Code de la santé publique
ChronoLégi
ou du
Version en vigueur au 28 octobre 2021
  • Est considérée comme une activité d'hébergement de données de santé à caractère personnel sur support numérique au sens du II de l'article L. 1111-8, le fait d'assurer pour le compte du responsable de traitement mentionné au 1° du I de l'article R. 1111-8-8 ou du patient mentionné au 2° du I de ce même article, tout ou partie des activités suivantes :

    1° La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé ;

    2° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé ;

    3° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé ;

    4° La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information ;

    5° L'administration et l'exploitation du système d'information contenant les données de santé ;

    6° La sauvegarde des données de santé.

  • I.-Le certificat de conformité mentionné au II de l'article L. 1111-8 est délivré par un organisme de certification sur le fondement d'un référentiel de certification élaboré par le groupement d'intérêt public mentionné à l'article L. 1111-24 et approuvé par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l'informatique et des libertés.
    II.-L'organisme de certification mentionné au II de l'article L. 1111-8 est accrédité par le Comité français d'accréditation ou par tout autre organisme d'accréditation signataire d'un accord de reconnaissance mutuelle multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation conformément à un référentiel d'accréditation élaboré par le groupement d'intérêt public mentionné à l'article L. 1111-24 en lien avec les organismes d'accréditation concernés et approuvé par arrêté du ministre chargé de la santé.
    III.-Le groupement d'intérêt public mentionné à l'article L. 1111-24 assure le suivi et la mise à jour de ces référentiels.

  • I.-Le contrat d'hébergement mentionné au dernier alinéa du I de l'article L. 1111-8 est conclu entre l'hébergeur et son client. Il contient au moins les clauses suivantes :

    1° L'indication du périmètre du certificat de conformité obtenu par l'hébergeur, ainsi que ses dates de délivrance et de renouvellement ;

    2° La description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l'intégrité, la confidentialité et l'auditabilité des données hébergées ;

    3° L'indication des lieux d'hébergement ;

    4° Les mesures mises en œuvre pour garantir le respect des droits des personnes concernées par les données de santé dont notamment :


    -les modalités d'exercice des droits de portabilité des données ;

    -les modalités de signalement au responsable de traitement de la violation des données à caractère personnel ;

    -les modalités de conduite des audits par le délégué à la protection des données ;


    5° La mention du référent contractuel du client de l'hébergeur à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées ;

    6° La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l'existence ou l'absence de pénalités applicables au non-respect de ceux-ci ;

    7° Une information sur les conditions de recours à d'éventuels prestataires techniques externes et les engagements de l'hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l'hébergeur ;

    8° Les modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées ;

    9° Les obligations de l'hébergeur à l'égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d'évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;

    10° Une information sur les garanties et les procédures mises en place par l'hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;

    11° La mention de l'interdiction pour l'hébergeur d'utiliser les données de santé hébergées à d'autres fins que l'exécution de l'activité d'hébergement de données de santé ;

    12° Une présentation des prestations à la fin de l'hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d'hébergement de données de santé ;

    13° L'engagement de l'hébergeur de restituer, à la fin de la prestation, la totalité des données de santé au responsable de traitement ;

    14° L'engagement de l'hébergeur de détruire, à la fin de la prestation, les données de santé après l'accord formel du responsable de traitement et sans en garder de copie.

    II.-Lorsque le responsable de traitement de données de santé ou le patient mentionnés au I de l'article R. 1111-8-8 fait appel à un prestataire qui recourt lui-même pour l'hébergement des données à un hébergeur certifié, le contrat qui lie le responsable de traitement ou le patient avec son prestataire reprend les clauses mentionnées au I telles qu'elles figurent dans le contrat liant le prestataire et l'hébergeur certifié.


    Conformément à l'article 3 I et II du décret n° 2018-137 du 26 février 2018, les présentes dispositions entrent en vigueur le 1er avril 2018. Toutefois, le 4° de l'article R. 1111-11 dans sa rédaction issue de l'article 2 dudit décret entre en vigueur le 25 mai 2018.

  • Article R1111-12 (abrogé)

    Le dossier de demande d'agrément comprend les éléments suivants :

    1° L'identité et l'adresse du responsable du service d'hébergement et, le cas échéant, de son représentant ; pour les personnes morales, les statuts sont produits ;

    2° Les noms, fonctions et qualifications des opérateurs chargés de mettre en oeuvre le service, ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont accès aux données hébergées ;

    3° L'indication des lieux dans lesquels sera réalisé l'hébergement ;

    4° Une description du service proposé ;

    5° Les modèles de contrats devant être conclus, en application du deuxième alinéa de l'article L. 1111-8, entre l'hébergeur de données de santé et les personnes physiques ou morales qui sont à l'origine du dépôt des données de santé à caractère personnel ; ces modèles sont établis conformément aux dispositions de l'article R. 1111-13 ;

    6° Les dispositions prises pour assurer la sécurité des données et la garantie des secrets protégés par la loi, notamment la présentation de la politique de confidentialité et de sécurité prévue au 2° de l'article R. 1111-9 ;

    7° Le cas échéant, l'indication du recours à des prestataires techniques externes et les contrats conclus avec eux ;

    8° Un document présentant les comptes prévisionnels de l'activité d'hébergement et, éventuellement, les trois derniers bilans et la composition de l'actionnariat du demandeur, ainsi que, dans le cas d'une demande de renouvellement, les comptes de résultat et bilans liés à cette activité d'hébergement depuis le dernier agrément.

