La certification HDS : une condition de validité des contrats informatiques

1. Certification HDS : de quoi parle-t-on ?

L’hébergement de données de santé est encadré par le Code de la santé publique qui prévoit que toute personne physique ou morale - à l’origine de la production ou du recueil de données de santé à caractère personnel à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social - doit recourir à un hébergeur certifié ou agréé lorsqu’elle externalise la conservation de ces données.

La procédure de certification repose sur une évaluation de conformité à un référentiel (dont la dernière version a été approuvée par un arrêté du 11 juin 2018). Ce référentiel définit les exigences applicables à la certification « HDS » incluant le respect d’un certain nombre de règles et de normes, dont des normes ISO. Concrètement, l’hébergeur doit choisir un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen), qui procédera à un audit de conformité au référentiel. Le certificat est délivré pour une durée de 3 ans, étant précisé qu’un audit de surveillance annuel est effectué.

A noter qu’un projet de nouveau référentiel de certification a été publié le 2 décembre 2022 par l’Agence numérique en santé, sous l’égide de la Délégation ministérielle du numérique en santé. Ce nouveau référentiel, qui doit faire l’objet de modifications/mises à jour, pourrait être adopté au printemps 2023. 

Pour mémoire, avant ce système de certification, l’hébergeur était soumis, de façon générale, à une procédure d’agrément délivré par le ministère de la santé basé sur un dossier déposé à l’ASIP-Santé ainsi qu’un avis de la CNIL et d’un comité d’agrément des hébergeurs. L’agrément était donné pour une durée de 3 ans. Cette procédure d’agrément a pris fin en 2018 (une procédure d’agrément a toutefois été maintenue uniquement pour l’hébergement de données de santé dans le cadre d’un service d’archivage).

Il convient de rappeler que le défaut de certification de prestations d’hébergement de données de santé est sanctionné d’une lourde amende pénale (225.000 € pour les personnes morales). De plus, héberger des données de santé à caractère personnel sans certification HDS peut être considéré comme un traitement contrevenant aux dispositions de la « Loi informatique et Libertés » et du RGPD et être sanctionné par la CNIL. Une injonction de cesser le traitement ou une amende pouvant aller jusqu’à 4% du chiffres d’affaires mondial de l’acteur concerné peut ainsi être prononcée.

A cela, peuvent s’ajouter des sanctions contractuelles qui sont moins connues, comme l’illustre un récent arrêt de la Cour d’appel de Nîmes rendu le 15 décembre 2022.  

2. L’affaire

Une infirmière libérale avait souscrit un abonnement de 4 ans pour l’utilisation d’un logiciel de télétransmission de feuilles de soins aux caisses d’assurance maladie et aux mutuelles. A l’approche du terme de son abonnement, elle informa l’éditeur qu’elle ne le reconduirait pas en raison de « difficultés rencontrées avec le logiciel ». Quelques mois plus tard, la professionnelle de santé mettait en demeure l’éditeur de lui restituer les redevances payées non seulement en raison de « dysfonctionnements graves » du logiciel, mais surtout du défaut d’agrément de l’hébergeur, la société OVH, auprès de laquelle l’éditeur sous-traitait l’hébergement des données de santé.

L’éditeur n’ayant pas fait droit à cette demande de restitution, la professionnelle de santé porta l’affaire en justice en invoquant la nullité du contrat, considérant que le défaut d’agrément HDS (en violation de l’article L.1111-8 du Code de la santé publique) rendait illicite l’objet du contrat.

En défense, l’éditeur soutenait que la procédure d’agrément HDS n’était pas applicable « aux opérateurs qui, dans le cadre de leurs services, participent à la chaîne de transmission des données sans jamais les héberger durablement à titre principal ». Aussi, pour l’éditeur, le contrat n’avait pas pour objet l’hébergement des données de santé mais uniquement la télétransmission réalisée par le logiciel.

3. La décision 

En premier lieu, les juges ont estimé qu’il y avait bien un hébergement des données de santé parce que le logiciel permet « l’acheminement des données vers un serveur qui en assure le stockage physique pour les rendre accessibles à leurs destinataires, les caisses et les mutuelles ». En conséquence, « la télétransmission des feuilles de soins aux caisses et aux mutuelles implique nécessairement leur hébergement dans un support physique de stockage des données ».

En second lieu, les juges ont considéré qu’il appartenait à l’éditeur de fournir « une prestation conforme aux dispositions d’ordre public protégeant les données de santé à caractère personnel » et ce, peu important que l’hébergement de ces données soit sous-traité à un tiers. En d’autres termes, si c’est bien l’hébergeur des données qui doit être agréé HDS (aujourd’hui certifié HDS), en l’occurrence la société OVH, c’est à l’éditeur de la solution concernée de justifier que son sous-traitant hébergeur dispose bien d’un tel agrément.

Or, l’éditeur n’a pas été en mesure de rapporter la preuve que la société OVH était agréée au moment de la signature du contrat d’abonnement. La Cour d’appel de Nîmes en a déduit que l’hébergement des données de santé n’était donc pas assuré par un hébergeur agréé. De ce seul fait, la Cour d’appel a conclu que l’objet du contrat était illicite et que le contrat encourrait la nullité. Les conséquences ne sont pas des moindres : l’éditeur a été condamné à restituer l’intégralité des redevances mensuelles payées par la professionnelle de santé ! 

4. Ce qu’il faut retenir

La fourniture d’un logiciel impliquant le stockage de données de santé requiert une certification HDS de l’hébergeur, qu’il soit l’éditeur ou le sous-traitant de ce dernier. Cette certification doit pouvoir être justifiée dès la conclusion du contrat de licence/de services. A défaut, et au-delà des sanctions pénales et administratives encourues, tout contrat portant sur une telle fourniture est susceptible d’annulation et ouvre droit au remboursement de toute somme versée en contrepartie d’un tel contrat !

Les auteurs 
Alexandre FIEVEE & Alice ROBERT
Avocats
Equipe du pôle e-santé

Alice ROBERT a rejoint Derriennic Associés en 2012 et est inscrite au Barreau de Paris depuis 2013.
Elle a une grande connaissance et une forte expertise en droit des nouvelles technologies et, plus particulièrement, en Data, E-santé ainsi qu’en dématérialisation, informatique et RGPD.
Elle travaille aussi bien en conseil qu’en contentieux.
Alice est titulaire d’un Master 2 « Droit, Innovation, Communication, Culture », spécialité « Droit de l’Innovation Technique », de l’Université de Paris-XI.
Elle écrit de nombreux articles, en particulier pour des revues spécialisées.

Alexandre FIEVEE est inscrit au Barreau de Paris depuis 2004.Il accompagne de nombreux acteurs notamment dans le secteur de l’informatique, de la santé, de l’assurance, de la banque et de l’intelligence artificielle.
Il a une grande connaissance et une forte expertise en droit des nouvelles technologies : data, RGPD, e-santé, dématérialisation et informatique. Il travaille aussi bien en conseil qu’en contentieux.
Avant de rejoindre le cabinet Derriennic Associés, Alexandre a travaillé notamment comme responsable juridique au sein de la direction juridique d’AXA France.
Il écrit de nombreux articles dans les revues spécialisées et a notamment une rubrique mensuelle dans la revue Expertises.