Hébergement de données de santé : trouble manifestement illicite lié au défaut de recours pour un site internet à un hébergeur certifié

Le Tribunal judiciaire de Paris statuant en référé a ordonné, par jugement du 6 novembre 2020 la fermeture des sites « arrêt maladie.fr » et « Docteursecu.fr » qui proposaient de délivrer des arrêts maladies pour des pathologies courantes.

Au titre des nombreuses circonstances constituant un trouble manifestement illicite qu’il convient de faire cesser, le Tribunal judiciaire relève notamment que les dispositions relatives à l’hébergement des données de santé n’ont pas été respectées.

En effet, pour mémoire, conformément à l’article L.1111-8 du Code de la santé publique, toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données pour le compte du patient lui-même doit être titulaire d’un certificat de conformité. 

En l’espèce, les sites internet litigieux arrêtmaladie.fr, arrêtmaladie.web.app ainsi que Docteursecu.fr étaient respectivement hébergés par GANDI, dont le serveur est situé en Israël, FASTLY dont le serveur est situé aux Etats-Unis, ainsi que INFOMANIAK NETWORK S.A dont le serveur est situé en Suisse. 

Le Tribunal judiciaire de Paris relève ainsi que ces sites, qui hébergent des données à caractère personnel concernées par les dispositions du Code de la santé publique précitées, sont hébergés par des hébergeurs non certifiés afin d’en déduire qu’il s’agit là d’un trouble manifestement illicite qu’il convient de faire cesser dans le cadre de l’application de l’article 835 du Code de procédure civile.

Cet arrêt nous éclaire quant aux conséquences potentielles du recours à des prestataires non certifiés au sens du Code de la santé publique. 

En effet, le défaut de certification est sanctionné par l’article L1115-1 du Code de la santé publique qui prévoit que « La prestation d’hébergement de données de santé à caractère personnel recueillies auprès de personnes physiques ou morales à l’origine de la production ou recueil de ces données ou directement auprès des personnes qu’elles concernent sans être titulaire de l’agrément ou du certificat de conformité prévu par l’article L.1111-8 ou de traitement de ces données sans respecter les conditions de l’agrément obtenu est puni de trois ans d’emprisonnement et de 45 000 euros d’amende. » 

Ainsi, c’est sur l’hébergeur que pèse la responsabilité d’être certifié ou agréé. Toutefois, il appartient toujours au responsable de traitement, d’avoir recours à des sous-traitants, lesquels , présentant des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement général sur la protection des données. 

En l’espèce, cet arrêt illustre l’une des conséquences supplémentaires pouvant s’attacher au défaut de certification ou d’agrément d’un hébergeur. Il ressort ainsi que les juridictions sont susceptibles d’ordonner en référé la fermeture d’un site internet, au besoin sous astreinte (en l’espèce, 3.000 euros par jour de retard), en raison du défaut de recours à des hébergeurs certifiés. 

Dans cette décision, le défaut de recours à un hébergeur certifié n’est pas le seul trouble manifestement illicite qu’il convient de faire cesser. En effet, sont également soulevés des atteintes aux principes déontologiques fondamentaux tels que la liberté de prescription du médecin, le secret professionnel, le paiement direct des honoraires par le malade, la liberté de prescription ainsi qu’aux règles afférentes à la télémédecine. 

Il conviendra donc de rester vigilant aux décisions à venir afin de déterminer si la seule circonstance du défaut de recours à un hébergeur certifié est susceptible de justifier en elle-même la fermeture d’un site internet. 

Nous notons toutefois que le Tribunal judiciaire indique que « les troubles manifestement illicites constatés, qui exposent les données de santé des utilisateurs et méconnaissent la protection des assurés sociaux et la santé publique sont graves » avant de poursuivre pour justifier la fermeture des sites sous astreinte « les modifications nécessaires des sites litigieux pour éventuellement se conformer au cadre législatif précité sont incertaines tant sur le plan technique que sur la / des modifications ». 

Nos équipes se tiennent à votre disposition pour vous accompagner dans le cadre des échanges de protection des données avec vos partenaires, et notamment quant à la problématique de l’hébergement agréé ou certifié des données de santé que vous êtes susceptibles, dans le cadre de vos activités, de traiter.