Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Détournement juridique du décret d’hébergement de données de santé

26 juil. 2016 - 13:22,
Tribune - Cédric Cartau
Récemment, au fil de mes pérégrinations dans le petit monde de la santé, je suis tombé coi devant un usage du décret d’hébergement qui pourrait paraître, a priori, comme un détournement juridique.

Le cas est le suivant : un petit établissement (Ehpad de moins de 5 millions d’euros de budget annuel d’exploitation) a conclu un contrat d’externalisation de son informatique auprès d’une société informatique (SSII). L’Ehpad n’utilise que quelques applications : Active Directory, un ERP intégré de gestion administrative et médicale des patients, une comptabilité, une paye, le tout tenant sans soucis sur un seul serveur correctement dimensionné. La SSII en question, dont je tairai le nom, s’occupe à la fois de l’hébergement technique de la machine et de son exploitation (supervision, sauvegardes, etc.).

Je m’étonne lorsque le directeur de l’Ehpad m’affirme que la SSII ne dispose pas de l’agrément hébergeur, mais que son directeur lui a affirmé que dans le cas de la relation contractuelle établie entre les parties, le mode d’externalisation de l’hébergement objet de la prestation échappe aux contraintes de l’agrément.

Petit rappel : l’agrément s’impose à toute entité juridique qui héberge techniquement des données de santé pour le compte de tiers. Si, par exemple, l’hôpital du coin déplace ses serveurs dans le datacenter d’Orange, ce dernier est tenu de disposer du fameux agrément sans quoi il se met hors la loi (Orange dispose de cet agrément). 

Dans le cas présent, le directeur de la SSII a été très malin : il n’a pas conclu un contrat d’hébergement de serveur avec l’Ehpad, mais un contrat de bail de location d’un local nu (en gros, des mètres carrés avec un toit, une prise électrique et une climatisation) au sein duquel l’Ehpad fait ce qu’il désire, y compris organiser des boums et des soirées dansantes si cela lui chante. Juridiquement parlant, le contrat de bail correspond à un transfert de propriété du local, et de fait la SSII n’héberge plus rien puisque l’espace en question ne lui appartient plus. Elle se contente simplement d’amener l’électricité (comme EDF chez moi) et une prise réseau (comme l’ADSL chez moi). Pour la partie exploitation, la SSII a signé un second contrat de maintien en condition opérationnelle concernant des serveurs qui pourraient par ailleurs se trouver n’importe où sur Terre, ce second contrat ne présuppose en rien un intermédiaire hébergeur. Avec un tel montage, la SSII échappe (selon son PDG) aux fourches caudines de l’agrément.

N’étant pas juriste, j’ai tout de même interrogé quelques spécialistes du domaine, et voilà ce qu’il en ressort : si le contrat n’avait pas été un contrat de bail mais une mise à disposition d’espace dans un datacenter (qui n’emporte pas sur la propriété même temporaire du local, qui reste alors celle de la SSII), la SSII aurait dans ce cas précis relevé du décret d’hébergement. Cela peut paraître étonnant, mais pas tant que cela en fait. Nombre d’hébergeurs agréés (souvent des éditeurs souhaitant proposer leurs solutions en mode SaaS) détiennent l’agrément mais ne possèdent aucun datacenter, se contentant de louer de l’espace dans un datacenter privé : si le cas décrit ci-dessus était illégal, quid alors de ces datacenters privés qui hébergent de facto de la donnée médicale pour le compte des éditeurs (et eux-mêmes pour le compte de leurs clients). Un gros hôpital pourrait par ailleurs aussi décider de louer des mètres carrés dans un datacenter privé afin de faire face à la pénurie de place dans son propre datacenter. On voit mal comment, dans cette hypothèse, le propriétaire dudit datacenter privé relèverait du décret.

Quant au second contrat de maintien en condition opérationnelle, tout le monde conviendra qu’il n’impacte en rien l’hébergeur (et donc les obligations du décret), car le serveur pourrait se trouver au sein de l’Ehpad lui-même comme chez un hébergeur agréé, ce qui ne changerait en rien les termes de ce second contrat.

Il semble donc que nous soyons en présence certes de ce qui peut paraître un détournement de l’esprit de la loi, mais qui ne semble pas illégal à proprement parler. N’ayant cependant réussi à obtenir aucune confirmation écrite de qui que ce soit (juriste ou pouvoirs publics), je suis preneur de toute analyse contradictoire de ce cas qui va sans nul doute se multiplier.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Illustration « Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

29 sept. 2025 - 20:33,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.