Code de la santé publique / Partie législative / Première partie : Protection générale de la santé / Livre Ier : Protection des personnes en matière de santé / Titre Ier : Droits des personnes malades et des usagers du système de santé / Chapitre Ier : Information des usagers du système de santé et expression de leur volonté / Section 1 : Principes généraux
Article L1111-8 du Code de la santé publique
Chronologie des versions de l'article
Entrée en vigueur le 26 février 2010
Modifié par : Ordonnance n°2010-177 du 23 février 2010 - art. 19
Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprès de la personne concernée.
Les traitements de données de santé à caractère personnel que nécessite l'hébergement prévu au premier alinéa, quel qu'en soit le support, papier ou informatique, doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La prestation d'hébergement, quel qu'en soit le support, fait l'objet d'un contrat. Lorsque cet hébergement est à l'initiative d'un professionnel de santé ou d'un établissement de santé, le contrat prévoit que l'hébergement des données, les modalités d'accès à celles-ci et leurs modalités de transmission sont subordonnées à l'accord de la personne concernée.
Les conditions d'agrément des hébergeurs des données, quel qu'en soit le support, sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils de l'ordre des professions de santé. Ce décret mentionne les informations qui doivent être fournies à l'appui de la demande d'agrément, notamment les modèles de contrats prévus au deuxième alinéa et les dispositions prises pour garantir la sécurité des données traitées en application de l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée, en particulier les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne. Les dispositions de l'article L. 4113-6 s'appliquent aux contrats prévus à l'alinéa précédent.
La détention et le traitement sur des supports informatiques de données de santé à caractère personnel par des professionnels de santé, des établissements de santé ou des hébergeurs de données de santé à caractère personnel sont subordonnés à l'utilisation de systèmes d'information conformes aux prescriptions adoptées en application de l'article L. 1110-4 et aux référentiels d'interopérabilité et de sécurité arrêtés par le ministre chargé de la santé après avis du groupement mentionné à l'article L. 1111-24 (1).
Les professionnels et établissements de santé peuvent, par dérogation aux dispositions de la dernière phrase des deux premiers alinéas du présent article, utiliser leurs propres systèmes ou des systèmes appartenant à des hébergeurs agréés, sans le consentement exprès de la personne concernée dès lors que l'accès aux données détenues est limité au professionnel de santé ou à l'établissement de santé qui les a déposées, ainsi qu'à la personne concernée dans les conditions prévues par l'article L. 1111-7.
L'agrément peut être retiré, dans les conditions prévues par l'article 24 de la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations, en cas de violation des prescriptions législatives ou réglementaires relatives à cette activité ou des prescriptions fixées par l'agrément.
Seuls peuvent accéder aux données ayant fait l'objet d'un hébergement les personnes que celles-ci concernent et les professionnels de santé ou établissements de santé qui les prennent en charge et qui sont désignés par les personnes concernées, selon des modalités fixées dans le contrat prévu au deuxième alinéa, dans le respect des dispositions des articles L. 1110-4 et L. 1111-7.
Les hébergeurs tiennent les données de santé à caractère personnel qui ont été déposées auprès d'eux à la disposition de ceux qui les leur ont confiées. Ils ne peuvent les utiliser à d'autres fins. Ils ne peuvent les transmettre à d'autres personnes que les professionnels de santé ou établissements de santé désignés dans le contrat prévu au deuxième alinéa.
Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données qui lui ont été confiées, sans en garder de copie, au professionnel, à l'établissement ou à la personne concernée ayant contracté avec lui.
Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal.
Les hébergeurs de données de santé à caractère personnel ou qui proposent cette prestation d'hébergement sont soumis, dans les conditions prévues aux articles L. 1421-2 et L. 1421-3, au contrôle de l'Inspection générale des affaires sociales et des agents mentionnés aux articles L. 1421-1 et L. 1435-7. Les agents chargés du contrôle peuvent être assistés par des experts désignés par le ministre chargé de la santé.
Tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal.
Commentaires • 169
Pour rappel, conformément à l'article L.1111-8 du Code de la santé publique, l'hébergement externalisé de données de santé à caractère personnel requiert en particulier une certification. […]
Lire la suite…Depuis le 1er avril 2018, l'article L.1111-8 du code de la santé publique définit l'activité d'hébergement de donnée de santé (HDS) recueillies « à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ») et précise les règles applicables à l'hébergement de données de santé effectué pour le compte d'un responsable de traitement, ou pour le compte du patient lui-même.
Lire la suite…Décisions • 392
[…] D'autre part, aux termes du II de l'article L. 212-4 du code du patrimoine, […] Un décret en Conseil d'Etat fixe les modalités de la déclaration préalable ainsi que les conditions d'octroi et de retrait de l'agrément des dépositaires, et précise le contenu des clauses devant figurer dans les contrats de dépôt. / Les données de santé à caractère personnel sont déposées dans les conditions prévues à l'article L. 1111-8 du code de la santé publique. ». L'article L. 1111-8 du code de la santé publique, dans sa version applicable, dispose que : « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, […]
Lire la suite…- Marchés et contrats administratifs·
- Exécution financière du contrat·
- Rémunération du co-contractant·
- Investissement·
- Archives·
- Contrats·
- Réalisation·
- Enrichissement sans cause·
- Sociétés·
- Établissement hospitalier
[…] A cet égard, le projet d'article D. 1111-46 du CSP prévoit que les données sont hébergées dans les conditions prévues aux articles L. 1111-8 et suivants et R. 1111-8 et suivants du code de la santé publique . […]
Lire la suite…- Données de santé·
- Accord multilatéral·
- Commission·
- Réutilisation de données·
- Protection des données·
- Etats membres·
- Traitement de données·
- Protection·
- Professionnel·
- Personnel
3. Cour d'appel de Versailles, 12e chambre, 20 février 2018, n° 16/08588
[…] second contrat pour une nouvelle période de quarante-huit mois. Répondant à la demande de la société AB Cube du 19 novembre 2014 d'offrir un hébergement de ses données dans les conditions de l'article L. 1111-8 du code de la santé publique, la société Altrasoft a présenté la solution de recourir aux services de la société Numergy, hébergeur de données agréé par le ministère de la santé mais, estimant que ces conditions d'hébergement ne satisfaisaient pas aux conditions du contrat, la
Lire la suite…- Sociétés·
- Santé publique·
- Hébergement·
- Contrats·
- Données de santé·
- Résiliation anticipée·
- Pharmacovigilance·
- Dire·
- Hébergeur·
- Jugement
Pour traiter des données de santé, et toutes données sensibles de manière générale, il convient, outre la base légale de l'article 6 d'identifier une exception permettant de justifier la mise en œuvre du traitement de telles données. En effet, en principe, […] article L.1111-8 du code de la santé publique.
Lire la suite…