Hébergement De Données De Santé Et Rgpd. Par Arnaud Dimeglio, Avocat.

Thursday, 4 July 2024

À l'ère du Big Data et du développement considérable des activités numériques, les contrats d'hébergement se multiplient. Concrètement, ils permettent de rendre accessibles des contenus aux internautes grâce à l'hébergement de données sur une plateforme numérique, par exemple un serveur. Vous êtes dirigeant d'une société dont l'activité implique l'utilisation d'un site internet ainsi qu le stockage d'informations et de données informatiques? Vous vous interrogez sur l'intérêt d'un tel contrat et la procédure à suivre pour sa conclusion? Cet article est fait pour vous. Maître Mathilde Lefroy, avocate spécialisée en droit des nouvelles technologies décortique pour vous le sujet complexe des contrats d'hébergement. 1. Le contrat d'hébergement: définition et utilité L'objet du contrat d'hébergement est le stockage de données informatiques sur un serveur numérique et la mise à disposition du client des moyens techniques lui permettant de rendre accessible ses données sur Internet. En d'autres termes, il s'agit d'un contrat par lequel un fournisseur de services internet s'engage auprès d'un client à héberger le site internet de sa société et à lui fournir divers services, le plus souvent en contrepartie d'une rémunération.

Contrat d hébergement de données 1
Contrat d hébergement de données en santé
Contrat d hébergement de données 2
Contrat d hébergement de données de sécurité

Contrat D Hébergement De Données 1

Ils hébergent des données de santé dans un dossier médical, lequel est strictement réglementé par le Code de la santé publique. De même, un service de santé au travail en entreprise, n'agit pas sur instruction, et pour le compte de ses salariés, ou en cas de service interentreprise (SSTI), pour le compte de ses adhérents. Ces personnes agissent comme responsable de traitement, conformément à la réglementation applicable (Code du travail). L'ensemble de ces personnes déterminent en effet les finalités et les moyens de traitement des données en fonction de la réglementation applicable, et non sur instruction de patients, de salariés, ou d'adhérents. Or l'hébergement de donnée de santé, au sens des articles L. 1111-8 et s. du CSP intervient « pour le compte de », et donc en qualité de sous-traitant. Médecins, établissements de santé, services de santé au travail n'apparaissent pas ainsi comme étant des sous-traitants, et donc des hébergeurs de donnée de santé au sens des articles susvisés.

Contrat D Hébergement De Données En Santé

De même, le traitement de données effectué pour le compte d'un responsable de traitement nécessite l'obtention de ce statut. Un traitement effectué en interne n'est pas soumis à ces formalités. 2. Le statut d'hébergeur de données est-il une exception française? La France semble en effet faire office d'exception à ce sujet. Les pays tels que la Belgique, l'Espagne ou encore les Pays-Bas semblent plébisciter le dossier médical partagé, qui permet ainsi de garantir un traitement et un hébergement de données de santé suffisamment sécurisé. Les articles L. 1111-8 et R 1111-9 et suivants du Code de la santé publique s'appliquent aux données de santé à caractère personnel produites ou recueillies en France. Ainsi, seules les personnes concernées de nationalité française sont concernées. Un traitement de données de santé provenant de personnes de nationalité étrangère effectué pour le compte d'un responsable de traitement français ne sera pas soumis à la législation française en la matière. Une fois ces conditions remplies, il est également nécessaire d'obtenir un agrément ou une certification.

Contrat D Hébergement De Données 2

Le contrat sera suspendu pour une durée de [durée]. Le contrat fera l'objet d'une suspension limitée à la régularisation de la situation défaillante. 14: Résiliation Chacune des parties pourra procéder à la résiliation du présent contrat en cas de manquement aux obligations stipulées. La partie défaillante recevra par courrier recommandé avec accusé de réception une mise en demeure de s'exécuter. En cas d'inexécution, la partie ayant respecté son engagement contractuel pourra sans délai résilier le présent contrat. Le solde des sommes dues sera établi au prorata de la prestation exécutée. 15: Changement de prestataire En fin de contrat, le Client peut procéder à un changement de prestataire, même concurrent de l'Hébergeur initial. À cette fin, le transfert de l'hébergement du site internet du Client devra impérativement s'opérer au plus tard le [date]. Les données devront être restituées par l'hébergeur avant le [date] et récupérées par le Client avant le [date]. ARTICLE 16: Droit applicable et juridiction compétente La législation [française / autre législation] s'applique au présent contrat.

Contrat D Hébergement De Données De Sécurité

Pour le compte d'un responsable de traitement. L'article R1111-8-8 I 1° du CSP précise que l'hébergement « pour le compte de personnes physiques ou morales », est effectué pour le compte de « responsables de traitement au sens de la loi n° 78-17 du 6 janvier 1978 ». Or un traitement effectué pour le compte d'un responsable de traitement est lui-même défini, par le Règlement Général sur la Protection des Données (RGPD), comme une opération de sous-traitance. En effet, selon l'article 4 8) du RGPD, un « sous-traitant », est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. L'hébergeur de donnée de santé agissant « pour le compte de personnes physiques ou morales, responsables de traitement au sens de la loi n° 78-17 du 6 janvier 1978 » est donc un sous-traitant au sens du RGPD. On peut par conséquent en déduire que, dans le cas d'un hébergement de données de santé pour le compte d'un responsable de traitement, la réglementation susvisée vise l'hébergement effectué par un sous-traitant, et donc externalisé, et non l'hébergement en interne de telles données.

Toutefois, une décision récente du Tribunal de Commerce de Paris ( Tribunal de Commerce Paris 15e chambre du 15 février 2016) est venue rappeler l'importance d'être vigilant sur la négociation de ce type de clauses. Dans cette espèce, une société exploitant un site de vente de meubles avait confié le développement de son site Internet à une agence de communication qui avait en charge, notamment, l'hébergement des données collectées depuis le site. Dans le cadre de l'exécution du contrat, l'agence de communication a sous-traité l'hébergement des données à un tiers sans en avertir son client. Ayant appris fortuitement ce transfert, le client a donc assigné l'agence de communication en paiement de l'indemnité forfaitaire de 100 000 € prévue au contrat en cas de manquement à l'obligation de confidentialité, et ce alors même qu'aucune autre faute ni violation de sécurité n'étaient reprochées dans le cadre de la conservation des données. Le Tribunal de Commerce de Paris a fait droit aux demandes de l'exploitant du site web, considérant ainsi que la simple sous-traitance de la prestation d'hébergement constituait à elle seule un manquement à l'obligation de confidentialité.