    L'hébergeur déjà agréé informe sans délai le ministre chargé de la santé de tout changement affectant les informations mentionnées ci-dessus et de toute interruption, temporaire ou définitive, de son activité.

  • Article R1111-13 (abrogé)

    Les modèles de contrats devant être joints à la demande d'agrément, mentionnés au 5° de l'article R. 1111-12, contiennent obligatoirement au moins les clauses suivantes :

    1° La description des prestations réalisées : contenu des services et résultats attendus ;

    2° Lorsque le contrat est souscrit par la personne concernée par les données hébergées, la description des modalités selon lesquelles les professionnels visés à l'article L. 1110-4 et, le cas échéant, la personne concernée, accèdent à ces données dans le respect des dispositions des articles L. 1110-4 et L. 1110-4-1 ;

    3° Lorsque le contrat est souscrit par la personne physique ou morale à l'origine de la production ou du recueil des données de santé mentionnée au premier alinéa de l'article L. 1111-8, la description des modalités d'information de la personne concernée et d'enregistrement de l'absence d'opposition pour motif légitime de cette dernière à l'hébergement de ses données de santé, ainsi que des modalités selon lesquelles les professionnels visés à l'article L. 1110-4 et le cas échéant la personne concernée, accèdent à ces données dans le respect des dispositions des articles L. 1110-4 et L. 1110-4-1 ;

    4° La description des moyens mis en œuvre par l'hébergeur pour la fourniture des services ;

    5° La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, ainsi que de la périodicité de leur mesure ;

    6° Les obligations de l'hébergeur à l'égard de la personne à l'origine du dépôt des données de santé à caractère personnel en cas de modifications ou d'évolutions techniques introduites par lui ;

    7° Une information sur les conditions de recours à d'éventuels prestataires techniques externes et les engagements de l'hébergeur pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l'activité d'hébergement ;

    8° Une information sur les garanties permettant de couvrir toute défaillance éventuelle de l'hébergeur ;

    9° Une présentation des prestations à la fin de l'hébergement.

  • Article R1111-14 (abrogé)

    Une présentation de la politique de confidentialité et de sécurité, prévue au 2° de l'article R. 1111-9, doit être fournie à l'appui de la demande d'agrément conformément au 6° de l'article R. 1111-12. Elle comporte notamment les précisions suivantes :

    1° En matière de respect des droits des personnes concernées par les données hébergées :

    a) Les modalités permettant de s'assurer de l'existence de l'information et de l'absence d'opposition pour motif légitime de l'intéressé à l'hébergement des données le concernant ;

    b) Les modalités retenues pour que l'accès aux données de santé à caractère personnel et leur transmission éventuelle soient réalisées dans le respect des dispositions de l'article L. 1110-4 ;

    c) Les conditions dans lesquelles sont présentées et prises en compte les éventuelles demandes de rectification des données de santé à caractère personnel hébergées ;

    d) Les moyens mis en œuvre pour assurer le respect des dispositions de l'article L. 1111-7 relatif à l'accès des personnes à leurs informations de santé, notamment en termes de délais et de modalités de consultation ;

    e) Les procédures de signalement des incidents graves, dont l'altération des données ou la divulgation non autorisée des données personnelles de santé ;

    f) La fourniture à la personne concernée par les données hébergées, à sa demande, de l'historique des accès aux données et des consultations ainsi que du contenu des informations consultées et des traitements éventuellement opérés.

    2° En matière de sécurité de l'accès aux informations :

    a) Les dispositions prises pour garantir la sécurité des accès et des transmissions des données de santé à caractère personnel vis-à-vis des personnes physiques ou morales à l'origine de la production ou du recueil des données de santé et des personnes concernées par ces données ;

    b) Les mesures prises en matière de contrôle des droits d'accès et de traçabilité des accès et des traitements ;

    c) Les conditions de vérification du contenu des traces des accès et des traitements afin de détecter les tentatives d'effraction ou d'accès non autorisés ;

    d) Les modalités de vérification du registre des personnes habilitées à accéder aux données hébergées tenant compte des éventuelles mises à jour ;

    e) Les procédés techniques retenus en matière d'identification et d'authentification ; en ce qui concerne les professionnels de santé, ces procédés techniques doivent être conformes aux référentiels de sécurité mentionnés à l'article L. 1110-4-1.

