Entrée en vigueur le 1 avril 2018
Modifié par : Ordonnance n°2017-27 du 12 janvier 2017 - art. 1
L'hébergement, quel qu'en soit le support, papier ou numérique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime.
La prestation d'hébergement de données de santé à caractère personnel fait l'objet d'un contrat.
II.-L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. S'il conserve des données dans le cadre d'un service d'archivage électronique, il est soumis aux dispositions du III.
Ce certificat est délivré par des organismes de certification accrédités par l'instance française d'accréditation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne mentionnée à l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie.
Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
III.-L'hébergeur de données mentionnées au premier alinéa du I est agréé par le ministre chargé de la culture pour la conservation de ces données sur support papier ou sur support numérique dans le cadre d'un service d'archivage électronique.
Les conditions d'agrément sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
L'agrément peut être retiré, dans les conditions prévues par les articles L. 121-1, L. 121-2 et L. 122-1 du code des relations entre le public et l'administration, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.
IV.-La nature des prestations d'hébergement mentionnées aux II et III, les rôles et responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées, ainsi que les stipulations devant figurer dans le contrat mentionné au I sont précisés par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé.
V.-L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat dans le respect des articles L. 1110-4 et L. 1111-7.
Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d'autres fins que l'exécution de la prestation d'hébergement. Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.
VI.-Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7, à l'exception des hébergeurs certifiés dans les conditions définies au II. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.
VII.-Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal.
Contexte : vers une souveraineté accrue des données de santé L'article 32 de la loi SREN a introduit, dans le champ de l'hébergement des données de santé, […] en particulier face aux risques de transferts ou d'accès extra-européens. […] Le cadre légal de l'hébergement des données de santé fixé par l'article L. 1111-8 du Code de la santé publique (« CSP »), […] C'est précisément ce que vient compléter le décret du 24 mars 2026. […] Ce que change concrètement le décret L'archivage électronique explicitement intégré au périmètre HDS Le décret modifie d'abord l'article R. 1111-9 du CSP : l'activité de sauvegarde des données de santé est désormais explicitement précisée comme incluant, notamment, […]
Lire la suite…Le Conseil d'Etat ajoute que, si Microsoft Ireland ne peut pas obtenir la qualification SecNumCloud en raison de son rattachement à un groupe soumis au droit américain, Microsoft Ireland dispose néanmoins de la certification « hébergeur de données de santé » prévue à l'article L. 1111-8 du Code de la santé publique, impliquant un audit régulier par un organisme accrédité. […] L'invocabilité écartée de la loi SREN Les requérants invoquaient aussi l'article 31 de la loi du 21 mai 2024 SREN (loi visant à sécuriser et réguler l'espace numérique, cf. actualité du 22 mai 2024 – Loi SREN : Sécuriser l'espace numérique), qui impose pour certaines données sensibles, […]
Lire la suite…[…] Il n'y a donc pas lieu de se fonder sur l'article L.1111-8 du Code de la Santé Publique et de demander un agrément délivré par le Ministère chargé de la santé.
Délibération n°2012-066 du 8 mars 2012 autorisant la mise en œuvre par le Groupement de coopération sanitaire (GCS) e-Santé Picardie d'un outil intitulé Comédi-e permettant la réalisation d'actes de télémédecine entre professionnels du milieu médico-social […] Vu le code de la santé publique, et notamment ses articles L.6316-1, L.1110-4, L.1111-8, et R.6316-1 ;
[…] Vu le code de la santé publique, notamment ses articles L. 6321-1, L. 1110-4, L. 1111-8, L. 6316-1 et R. 6316-1; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1 ;
Le Code de la santé publique (article L.1111-8) prévoit que l'obligation de certification s'applique à « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même […] ». […]
Lire la suite…