Le client peut-il obtenir la nullité du contrat qui le lie à l’éditeur d’un logiciel de santé qui ne bénéficie pas de l’agrément pour l’hébergement de données de santé (HDS) ?

C’est la question sur laquelle s’est penchée la Cour d’appel de Nîmes le 15 décembre 2022.

 

Rappel sur la certification hébergeur de données de santé

Quelle est la différence entre la certification et l’agrément HDS ?

Le 1er avril 2018, l’agrément HDS a laissé place à la certification HDS dont le degré d’exigence de sécurité est plus élevé. L’arrêt d’espèce concerne l’impact du défaut d’agrément HDS sur la validité d’un contrat informatique. Cependant, la portée de l’arrêt semble transposable à un défaut de certification HDS.

En bref, qu’est-ce que la certification HDS ?

La certification HDS est un mécanisme qui vise à garantir la sécurité et la confidentialité des données de santé en assurant que les organismes qui les hébergent respectent les normes de sécurité et de confidentialité appropriée. Elle est attribuée par un organisme indépendant accrédité par le Comité français d’accréditation (COFRAC) et permet aux établissements de santé et aux autres parties prenantes de s’assurer que les données de santé sont gérées de manière sûre et responsable.

Qui est concerné par la certification HDS ?

Doivent être agréées ou certifiées toutes les personnes physiques ou morales qui hébergent des données de santé à caractère personnel collectées lors d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte des personnes physiques ou morales à l’origine de la production ou de la collecte de ces données ou pour le compte du patient lui-même.

En pratique comment fonctionne la certification HDS ?

Les candidats hébergeurs doivent soumettre leur demande de certificat à un organisme agréé par le COFRAC (ou équivalent européen). L’organisme effectue alors un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification établi par l’Agence Numérique en Santé (ANS) et approuvé par arrêté le 11 juin 2018. En septembre 2022, l’ANS a annoncé travailler sur un nouveau référentiel qui serait opposable au printemps 2023.

  • Etape 1 – Audit documentaire : l’organisme certificateur examine les documents du système d’information du candidat pour vérifier la conformité de ce système aux exigences du référentiel de certification.
  • Etape 2 – Audit sur site : l’organisme certificateur recueille des preuves selon les conditions définies dans le référentiel d’accréditation. L’hébergeur a ensuite trois mois pour corriger les éventuelles non-conformités et soumettre ces corrections à un audit. Si aucune action n’est entreprise dans ce délai, l’audit sur site sera répété.

La certification HDS donne lieu à l’obtention de deux types de certificats :

  • « Hébergeur d’infrastructure physique » : pour la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé et des sites physiques permettant d’héberger cette infrastructure.
  • « Hébergeurs infogéreurs » : pour la mise à disposition et le maintien en condition opérationnelle de l’infrastructure du système d’information de santé, la plateforme d’hébergement d’applications, l’administration et l’exploitation du système d’information contenant les données de santé, et la sauvegarde externalisée des données de santé.

Le certificat délivré par l’organisme certificateur a une validité de trois ans, et chaque année, un audit de suivi est réalisé.

Pourquoi la certification HDS est-elle importante ?

  • L’hébergement non conforme de données de santé constitue un délit puni de 3 ans d’emprisonnement et 225 000€ d’amende ;
  • L’hébergement de données de santé à caractère personnel sans certification appropriée peut être considéré comme une violation du RGPD, et entraîner des sanctions de la part de la CNIL, telle une amende pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise concernée.
  • Enfin, comme l’a retenu la cour d’appel de Nîmes, le défaut de certification peut entraîner la nullité d’un contrat informatique dont l’objet implique l’hébergement de données de santé.

L’arrêt de la Cour d’appel de Nîmes du 15 décembre 2022 :

Que s’est-il passé ?

En 2013, une infirmière libérale (ci-après le « Client ») souscrit un abonnement à un logiciel de télétransmission de feuilles de soins aux caisses et mutuelles auprès d’un Editeur.

En 2018, le Client constate que l’Editeur ne bénéficie pas de la certification HDS et qu’il sous traite l’hébergement des données à OVH, qui ne bénéficie de l’agrément HDS que depuis le 14 octobre 2016, soit 3 ans après la formation du contrat. En conséquence, le Client assigne l’Editeur devant le tribunal judiciaire d’Avignon afin d’obtenir notamment :

  • La restitution de toutes les mensualités versées au titre de l’abonnement au logiciel ;
  • Le prononcé de la nullité du contrat.

Le 16 février 2021, le tribunal judiciaire d’Avignon fait droit aux demandes du Client, qui obtient donc le remboursement de l’intégralité des sommes versées pour l’abonnement et la nullité du contrat. Le 25 mars 2021, l’Editeur fait appel de cette décision.

La décision de la Cour d’appel de Nîmes.

