Publicité en cours de chargement...
Détournement juridique du décret d’hébergement de données de santé
Le cas est le suivant : un petit établissement (Ehpad de moins de 5 millions d’euros de budget annuel d’exploitation) a conclu un contrat d’externalisation de son informatique auprès d’une société informatique (SSII). L’Ehpad n’utilise que quelques applications : Active Directory, un ERP intégré de gestion administrative et médicale des patients, une comptabilité, une paye, le tout tenant sans soucis sur un seul serveur correctement dimensionné. La SSII en question, dont je tairai le nom, s’occupe à la fois de l’hébergement technique de la machine et de son exploitation (supervision, sauvegardes, etc.).
Je m’étonne lorsque le directeur de l’Ehpad m’affirme que la SSII ne dispose pas de l’agrément hébergeur, mais que son directeur lui a affirmé que dans le cas de la relation contractuelle établie entre les parties, le mode d’externalisation de l’hébergement objet de la prestation échappe aux contraintes de l’agrément.
Petit rappel : l’agrément s’impose à toute entité juridique qui héberge techniquement des données de santé pour le compte de tiers. Si, par exemple, l’hôpital du coin déplace ses serveurs dans le datacenter d’Orange, ce dernier est tenu de disposer du fameux agrément sans quoi il se met hors la loi (Orange dispose de cet agrément).
Dans le cas présent, le directeur de la SSII a été très malin : il n’a pas conclu un contrat d’hébergement de serveur avec l’Ehpad, mais un contrat de bail de location d’un local nu (en gros, des mètres carrés avec un toit, une prise électrique et une climatisation) au sein duquel l’Ehpad fait ce qu’il désire, y compris organiser des boums et des soirées dansantes si cela lui chante. Juridiquement parlant, le contrat de bail correspond à un transfert de propriété du local, et de fait la SSII n’héberge plus rien puisque l’espace en question ne lui appartient plus. Elle se contente simplement d’amener l’électricité (comme EDF chez moi) et une prise réseau (comme l’ADSL chez moi). Pour la partie exploitation, la SSII a signé un second contrat de maintien en condition opérationnelle concernant des serveurs qui pourraient par ailleurs se trouver n’importe où sur Terre, ce second contrat ne présuppose en rien un intermédiaire hébergeur. Avec un tel montage, la SSII échappe (selon son PDG) aux fourches caudines de l’agrément.
N’étant pas juriste, j’ai tout de même interrogé quelques spécialistes du domaine, et voilà ce qu’il en ressort : si le contrat n’avait pas été un contrat de bail mais une mise à disposition d’espace dans un datacenter (qui n’emporte pas sur la propriété même temporaire du local, qui reste alors celle de la SSII), la SSII aurait dans ce cas précis relevé du décret d’hébergement. Cela peut paraître étonnant, mais pas tant que cela en fait. Nombre d’hébergeurs agréés (souvent des éditeurs souhaitant proposer leurs solutions en mode SaaS) détiennent l’agrément mais ne possèdent aucun datacenter, se contentant de louer de l’espace dans un datacenter privé : si le cas décrit ci-dessus était illégal, quid alors de ces datacenters privés qui hébergent de facto de la donnée médicale pour le compte des éditeurs (et eux-mêmes pour le compte de leurs clients). Un gros hôpital pourrait par ailleurs aussi décider de louer des mètres carrés dans un datacenter privé afin de faire face à la pénurie de place dans son propre datacenter. On voit mal comment, dans cette hypothèse, le propriétaire dudit datacenter privé relèverait du décret.
Quant au second contrat de maintien en condition opérationnelle, tout le monde conviendra qu’il n’impacte en rien l’hébergeur (et donc les obligations du décret), car le serveur pourrait se trouver au sein de l’Ehpad lui-même comme chez un hébergeur agréé, ce qui ne changerait en rien les termes de ce second contrat.
Il semble donc que nous soyons en présence certes de ce qui peut paraître un détournement de l’esprit de la loi, mais qui ne semble pas illégal à proprement parler. N’ayant cependant réussi à obtenir aucune confirmation écrite de qui que ce soit (juriste ou pouvoirs publics), je suis preneur de toute analyse contradictoire de ce cas qui va sans nul doute se multiplier.
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...