Vous êtes dans : Accueil > Tribunes libres >

Détournement juridique du décret d’hébergement de données de santé

Cédric Cartau, MARDI 26 JUILLET 2016 Soyez le premier à réagir3 réactions

Récemment, au fil de mes pérégrinations dans le petit monde de la santé, je suis tombé coi devant un usage du décret d’hébergement qui pourrait paraître, a priori, comme un détournement juridique.

Le cas est le suivant : un petit établissement (Ehpad de moins de 5 millions d’euros de budget annuel d’exploitation) a conclu un contrat d’externalisation de son informatique auprès d’une société informatique (SSII). L’Ehpad n’utilise que quelques applications : Active Directory, un ERP intégré de gestion administrative et médicale des patients, une comptabilité, une paye, le tout tenant sans soucis sur un seul serveur correctement dimensionné. La SSII en question, dont je tairai le nom, s’occupe à la fois de l’hébergement technique de la machine et de son exploitation (supervision, sauvegardes, etc.).

Je m’étonne lorsque le directeur de l’Ehpad m’affirme que la SSII ne dispose pas de l’agrément hébergeur, mais que son directeur lui a affirmé que dans le cas de la relation contractuelle établie entre les parties, le mode d’externalisation de l’hébergement objet de la prestation échappe aux contraintes de l’agrément.

Petit rappel : l’agrément s’impose à toute entité juridique qui héberge techniquement des données de santé pour le compte de tiers. Si, par exemple, l’hôpital du coin déplace ses serveurs dans le datacenter d’Orange, ce dernier est tenu de disposer du fameux agrément sans quoi il se met hors la loi (Orange dispose de cet agrément). 

Dans le cas présent, le directeur de la SSII a été très malin : il n’a pas conclu un contrat d’hébergement de serveur avec l’Ehpad, mais un contrat de bail de location d’un local nu (en gros, des mètres carrés avec un toit, une prise électrique et une climatisation) au sein duquel l’Ehpad fait ce qu’il désire, y compris organiser des boums et des soirées dansantes si cela lui chante. Juridiquement parlant, le contrat de bail correspond à un transfert de propriété du local, et de fait la SSII n’héberge plus rien puisque l’espace en question ne lui appartient plus. Elle se contente simplement d’amener l’électricité (comme EDF chez moi) et une prise réseau (comme l’ADSL chez moi). Pour la partie exploitation, la SSII a signé un second contrat de maintien en condition opérationnelle concernant des serveurs qui pourraient par ailleurs se trouver n’importe où sur Terre, ce second contrat ne présuppose en rien un intermédiaire hébergeur. Avec un tel montage, la SSII échappe (selon son PDG) aux fourches caudines de l’agrément.

N’étant pas juriste, j’ai tout de même interrogé quelques spécialistes du domaine, et voilà ce qu’il en ressort : si le contrat n’avait pas été un contrat de bail mais une mise à disposition d’espace dans un datacenter (qui n’emporte pas sur la propriété même temporaire du local, qui reste alors celle de la SSII), la SSII aurait dans ce cas précis relevé du décret d’hébergement. Cela peut paraître étonnant, mais pas tant que cela en fait. Nombre d’hébergeurs agréés (souvent des éditeurs souhaitant proposer leurs solutions en mode SaaS) détiennent l’agrément mais ne possèdent aucun datacenter, se contentant de louer de l’espace dans un datacenter privé : si le cas décrit ci-dessus était illégal, quid alors de ces datacenters privés qui hébergent de facto de la donnée médicale pour le compte des éditeurs (et eux-mêmes pour le compte de leurs clients). Un gros hôpital pourrait par ailleurs aussi décider de louer des mètres carrés dans un datacenter privé afin de faire face à la pénurie de place dans son propre datacenter. On voit mal comment, dans cette hypothèse, le propriétaire dudit datacenter privé relèverait du décret.

Quant au second contrat de maintien en condition opérationnelle, tout le monde conviendra qu’il n’impacte en rien l’hébergeur (et donc les obligations du décret), car le serveur pourrait se trouver au sein de l’Ehpad lui-même comme chez un hébergeur agréé, ce qui ne changerait en rien les termes de ce second contrat.

Il semble donc que nous soyons en présence certes de ce qui peut paraître un détournement de l’esprit de la loi, mais qui ne semble pas illégal à proprement parler. N’ayant cependant réussi à obtenir aucune confirmation écrite de qui que ce soit (juriste ou pouvoirs publics), je suis preneur de toute analyse contradictoire de ce cas qui va sans nul doute se multiplier.

 

hébergement, datacenter, hébergeur, agrément


3 réaction(s) à l'article Détournement juridique du décret d’hébergement de données de santé

#2

Bonjour Cédric,

J'avais entendu parler d'une pratique similaire entre 2 établissements de santé il y a quelques années, c'est très border line, mais pourquoi pas ...


Message posté par Charles BLANC ROLIN (Déconnecté) le mercredi 27 juillet 2016 à 07:43:35 en réponse au message n°#1 REPONDRE
#3

Bonjour Cedric et bravo pour vos interventions que je suis toujours avec interêt.
Votre billet de ce jour adresse 2 problématiques différentes qu'il faut bien distinguer.
Les éditeurs porteurs d'un agrément en leur nom et utilisateurs des services d'un Data Center non agréé le font dans un cadre tout à fait légal et prévu par le dispositif d'agrément. Celui ci est d'ailleurs plus stict et la procédure plus compliquée que celle prévue pour l'agrément d'un centre d'hébergement car elle couvre à la fois les dispositions nécessaires à la plateforme d'hébergement mais aussi celles relatives à l'exploitation fonctionelle du logiciel de l'éditeur. Ce scénario est selon moi celui qui protège le mieux l'établissement hospitalier utilisateur du service.
EN ce qui concerne l'utilisation d'un contrat de bail de location nu, il s'agit bien évidemment d'un contournement grossier de la loi qui ne resistera pas une seconde à la moindre procédure qu'elle soit juridique ou fiscale.
Cordialement,


Message posté par thinkpro1 (Déconnecté) le mercredi 27 juillet 2016 à 09:44:08 en réponse au message n°#1 REPONDRE
#4

On serait presque tenté de saluer l'artiste.
Rappelons juste que l'agrément hébergeur ne se substitue pas aux obligations du responsable de traitement au titre d'Informatique et Libertés, mais est une garantie additionnelle qu'il est tenu de prendre. Le directeur de ladite EHPAD, et accessoirement son assureur, jouent avec le feu. On ne peut que leur souhaiter de ne jamais avoir à rendre compte dans le cadre d'un incident de sécurité. Ce sera d'autant plus ardu avec la prochaine opposabilité des référentiels techniques de la PGSSI-S, pour lesquels il me semble qu'ils seront bien moins armés que les HDS.


Message posté par fkaag (Déconnecté) le jeudi 28 juillet 2016 à 10:56:47 en réponse au message n°#1 REPONDRE