Article R1111-11 du Code de la santé publique

Entrée en vigueur le 1 avril 2018

Modifié par : Décret n°2018-137 du 26 février 2018 - art. 2

I.-Le contrat d'hébergement mentionné au dernier alinéa du I de l'article L. 1111-8 est conclu entre l'hébergeur et son client. Il contient au moins les clauses suivantes :
1° L'indication du périmètre du certificat de conformité obtenu par l'hébergeur, ainsi que ses dates de délivrance et de renouvellement ;
2° La description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l'intégrité, la confidentialité et l'auditabilité des données hébergées ;
3° L'indication des lieux d'hébergement ;
4° Les mesures mises en œuvre pour garantir le respect des droits des personnes concernées par les données de santé dont notamment :

-les modalités d'exercice des droits de portabilité des données ;
-les modalités de signalement au responsable de traitement de la violation des données à caractère personnel ;
-les modalités de conduite des audits par le délégué à la protection des données ;

5° La mention du référent contractuel du client de l'hébergeur à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
6° La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l'existence ou l'absence de pénalités applicables au non-respect de ceux-ci ;
7° Une information sur les conditions de recours à d'éventuels prestataires techniques externes et les engagements de l'hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l'hébergeur ;
8° Les modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées ;
9° Les obligations de l'hébergeur à l'égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d'évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;
10° Une information sur les garanties et les procédures mises en place par l'hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
11° La mention de l'interdiction pour l'hébergeur d'utiliser les données de santé hébergées à d'autres fins que l'exécution de l'activité d'hébergement de données de santé ;
12° Une présentation des prestations à la fin de l'hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d'hébergement de données de santé ;
13° L'engagement de l'hébergeur de restituer, à la fin de la prestation, la totalité des données de santé au responsable de traitement ;
14° L'engagement de l'hébergeur de détruire, à la fin de la prestation, les données de santé après l'accord formel du responsable de traitement et sans en garder de copie.
II.-Lorsque le responsable de traitement de données de santé ou le patient mentionnés au I de l'article R. 1111-8-8 fait appel à un prestataire qui recourt lui-même pour l'hébergement des données à un hébergeur certifié, le contrat qui lie le responsable de traitement ou le patient avec son prestataire reprend les clauses mentionnées au I telles qu'elles figurent dans le contrat liant le prestataire et l'hébergeur certifié.

Entrée en vigueur le 1 avril 2018
Modifié par :	Décret n°2018-137 du 26 février 2018 - art. 2

1 texte cite l'article

Voir la source institutionnelle

NOTA

Conformément à l'article 3 I et II du décret n° 2018-137 du 26 février 2018, les présentes dispositions entrent en vigueur le 1er avril 2018. Toutefois, le 4° de l'article R. 1111-11 dans sa rédaction issue de l'article 2 dudit décret entre en vigueur le 25 mai 2018.

Commentaires • 25

Afficher tout (25)

1. Certification des Hébergeurs de Données de Santé (HDS) : date limite pour la mise en conformité selon le nouveau référentiel

larevue.squirepattonboggs.com · 1 avril 2026

Le Code de la santé publique (article L.1111-8) prévoit que l'obligation de certification s'applique à « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, […] Cela couvre l'hébergement de données papier ou numériques. […] Le processus de certification et les autres exigences réglementaires ont été établis par un décret du 26 février 2018 (le « Décret de 2018 »), qui a créé, avec effet au 1er avril 2018 les articles R1111-8-8 à R1111-11 du Code de la santé publique. […]

2. Entrée en application du Data Act européen : quelles perspectives pour les établissements publics de santé ?

houdart.org · 29 octobre 2025

communication mis en œuvre pour le contacter, etc… (article 3.2 et 3.3 du Data Act). […] Dès lors, […] telles que la mise à disposition et le maintien en condition opérationnelle d'infrastructures virtualisées d'un système d'information (article R.1111-9.3° du Code de la santé publique qui recense les classes d'activités d'hébergement pouvant faire l'objet d'une certification prévue par l'article L.1111-8 du Code de la santé publique). […] À ce titre, […] et prévoir dans leurs contrat d'hébergement l'ensemble des mentions prévues par l'article R.1111-11 du Code de la santé publique.

3. La non-conformité des contrats HDS : un risque à ne pas sous-estimer

desmarais-avocats.fr · 10 juillet 2024

En hébergement B2B2C, les clauses réglementaires doivent figurer dans le contrat B2C L'exigence, clairement mentionnée au II de l'article R1111-11 du Code de la Santé Publique, n'est malheureusement que très rarement satisfaite. […]

Voir les commentaires indexés sur Doctrine qui citent cet article

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (25)

Décisions • 3

Afficher tout (3)

1. Tribunal de commerce / TAE de Marseille, Chambre 14, 19 mars 2026, n° 2023F01038

[…] Vu les articles L 1111-8 et s., R 1111-11 du code de la santé publique […] CONDAMNER in solidum la société [Localité 1] et la société OVH à payer à l'Institut de [Etablissement 2] – I.M. R. la somme de 1 071 209,68 € à titre de dommages et intérêts ;

2. Cour d'appel de Montpellier, 4e chambre civile, 13 juin 2024, n° 22/01303Confirmation

[…] santé à caractère éminemment personnel – quelques mois seulement après l'entrée en vigueur le 1er avril 2018 des articles L1111-8, R1111 -8-8, […] R1111-11 du code de la santé publique aux termes desquels : […] « Est considérée comme une activité d'hébergement de données de santé à caractère personnel sur support numérique au sens du II de l'article L. 1111 -8, le fait d'assurer pour le compte du responsable de traitement mentionné au 1° du I de l'article R.1111 -8-8 ou du patient mentionné au 2° du I de ce même article , […] 11 […]

3. Tribunal judiciaire de Montpellier, 28 janvier 2022, n° 19/06598Confirmation

[…] - que les dispositions du code de la santé publique exigent également que le contrat d'hébergement contienne de nombreuses informations précises, qu'ainsi, les clauses prévues à l'article R1111-11 de ce code doivent bien figurer dans le contrat d'abonnement, […] Par courrier en date du 11 octobre 2018, […] Et en application des dispositions de l'article R1111-9 du même code, “Est considérée comme une activité d'hébergement de données de santé à caractère personnel sur support numérique au sens du II de l'article L. 1111-8 le fait d'assurer, pour le compte du responsable de traitement mentionné au 1° du I de l'article R. 1111-8-8 ou du patient mentionné au 2° du I de ce même article, […]

Voir les décisions indexées sur Doctrine qui citent cet article

Démarrer

Vous avez déjà un compte ?Connexion

Document parlementaire • 0

Afficher tout (0)

Doctrine propose ici les documents parlementaires sur les articles modifiés par les lois à partir de la XVe législature (2017).