HDS et RGPD en EHPAD : ce que la loi impose à votre logiciel de soins

La certification Hébergement de Données de Santé (HDS) est encadrée par l'article L. 1111-8 du Code de la santé publique, modifié par la loi du 26 janvier 2016 de modernisation du système de santé. Depuis le 1er avril 2018, tout prestataire qui héberge des données de santé à caractère personnel pour le compte d'un professionnel ou d'un établissement de santé doit être titulaire de la certification HDS délivrée par un organisme accrédité par le COFRAC.

Cette obligation s'applique à toute solution numérique utilisée en EHPAD qui collecte, stocke ou traite des données de santé : logiciels de DUI (Dossier Usager Informatisé), solutions de dictée vocale, outils de suivi des constantes, applications de communication avec les familles incluant des données médicales. L'arrêté du 26 avril 2024, qui a étendu la certification HDS aux prestataires établis dans l'Espace Économique Européen (EEE), a mis fin à une pratique courante consistant à utiliser des solutions cloud étrangères non certifiées. La liste des hébergeurs certifiés est consultable et actualisée en temps réel sur le site de l'ANS (esante.gouv.fr/hds).

La certification HDS repose sur un référentiel en deux parties. La partie 1 porte sur les activités d'hébergement physique : l'infrastructure (datacenter, serveurs, réseau) doit répondre à des exigences strictes de disponibilité, de sécurité physique et de redondance. La partie 2 porte sur les activités d'hébergement infogéré : l'exploitation, la maintenance, la sauvegarde et la restitution des données. Un prestataire peut être certifié sur l'une ou les deux parties. Un éditeur de logiciel EHPAD qui utilise un datacenter certifié HDS Partie 1 mais ne dispose pas lui-même de la certification Partie 2 pour ses activités d'exploitation n'est pas en conformité.

La certification HDS est valable 3 ans et fait l'objet d'audits de surveillance annuels. Elle implique notamment : une politique de sécurité formalisée (PSSI), un plan de continuité d'activité (PCA) testé régulièrement, des procédures de notification des incidents de sécurité dans les délais réglementaires (72 heures pour la CNIL en cas de violation de données), et des mécanismes de traçabilité des accès aux données. Lors de la signature d'un contrat avec un prestataire numérique en EHPAD, la vérification de la certification HDS est une due diligence non-négociable.

Le Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) classe les données de santé comme données « sensibles » au sens de l'article 9, dont le traitement est en principe interdit sauf exceptions spécifiques. Les EHPAD bénéficient de l'exception prévue à l'article 9.2.h (traitement nécessaire à des fins de médecine préventive ou de médecine du travail), mais cette exception n'exonère pas des autres obligations du RGPD.

En pratique, un EHPAD est responsable de traitement au sens du RGPD pour toutes les données de santé de ses résidents. À ce titre, il doit : tenir un registre des activités de traitement (article 30 RGPD), nommer un Délégué à la Protection des Données (DPO), obligatoire pour les établissements traitant des données de santé à grande échelle (guidelines CNIL, 2023), réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) pour les traitements présentant un risque élevé (article 35 RGPD), et encadrer contractuellement ses prestataires par des clauses de sous-traitance conformes (article 28 RGPD). Selon la CNIL, 62 % des établissements de santé et médico-sociaux contrôlés en 2023 présentaient des lacunes sur au moins un de ces points.

Un contrat avec un prestataire de logiciel de soins en EHPAD doit obligatoirement contenir, sous peine de non-conformité RGPD, un accord de sous-traitance (Data Processing Agreement, DPA) précisant : la liste et la finalité des traitements réalisés, les garanties de sécurité mises en œuvre (en lien avec la certification HDS), la localisation des données (en France ou dans l'EEE), les modalités de notification des violations de données, les conditions de suppression ou restitution des données en fin de contrat.

Au-delà du DPA, plusieurs clauses contractuelles doivent faire l'objet d'une attention particulière. La clause de localisation des données : les données de santé des résidents doivent être hébergées en France ou dans l'Union Européenne, tout transfert hors UE sans mécanisme de protection adéquat (clauses contractuelles types de la Commission européenne ou décision d'adéquation) est illégal. La clause de sous-traitance en cascade : si le prestataire fait appel à des sous-traitants (opérateurs cloud, mainteneurs), il doit les identifier et s'engager à leur imposer les mêmes obligations. La clause de droit d'audit : l'EHPAD doit pouvoir vérifier la conformité du prestataire, un prestataire qui refuse ce droit n'est pas en conformité avec l'article 28.3.h du RGPD.

Les sanctions pour non-conformité HDS et RGPD sont substantielles. Sur le plan RGPD, la CNIL peut infliger des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (le plus élevé étant retenu). Des sanctions significatives ont été prononcées dans le secteur de la santé : Dedalus Biologie a écopé d'une amende de 1,5 million d'euros en 2022 suite à une violation massive de données médicales. Pour un EHPAD, même une sanction symbolique de quelques dizaines de milliers d'euros peut être financièrement déstabilisante. Sur le plan HDS, l'utilisation d'un hébergeur non certifié constitue une infraction pénale pouvant être sanctionnée par 1 an d'emprisonnement et 15 000 € d'amende (article L. 1115-1 du Code de la santé publique).

Speakli est hébergé sur une infrastructure certifiée HDS (Parties 1 et 2), exploitée en France. L'ensemble des données de santé traitées restent sur le territoire français et ne font l'objet d'aucun transfert hors UE. Speakli met à disposition de chaque établissement partenaire un DPA conforme, un registre des traitements pré-rempli et une documentation AIPD. La liste des sous-traitants est disponible sur demande et fait l'objet d'une mise à jour trimestrielle. Ces éléments permettent à chaque directeur d'EHPAD de justifier sa conformité HDS/RGPD sans effort documentaire supplémentaire.

Code de la santé publique art. L. 1111-8, Obligation de certification HDS pour l'hébergement de données de santé

Arrêté du 26 avril 2024, Extension de la certification HDS aux prestataires établis dans l'EEE (légifrance.gouv.fr)

ANS, Liste des hébergeurs certifiés HDS, mise à jour en temps réel (esante.gouv.fr/hds)

Règlement UE 2016/679 (RGPD), Art. 9 (données sensibles), art. 28 (sous-traitance), art. 30 (registre), art. 35 (AIPD)

CNIL, Guidelines DPO pour les établissements de santé et médico-sociaux (2023) ; bilan des contrôles 2023 : 62 % de lacunes (cnil.fr)

CNIL, Délibération Dedalus Biologie 2022 : amende 1,5 M€ pour violation de données de santé (cnil.fr)

Code de la santé publique art. L. 1115-1, Sanctions pénales pour hébergement non certifié HDS