
Actualités JuriSanté n° 74 – Juillet 2011 5
Dossier •••
L’hébergement des données personnelles de santé :
principes et limites
sonne concernée. Le contrat conclu entre l’établissement
de santé et l’hébergeur prévoit que l’hébergement des
données, les modalités d’accès à celles-ci et leurs modali-
tés de transmission sont subordonnés à l’accord de la per-
sonne concernée.
Cependant, à titre dérogatoire, les établissements de
santé peuvent confier les données de santé créées à
l’occasion de leurs activités à des hébergeurs agréés
sans le consentement exprès du patient, dès lors que
l’accès aux données hébergées est limité à l’établisse-
ment de santé qui les a déposées et au patient. Mais,
même dans cette hypothèse, le patient conserve un
droit d’opposition et de rectification.
La proposition de loi dite Fourcade, actuellement en cours
de discussion parlementaire, comporte un article 12 aux
termes duquel : « Pour l’application de l’article L. 1111-8
du code de la santé publique, le consentement exprès des
personnes concernées est, à compter de la promulgation
de la présente loi, réputé accordé pour ce qui concerne le
transfert des données de santé à caractère personnel
actuellement hébergées par les établissements publics de
santé et par les établissements de santé privés. ». Si elle
était votée, cette disposition permettrait de dispenser les
établissements de santé souhaitant confier l’hébergement
de leurs données de santé à caractère personnel à un
prestataire, ou l’ayant déjà fait, de recueillir le consente-
ment des patients pour lesquels les données de santé à
caractère personnel, et notamment les dossiers médicaux,
ont été constitués avant la promulgation du texte précité.
Les établissements publics de santé sont tenus de
se soumettre au code des marchés publics avant de
conclure un contrat d’hébergement de données de
santé à caractère personnel
Un contrat est obligatoirement passé entre l’établissement
public de santé et l’hébergeur agréé. Ce contrat conclu à
titre onéreux entre un pouvoir adjudicateur et un opéra-
teur économique de services a le caractère d’un marché
public (voir article 1er du code des marchés publics). Ce
marché bénéficie, pour sa passation, d’un régime dit
« allégé » en matière de publicité et de mise en concur-
rence, aménagé par les dispositions de l’article 30 du code
des marchés publics.
Un établissement public de santé peut être agréé en
vue d’assurer l’hébergement des données de santé à
caractère personnel d’autres acteurs de santé
Dès lors qu’une entité héberge des données de santé de
patients dont elle n’assure pas la prise en charge, elle est
considérée comme hébergeur et elle doit donc, en cette
qualité, obtenir un agrément ministériel pour pouvoir
exercer cette activité. Ainsi, un établissement public de
santé, qui est amené à conserver les données de santé
d’autres établissements de santé ou structures de soins,
doit être agréé.
Une telle hypothèse pose des difficultés juridiques, dès
lors que les hôpitaux publics sont, en principe, tenus de
se limiter à l’exercice des missions qui leur ont été dévo-
lues par la loi et qui sont définies dans des termes précis
et exhaustifs. Autrement dit, ils sont soumis, au même
titre que tous les établissements publics, au principe
de spécialité, qui leur interdit de sortir du champ de
compétences attribuées par les textes.
Les missions des établissements de santé sont énoncées
par les articles L. 6111-1 et suivants du code de la santé
publique, lesquels ne mentionnent pas l’activité d’héberge-
ment de données de santé à caractère personnel pour
le compte de tiers. Cependant, les hôpitaux publics sont
autorisés à effectuer des prestations subsidiaires dans le
cadre des dispositions de l’article L. 6145-7 du code de la
santé publique selon les termes duquel : « Sans porter
préjudice à l’exercice de leurs missions, les établissements
publics de santé peuvent, à titre subsidiaire, assurer des
prestations de service, valoriser les activités de recherche
et leurs résultats et exploiter des brevets et des licences
dans le cadre de services industriels et commerciaux (…) ».
Le juge administratif est venu préciser les conditions de
mise en œuvre de cet article dans une décision de la Cour
administrative d’appel de Nantes (voir CAA de Nantes, du
29 mars 2000, Centre hospitalier de Morlaix,
n° 97NT00451). En l’espèce, il a considéré qu’une presta-
tion de traitement de linge assurée par un établissement
public de santé au profit d’une clinique ne pouvait pas être
regardée comme relevant des prestations de service pou-
vant être effectuées, à titre subsidiaire, dans le respect des
missions dévolues aux hôpitaux publics, dès lors que
l’activité en cause était sans rapport avec ses missions
principales. Ainsi, l’activité subsidiaire doit nécessairement
constituer le prolongement de l’activité principale que
l’hôpital réalise dans le cadre de sa spécialité et des mis-
sions de service public qui lui ont été confiées par la loi.
Eu égard à cette interprétation restrictive du principe de
spécialité applicable aux établissements publics de santé
retenue par le juge administratif, il semble qu’un hôpital
public ne pourrait pas, sans outrepasser l’objet en vue
duquel il a été créé, assurer des prestations d’héberge-
ment de données de santé à caractère personnel pour
d’autres acteurs de santé, lesquelles relèvent plutôt du
secteur commercial et des sociétés de services informa-
tiques à but lucratif.
Conclusion :
La loi du 4 mars 2002 dans ses articles L. 1111-8 et
R. 1111-9 à 16-1 du code de la santé publique, a voulu
permettre aux établissements de santé d’externaliser
leurs données personnelles de santé dès lors que leur pro-
pre système informatique ne pouvait les maintenir en état
et conserver ces données. Mais les conditions sont
strictes, encadrées et garanties par la procédure d’agré-
ment maîtrisée par la CNIL.
Cette disposition n’avait en aucun cas pour but d’ouvrir un
potentiel d’activité commerciale aux établissements de
santé publics eux-mêmes. Aussi il est pertinent de se
poser la question de l’agrément reçu par un centre hospi-
talier pour héberger les données de santé d’une autre
structure quelle qu’en soit la forme et l’objet.
Pour aller plus loin :
⇒Les sources d’information :
⇒www.cnil.fr
⇒www.esante.gouv.fr