FR EN

Toute l'actualité sur le public

12.11.2024 10:59

Altij & Oratio Avocats rejoint le programme “Your Experts in France”

Accompagner l'implantation des entreprises britanniques grâce à une expertise juridique en...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Les essentiels, Veille Juridique
08.11.2024 23:18

Soutenez Altij & Oratio avocats au Palmarès du Droit

Notre cabinet participe au "Palmarès du Droit – Toulouse 2024" et nous avons besoin de vous !


Cat: Corporate, M&A et restructuring, Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
05.11.2024 12:58

Occupation du bien social par un associé : le rappel opportun que le commodat ne peut se déduire de l’objet social

Mise à disposition d’un bien social : ce que dit la loi


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les essentiels, Veille Juridique
28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
voir les archives ->
< Formation de de l’Université Paris Dauphine avec Maître France Charruyer . sur le thème « Élaboration des contrats : Impacts RGPD et DPA » dans le cadre du Diplôme Universitaire Délégué à la Protection des Données Personnelles
25.11.2020 15:00 Il y a: 4 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Veille Juridique

Hébergement de données de santé : trouble manifestement illicite lié au défaut de recours pour un site internet à un hébergeur certifié


Le Tribunal judiciaire de Paris statuant en référé a ordonné, par jugement du 6 novembre 2020 la fermeture des sites « arrêt maladie.fr » et « Docteursecu.fr » qui proposaient de délivrer des arrêts maladies pour des pathologies courantes.

Au titre des nombreuses circonstances constituant un trouble manifestement illicite qu’il convient de faire cesser, le Tribunal judiciaire relève notamment que les dispositions relatives à l’hébergement des données de santé n’ont pas été respectées.

En effet, pour mémoire, conformément à l’article L.1111-8 du Code de la santé publique, toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données pour le compte du patient lui-même doit être titulaire d’un certificat de conformité. 

En l’espèce, les sites internet litigieux arrêtmaladie.fr, arrêtmaladie.web.app ainsi que Docteursecu.fr étaient respectivement hébergés par GANDI, dont le serveur est situé en Israël, FASTLY dont le serveur est situé aux Etats-Unis, ainsi que INFOMANIAK NETWORK S.A dont le serveur est situé en Suisse. 

Le Tribunal judiciaire de Paris relève ainsi que ces sites, qui hébergent des données à caractère personnel concernées par les dispositions du Code de la santé publique précitées, sont hébergés par des hébergeurs non certifiés afin d’en déduire qu’il s’agit là d’un trouble manifestement illicite qu’il convient de faire cesser dans le cadre de l’application de l’article 835 du Code de procédure civile.

Cet arrêt nous éclaire quant aux conséquences potentielles du recours à des prestataires non certifiés au sens du Code de la santé publique. 

En effet, le défaut de certification est sanctionné par l’article L1115-1 du Code de la santé publique qui prévoit que « La prestation d’hébergement de données de santé à caractère personnel recueillies auprès de personnes physiques ou morales à l’origine de la production ou recueil de ces données ou directement auprès des personnes qu’elles concernent sans être titulaire de l’agrément ou du certificat de conformité prévu par l’article L.1111-8 ou de traitement de ces données sans respecter les conditions de l’agrément obtenu est puni de trois ans d’emprisonnement et de 45 000 euros d’amende. » 

Ainsi, c’est sur l’hébergeur que pèse la responsabilité d’être certifié ou agréé. Toutefois, il appartient toujours au responsable de traitement, d’avoir recours à des sous-traitants, lesquels , présentant des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement général sur la protection des données. 

En l’espèce, cet arrêt illustre l’une des conséquences supplémentaires pouvant s’attacher au défaut de certification ou d’agrément d’un hébergeur. Il ressort ainsi que les juridictions sont susceptibles d’ordonner en référé la fermeture d’un site internet, au besoin sous astreinte (en l’espèce, 3.000 euros par jour de retard), en raison du défaut de recours à des hébergeurs certifiés. 

Dans cette décision, le défaut de recours à un hébergeur certifié n’est pas le seul trouble manifestement illicite qu’il convient de faire cesser. En effet, sont également soulevés des atteintes aux principes déontologiques fondamentaux tels que la liberté de prescription du médecin, le secret professionnel, le paiement direct des honoraires par le malade, la liberté de prescription ainsi qu’aux règles afférentes à la télémédecine. 

Il conviendra donc de rester vigilant aux décisions à venir afin de déterminer si la seule circonstance du défaut de recours à un hébergeur certifié est susceptible de justifier en elle-même la fermeture d’un site internet. 

Nous notons toutefois que le Tribunal judiciaire indique que « les troubles manifestement illicites constatés, qui exposent les données de santé des utilisateurs et méconnaissent la protection des assurés sociaux et la santé publique sont graves » avant de poursuivre pour justifier la fermeture des sites sous astreinte « les modifications nécessaires des sites litigieux pour éventuellement se conformer au cadre législatif précité sont incertaines tant sur le plan technique que sur la / des modifications ». 

Nos équipes se tiennent à votre disposition pour vous accompagner dans le cadre des échanges de protection des données avec vos partenaires, et notamment quant à la problématique de l’hébergement agréé ou certifié des données de santé que vous êtes susceptibles, dans le cadre de vos activités, de traiter.