Entrée en vigueur le 5 mars 2002
Est créé par : Loi n°2002-303 du 4 mars 2002 - art. 11 () JORF 5 mars 2002
Est codifié par : Loi 2002-303 2002-03-04 art. 92 JORF 5 mars 2002
Est codifié par : Ordonnance 2000-548 2000-06-15
Les traitements de données de santé à caractère personnel que nécessite l'hébergement prévu au premier alinéa doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La prestation d'hébergement fait l'objet d'un contrat. Lorsque cet hébergement est à l'initiative d'un professionnel de santé ou d'un établissement de santé, le contrat prévoit que l'hébergement des données, les modalités d'accès à celles-ci et leurs modalités de transmission sont subordonnées à l'accord de la personne concernée.
Les conditions d'agrément des hébergeurs sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils de l'ordre des professions de santé ainsi que du conseil des professions paramédicales. Ce décret mentionne les informations qui doivent être fournies à l'appui de la demande d'agrément, notamment les modèles de contrats prévus au deuxième alinéa et les dispositions prises pour garantir la sécurité des données traitées en application de l'article 29 de la loi n° 78-17 du 6 janvier 1978 précitée, en particulier les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne. Les dispositions de l'article L. 4113-6 s'appliquent aux contrats prévus à l'alinéa précédent.
L'agrément peut être retiré, dans les conditions prévues par l'article 24 de la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.
Seuls peuvent accéder aux données ayant fait l'objet d'un hébergement les personnes que celles-ci concernent et les professionnels de santé ou établissements de santé qui les prennent en charge et qui sont désignés par les personnes concernées, selon des modalités fixées dans le contrat prévu au deuxième alinéa, dans le respect des dispositions des articles L. 1110-4 et L. 1111-7.
Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que les professionnels de santé ou établissements de santé désignés dans le contrat prévu au deuxième alinéa.
Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données qui lui ont été confiées, sans en garder de copie, au professionnel, à l'établissement ou à la personne concernée ayant contracté avec lui.
Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.
Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'Inspection générale des affaires sociales et des agents de l'Etat mentionnés à l'article L. 1421-1. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.
Contexte : vers une souveraineté accrue des données de santé L'article 32 de la loi SREN a introduit, dans le champ de l'hébergement des données de santé, […] en particulier face aux risques de transferts ou d'accès extra-européens. […] Le cadre légal de l'hébergement des données de santé fixé par l'article L. 1111-8 du Code de la santé publique (« CSP »), […] C'est précisément ce que vient compléter le décret du 24 mars 2026. […] Ce que change concrètement le décret L'archivage électronique explicitement intégré au périmètre HDS Le décret modifie d'abord l'article R. 1111-9 du CSP : l'activité de sauvegarde des données de santé est désormais explicitement précisée comme incluant, notamment, […]
Lire la suite…Le Conseil d'Etat ajoute que, si Microsoft Ireland ne peut pas obtenir la qualification SecNumCloud en raison de son rattachement à un groupe soumis au droit américain, Microsoft Ireland dispose néanmoins de la certification « hébergeur de données de santé » prévue à l'article L. 1111-8 du Code de la santé publique, impliquant un audit régulier par un organisme accrédité. […] L'invocabilité écartée de la loi SREN Les requérants invoquaient aussi l'article 31 de la loi du 21 mai 2024 SREN (loi visant à sécuriser et réguler l'espace numérique, cf. actualité du 22 mai 2024 – Loi SREN : Sécuriser l'espace numérique), qui impose pour certaines données sensibles, […]
Lire la suite…[…] Il n'y a donc pas lieu de se fonder sur l'article L.1111-8 du Code de la Santé Publique et de demander un agrément délivré par le Ministère chargé de la santé.
Délibération n°2012-066 du 8 mars 2012 autorisant la mise en œuvre par le Groupement de coopération sanitaire (GCS) e-Santé Picardie d'un outil intitulé Comédi-e permettant la réalisation d'actes de télémédecine entre professionnels du milieu médico-social […] Vu le code de la santé publique, et notamment ses articles L.6316-1, L.1110-4, L.1111-8, et R.6316-1 ;
[…] Vu le code de la santé publique, notamment ses articles L. 6321-1, L. 1110-4, L. 1111-8, L. 6316-1 et R. 6316-1; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1 ;
Le Code de la santé publique (article L.1111-8) prévoit que l'obligation de certification s'applique à « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même […] ». […]
Lire la suite…