Obligations légales sur les données de santé

Vos obligations sur les données de santé : RGPD, contrat HDS et sanctions.

Mis à jour le 24 juin 2026 · sources officielles citées en bas de page

Qui est responsable de quoi ? Quelles clauses doivent figurer dans un contrat d’hébergement ? Quelles sanctions en cas de manquement ? Ce guide fait le tour des obligations légales applicables aux données de santé — avec les nuances propres à la Nouvelle-Calédonie.

Les données de santé sont des données sensibles

Le RGPD classe les données de santé parmi les catégories particulières de données (article 9). Leur traitement est en principe interdit, sauf à relever d’une exception encadrée : consentement explicite de la personne, nécessité des soins, obligation légale, recherche dans l’intérêt public, etc. Cette interdiction de principe est le point de départ de toutes les obligations.

L’obligation d’hébergement certifié

L’article L.1111-8 du Code de la santé publique impose que l’hébergement de données de santé à caractère personnel pour le compte de tiers soit confié à un hébergeur certifié HDS. C’est de là que découle la certification HDS. Attention toutefois : en Nouvelle-Calédonie, l’article L.1541-3 CSP écarte certaines dispositions de L.1111-8 — voir le dossier « HDS en Nouvelle-Calédonie ».

Le secret médical

Indépendamment du HDS, le secret médical (article 226-13 du code pénal et règles déontologiques) impose la confidentialité des informations relatives au patient. La numérisation ne supprime pas cette obligation : elle en déplace les enjeux vers la sécurité technique des systèmes.

La localisation des données

Une responsabilité partagée

La conformité ne repose pas sur un seul acteur. On distingue :

  • le responsable de traitement (par exemple l’établissement ou le professionnel de santé), qui décide des finalités et des moyens ;
  • l’hébergeur / sous-traitant, qui agit pour le compte du responsable et doit présenter des garanties suffisantes.

Le responsable de traitement engage sa responsabilité dans le choix de son prestataire : confier des données de santé à un hébergeur non certifié (là où la certification est requise) constitue un manquement.

Le contrat d’hébergement

Le contrat liant le client à l’hébergeur de données de santé doit comporter des clauses spécifiques : description des prestations de sécurité, conditions de réversibilité et de restitution des données en fin de contrat, mesures de confidentialité, gestion des incidents. C’est une pièce contractuelle à ne pas négliger.

Les sanctions

À cette sanction pénale propre au HDS s’ajoute le régime du RGPD : la CNIL — compétente y compris en Nouvelle-Calédonie — peut prononcer des sanctions administratives en cas de manquement à la protection des données.

En pratique : une check-list

  • Identifier si l’on traite des données de santé et à quel titre (responsable ou sous-traitant).
  • Vérifier le périmètre exact de certification de son hébergeur.
  • Encadrer la relation par un contrat comportant les clauses requises.
  • Documenter les mesures de sécurité et la base légale du traitement (RGPD).
  • En Nouvelle-Calédonie, faire valider le cadre applicable par un juriste.

Sources : Légifrance — art. L.1115-1 CSP · art. L.1111-8 CSP · article 9 du RGPD · article 226-13 du code pénal.