Logiciels métiers des professionnels de santé  et obligation de la certification HDS 

Par un arrêt en date du 15 décembre 2022, n°21-01214, la Cour d’Appel de Nîmes a prononcé la nullité d’un contrat entre un professionnel de santé et un éditeur de logiciel de télétransmission pour défaut de respect de l’agrément hébergement de données de santé (“HDS”).  

Décision importante pour les médecins, infirmiers et autres professionnels, que nous avons décidé d’analyser !   

I – Qu’est-ce que la certification HDS ?  

La certification HDS vise à garantir la sécurité et la confidentialité des données de santé en assurant que les organismes qui les hébergent respectent les normes de sécurité et de confidentialité appropriées. 

Elle est attribuée par un organisme indépendant et permet aux établissements de santé et aux autres parties prenantes de s’assurer que les données de santé sont gérées de manière sûre et responsable. 

Les personnes physiques et morales doivent être agrées ou certifiées dès qu’elles hébergent des coordonnées de santé à caractère personnel collectées lors d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte des personnes physiques ou morales (article L. 1111-8 du Code de la santé publique). 

Tout hébergement de données de santé non conforme constitue un délit puni de 3 ans d’emprisonnement et de 225 000 euros d’amende.  

En outre, l’hébergement de données de santé sans certification approprié peut être considéré comme une violation du RGPD – règlement général sur la protection des données – et entraîner des sanctions par la CNIL comme une amende qui peut atteindre jusqu’à 4% du chiffre d’affaires de l’entreprise concernée. 

II – Analyse de la Cour d’appel de Nîmes 

En l’espèce, une infirmière avait souscrit un abonnement auprès d’un logiciel de télétransmission de feuilles de soins aux caisses d’assurance maladie et des mutuelles. 

En 2018, celle-ci découvre l’absence de certificat HDS. Elle assigne alors l’éditeur pour obtenir la restitution des mensualités versées et la nullité du contrat. Après une première décision qui fait droit à ses demandes, la décision est confirmée par la Cour d’appel de Nîmes. 

Les juges précisent que l’hébergement des données doit être géré par un éditeur et/ou prestataire lui-même certifié HDS.  

Pour sa défense, l’éditeur énonce qu’il ne gère pas l’hébergement des données mais seulement leur transmission. Cet argument est écarté par la cour car la télétransmission des données de santé à caractère personnel et leur hébergement est indissociable. En conséquence, le professionnel était tenu de délivrer une prestation conforme aux dispositions d’ordre public protégeant les données de santé. 

Ainsi, la cour confirme le prononcé de la nullité du contrat et condamne l’éditeur à rembourser le client du montant total des mensualités versées. 

Attention : depuis le 1^er avril 2018, l’agrément « hébergeur de données de santé » (“HDS”) a cédé la place à la certification HDS dont le degré d’exigence de sécurité est plus élevé. L’arrêt en question concernant l’impact du défaut de l’agrément HDS sur la validité d’un contrat informatique mais semble transposable à un défaut de certificat HDS. 

A noter également qu’un projet de nouveau référentiel de certification a été publié le 2 décembre 2022 par l’Agence numérique en santé. Ce nouveau référentiel, qui doit faire l’objet de modifications/mises à jour, pourrait être adopté au printemps 2023.

Si vous avez des questions sur votre activité, contactez-nous !   

• Instagram
• LinkedIn