévaloir et uniquement pour son propre compte.
Toutefois, la vérification ne s’arrête pas là.
Il est important de vérifier que le site utilisé par le prestataire pour héberger les serveurs contenant les données de santé est bien inclus dans le champ de la certification.
Plus simplement, une société héberge ses serveurs sur trois sites distincts, chacun situé à une adresse différente. Cependant, seuls deux de ces sites ont été audités et figurent dans le périmètre de la certification HDS. Malheureusement, vos données de santé sont stockées sur le troisième site, qui n’est pas certifié, dans ce cas, la sauvegarde de vos données ne respecte pas les exigences de l’article L.1111-8 du Code de la santé publique.
Enfin, il faudra vérifier l’objet précis de la certification HDS obtenue. En effet, cette certification donne lieu à l’obtention de deux types de certificats :
• « Hébergeur d’infrastructure physique » : concernant uniquement la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé et des sites physiques permettant d’héberger cette infrastructure.
• « Hébergeur infogéreur » : couvrant, en plus de l’infrastructure, les services informatiques associés, tels que l’administration du système d’information de santé, l’hébergement des applications, l’exploitation des données et la sauvegarde externalisée des données de santé.
Enfin, la certification HDS, d’une durée de trois ans, est renouvelable. Dès lors, en cas d’expiration, il incombe à l’entité de solliciter son renouvellement. Or, si la certification n’est pas renouvelée, le contrat peut être remis en cause en raison de l’illicéité de son objet, ce qui entraîne sa nullité.
Le professionnel de santé a la qualité de responsable de traitement des données de santé à l’égard de ses patients, à titre personnel mais également du fait de ses sous-traitants.
Le responsable du traitement, ou le cas échéant le responsable conjoint, doit veiller non seulement à sa propre conformité au RGPD, mais également à celle du sous-traitant qu’il désigne. Concrètement, si ce dernier ne respecte pas les obligations qui lui incombent en vertu du RGPD, le responsable — seul ou conjoint — peut être tenu pour responsable et encourir des sanctions, notamment des amendes, ainsi que d’autres conséquences juridiques.
Le sous-traitant, quant à lui, est responsable de sa propre conformité au RGPD et peut être responsable envers le responsable du traitement en cas de violation du contrat de sous-traitance. Le sous-traitant peut également être responsable envers le responsable du traitement des violations causées par le sous-traitant ultérieur.
Il est donc important pour le professionnel de santé de vérifier tant à la signature du contrat d’hébergement, que pendant son exécution, que le prestataire est titulaire de cette certification afin d’éviter, en cas de violation de l’article L.1111-8 du CSP, des sanctions administratives, financières ou encore pénales (article 226-16 du Code pénal).
Reste l’hypothèse où le professionnel de santé s’aperçoit du manquement de son prestataire en cours d’exécution du contrat.
Ses possibilités d’action sont les suivantes :
Si le prestataire n’était pas certifié avant la signature du contrat d’hébergement, il est possible de demander la nullité du contrat.
Ce cadre juridique a été confirmé par un arrêt de la cour d’appel de Nîmes, 1ère chambre, du 15 décembre 2022 (n°21/01216) : la société n’ayant pas démontré que les données télétransmises via son logiciel étaient hébergées par un prestataire certifié, la cour a validé l’annulation du contrat pour objet illicite. (« L’objet du contrat est donc illicite si le stockage des données télétransmises par les abonnés via le logiciel mis à leur disposition n’est pas assuré par un hébergeur agréé. Le tribunal a donc à bon droit annulé le contrat, […] »)
La nullité d’un contrat permet, outre des dommages-intérêts, de solliciter le versement des sommes versées dans le cadre de son exécution.
Si la certification a été perdue en cours d’exécution du contrat, il conviendra de solliciter la résiliation du contrat pour manquement grave (Tribunal de commerce de Paris du 2 juin 2025).
Des dommages-intérêts peuvent également être sollicités en fonction du préjudice subi.
Enfin, si la prestation vendue l’a été au travers d’un contrat de location financière, en application du principe d’interdépendance des contrats, la résiliation ou nullité du contrat conclu avec le prestataire entraînera la caducité du contrat de location financière.
Selon une jurisprudence constante de la Cour de cassation, notamment rappelée par deux arrêts rendus le 12 juillet 2017 (n°15-23.552 et n°15-27.703), « lorsque des contrats sont interdépendants, la résiliation de l’un quelconque d’entre eux entraîne la caducité, par voie de conséquence, des autres […] ».
Ainsi, en cas de non-respect des dispositions de l’article L.1111-8 du Code de la santé publique, le professionnel de santé doit mettre en demeure le prestataire de justifier du respect de ces dispositions, en précisant qu’à défaut d’y satisfaire, le contrat sera résilié de plein droit.
Une fois la résiliation actée, il conviendra d’en informer l’établissement financier ayant consenti la location financière.
Ces documents seront essentiels en cas de contentieux judiciaire pour permettre au professionnel de santé, comme à tout responsable de traitement de données de santé, de se défendre et de ne pas être condamné à verser les échéances de loyer restant à courir jusqu’à la fin théorique desdits contrats.
En conclusion, la conformité aux dispositions de l’article L.1111-8 du Code de la santé publique constitue une exigence d’ordre public à laquelle les professionnels de santé, en tant que responsables de traitement, ne peuvent déroger. L’obligation de recourir à un hébergeur certifié HDS ne relève pas d’un simple formalisme contractuel, mais d’une garantie essentielle à la sécurité et à la confidentialité des données de santé à caractère personnel. Dès lors, il leur appartient de choisir avec rigueur et vigilance leur sous-traitant, le manquement à cette obligation entrainant des conséquences juridiques lourdes, telle que la nullité ou résiliation du contrat, ou encore l’engagement de leur responsabilité civile ou pénale, assorties de sanctions importantes. Il est ainsi impératif pour les professionnels de santé de sécuriser leurs relations avec leurs sous-traitants, afin de garantir la licéité de leurs traitements de données de santé et de prévenir toute mise en cause de leur responsabilité.
Le 18 Juin 2025
Stéphane MORER & Océane ABENOZA