    3° En matière de pérennité des données hébergées :

    a) Les procédures visant à assurer, au moment du transfert des données vers l'hébergeur, la réception sécurisée des données et l'intégrité de celles-ci, leur prise en compte dans le système d'information de l'hébergeur et le suivi de cette prise en charge ;

    b) Les modalités de prise en compte et d'enrichissement tout au long de la durée de l'hébergement, de l'ensemble des informations concernant les données depuis leur création, telles que les données permettant de les identifier et de les décrire, de les gérer, de déterminer leurs propriétés techniques et d'en assurer la traçabilité ;

    c) Les modalités de surveillance des supports en vue d'anticiper les changements technologiques et, le cas échéant, d'opérer des migrations de supports dans des conditions en garantissant la traçabilité ;

    d) Les procédures liées à la réplication des données sur différents supports informatiques en des lieux distincts ;

    e) Les conditions de mise en œuvre d'une alerte concernant les formats d'encodage des données, destinée à avertir la personne à l'origine du dépôt en cas d'obsolescence de ce format et, éventuellement, les procédures visant à réaliser, avec l'autorisation de la personne à l'origine du dépôt, des migrations de formats des données, si ces derniers ne permettent plus d'assurer la lisibilité des informations et à assurer la traçabilité de ces migrations.

    4° En matière d'organisation et de procédures de contrôle interne en vue d'assurer la sécurité des traitements et des données :

    a) La désignation d'un responsable sécurité et d'un responsable qualité ;

    b) La définition des missions, des pouvoirs et des obligations des personnels de l'hébergeur et de ses éventuels sous-traitants, habilités à traiter les données de santé à caractère personnel ;

    c) Les spécifications techniques des logiciels et des mécanismes de sécurité propres à garantir la confidentialité des transmissions, notamment en ce qui concerne le mode de chiffrement des flux d'information ;

    d) Les modalités retenues pour l'évaluation périodique des risques et l'audit des mesures de protection mises en place afin de garantir la sécurité des données et en vue d'apporter les modifications nécessaires en cas de détection de défaillances ;

    e) Les dispositifs de simulation régulière de défauts de fonctionnement pour vérifier l'efficacité des mécanismes destinés à garantir la continuité des services ;

    f) Les moyens mis en œuvre pour sensibiliser et former le personnel aux mesures de protection mises en place et à leurs obligations en matière de confidentialité et de respect du secret professionnel ;

    g) Les conditions de mise en œuvre de la sécurité physique des sites informatiques, des mesures de protection de l'infrastructure technique, notamment en termes de sécurité des réseaux, des serveurs et des postes de travail ;

    h) Les dispositions prises en ce qui concerne l'exploitation de l'infrastructure technique ;

    i) Les conditions de mise en œuvre du plan de secours informatique comportant notamment les dispositions prises pour informer du déclenchement de ce plan les personnes physiques ou morales à l'origine du dépôt des données de santé à caractère personnel ainsi que les dispositions prises pour la reprise des activités.

  • Article R1111-15 (abrogé)

    L'agrément est délivré aux hébergeurs de données de santé à caractère personnel sur support informatique pour une durée de trois ans.

    La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d'agrément. Elle comprend les documents mentionnés au 8° de l'article R. 1111-12 et un récapitulatif des modifications intervenues depuis la dernière demande d'agrément en ce qui concerne les autres documents mentionnés à cet article, ainsi qu'un audit externe réalisé aux frais de l'hébergeur, attestant de la mise en oeuvre de la politique de confidentialité et de sécurité mentionnée à l'article R. 1111-14. Elle est instruite selon la même procédure que celle applicable à la demande initiale.

    Les décisions d'agrément, ainsi que le renouvellement de cet agrément, sont publiées au Bulletin officiel du ministère de la santé.

  • Article R1111-15-1 (abrogé)

    Le ministre chargé de la santé, lorsqu'il envisage de procéder au retrait d'un agrément en application du quatrième alinéa de l'article L. 1111-8, communique à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception, les motifs de ce projet de retrait et l'appelle à formuler ses observations, écrites ou, à sa demande, orales, dans un délai de deux mois.

    En cas de divulgation non autorisée de données de santé à caractère personnel sur support informatique ou de manquements graves de l'hébergeur à ses obligations mettant notamment en cause l'intégrité, la sécurité et la pérennité des données hébergées, le ministre chargé de la santé peut, à titre conservatoire, dans l'attente qu'il soit statué définitivement sur le projet de retrait d'agrément, prononcer la suspension de l'activité d'hébergement.

    La décision de retrait est notifiée à l'hébergeur intéressé, par lettre recommandée avec demande d'avis de réception. Elle met fin de plein droit à l'hébergement des données confiées à l'hébergeur et entraîne la restitution de ces données aux personnes ayant contracté avec l'hébergeur.

    Les décisions de suspension et de retrait font l'objet de la mesure de publicité prévue à l'article R. 1111-15. Elles sont transmises pour information au comité d'agrément mentionné à l'article R. 1111-10 ainsi qu'à la Commission nationale de l'informatique et des libertés.

Retourner en haut de la page