La Cour commence par (i) valider la nullité du contrat et donc la restitution des sommes versées au titre de l’abonnement avant (ii) d’octroyer à l’Editeur une indemnité d’utilisation correspondant au montant desdites sommes.

1/ Sur la nullité du contrat

  • Le Client fait falloir que l’objet du contrat est illicite car il viole les dispositions de l’article L.1111-8 du Code de la Santé Publique, qui impose l’agrément HDS à « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même».
  • Le Client relève que l’Editeur a commencé son activité sans respecter le cadre réglementaire et en déduit que l’objet du contrat est illicite car l’Editeur ne disposait d’aucun agrément l’autorisant à héberger des données de santé.
  • L’Editeur répond qu’il n’héberge pas de données de santé, mais qu’il ne fait qu’acheminer les données vers un serveur qui en assure le stockage physique pour les rendre accessibles à leurs destinataires, les caisses et les mutuelles.
  • La cour juge que :
    • « S’il assure lui-même l’hébergement des données télétransmises, l’éditeur du logiciel doit lui-même être agréé. Si l’éditeur sous-traite l’hébergement des données de santé télétransmises à un tiers, un contrat doit les lier et l’hébergeur doit être agréé ».
    • « La télétransmission de données de santé à caractère personnel et leur hébergement sont donc indissociables : le contrat de mise à disposition d’un logiciel permettant la télétransmission des feuilles de soins aux caisses et aux mutuelles implique nécessairement leur hébergement dans un support physique de stockage de données. »
  • En conséquence, le fait de confier à une société tierce la prestation d’hébergement est indifférent. L’Editeur est tenu de fournir à son cocontractant une prestation d’hébergement conforme aux dispositions d’ordre public protégeant les données de santé à caractère personnel.
  • La Cour confirme donc l’analyse du tribunal de première instance selon laquelle l’objet du contrat est illicite, car le stockage des données télétransmises par les abonnés via le logiciel mis à leur disposition n’est pas assuré par un hébergeur agrée.
  • La Cour confirme donc le prononcé de la nullité du contrat et condamne l’Editeur à rembourser son Client du montant total de l’abonnement payé par ce dernier.

2/ Sur l’octroi d’une indemnité d’utilisation

La Cour considère que :

  • La nullité du contrat emporte sa nullité rétroactive : il est donc censé ne jamais avoir existé et ses effets sont effacés. Chaque partie a l’obligation de restituer à l’autre ce qu’elle a reçu dans le cadre du contrat, si possible en nature, sinon sous la forme d’une indemnité correspondant au profit qu’elle en a retiré.
  • La Cour analyse le contrat comme un contrat de location et en déduit que le Client a reçu le bénéfice de l’utilisation du logiciel durant 48 mois.
  • Le Client ne peut donc pas rendre en nature à l’Editeur le bénéfice de cette utilisation.
  • La seule restitution possible est donc monétaire sous la forme d’une indemnité d’utilisation. Pour calculer cette indemnité, la Cour retient le montant de l’abonnement et le multiplie par le nombre de mois, condamnant ainsi le Client à verser à l’Editeur une somme de 1 872€ à titre indemnitaire.

Ce qu’il faut retenir :

  • Lorsque l’objet d’un contrat informatique porte sur le traitement de données de santé, l’éditeur ou le prestataire est tenu de fournir au client une prestation d’hébergement conforme aux dispositions d’ordre public protégeant les données de santé à caractère personnels.
  • S’il assure l’hébergement des données transmises par le client, l’éditeur ou le prestataire doit lui-même être certifié HDS. Si l’éditeur ou le prestataire sous-traite l’hébergement des données de santé à un tiers, un contrat doit les lier et l’hébergeur doit être certifié.
  • L’hébergement illicite de données de santé est une violation du RGPD, un délit pénal et motif légitime de rupture de contrat.
  • Si vous êtes coté client, pensez à prévoir les clauses pertinentes en termes de résiliation et d’indemnités en cas de non-respect de la certification HDS.
  • Si vous êtes coté prestataire/éditeur, pensez à obtenir et à renouveler dans les temps votre certification HDS. Si vous sous-traitez l’hébergement de données de santé à un tiers, assurez-vous que celui-ci dispose de la certification HDS.

Claudia Weber, avocat fondateur et Brian Robion, juriste | ITLAW Avocats

Besoin d’aide pour rédiger les clauses pertinentes dans votre contrat ?  négocier votre contrat d’hébergement HDS ? votre contrat Editeur ? pour l’obtention de la certification HDS ? Pour gérer un contentieux relatif au défaut de certification HDS ou tout autre contentieux concernant des données de santé et/ou des données personnelles ?

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT  pour vous accompagner dans la sécurisation de vos projets, la gestion des dérapages et votre compliance.

Nous contacter