Détournement juridique du décret d’hébergement de données de santé

Le cas est le suivant : un petit établissement (Ehpad de moins de 5 millions d’euros de budget annuel d’exploitation) a conclu un contrat d’externalisation de son informatique auprès d’une société informatique (SSII). L’Ehpad n’utilise que quelques applications : Active Directory, un ERP intégré de gestion administrative et médicale des patients, une comptabilité, une paye, le tout tenant sans soucis sur un seul serveur correctement dimensionné. La SSII en question, dont je tairai le nom, s’occupe à la fois de l’hébergement technique de la machine et de son exploitation (supervision, sauvegardes, etc.).

Je m’étonne lorsque le directeur de l’Ehpad m’affirme que la SSII ne dispose pas de l’agrément hébergeur, mais que son directeur lui a affirmé que dans le cas de la relation contractuelle établie entre les parties, le mode d’externalisation de l’hébergement objet de la prestation échappe aux contraintes de l’agrément.

Petit rappel : l’agrément s’impose à toute entité juridique qui héberge techniquement des données de santé pour le compte de tiers. Si, par exemple, l’hôpital du coin déplace ses serveurs dans le datacenter d’Orange, ce dernier est tenu de disposer du fameux agrément sans quoi il se met hors la loi (Orange dispose de cet agrément). 

Dans le cas présent, le directeur de la SSII a été très malin : il n’a pas conclu un contrat d’hébergement de serveur avec l’Ehpad, mais un contrat de bail de location d’un local nu (en gros, des mètres carrés avec un toit, une prise électrique et une climatisation) au sein duquel l’Ehpad fait ce qu’il désire, y compris organiser des boums et des soirées dansantes si cela lui chante. Juridiquement parlant, le contrat de bail correspond à un transfert de propriété du local, et de fait la SSII n’héberge plus rien puisque l’espace en question ne lui appartient plus. Elle se contente simplement d’amener l’électricité (comme EDF chez moi) et une prise réseau (comme l’ADSL chez moi). Pour la partie exploitation, la SSII a signé un second contrat de maintien en condition opérationnelle concernant des serveurs qui pourraient par ailleurs se trouver n’importe où sur Terre, ce second contrat ne présuppose en rien un intermédiaire hébergeur. Avec un tel montage, la SSII échappe (selon son PDG) aux fourches caudines de l’agrément.

N’étant pas juriste, j’ai tout de même interrogé quelques spécialistes du domaine, et voilà ce qu’il en ressort : si le contrat n’avait pas été un contrat de bail mais une mise à disposition d’espace dans un datacenter (qui n’emporte pas sur la propriété même temporaire du local, qui reste alors celle de la SSII), la SSII aurait dans ce cas précis relevé du décret d’hébergement. Cela peut paraître étonnant, mais pas tant que cela en fait. Nombre d’hébergeurs agréés (souvent des éditeurs souhaitant proposer leurs solutions en mode SaaS) détiennent l’agrément mais ne possèdent aucun datacenter, se contentant de louer de l’espace dans un datacenter privé : si le cas décrit ci-dessus était illégal, quid alors de ces datacenters privés qui hébergent de facto de la donnée médicale pour le compte des éditeurs (et eux-mêmes pour le compte de leurs clients). Un gros hôpital pourrait par ailleurs aussi décider de louer des mètres carrés dans un datacenter privé afin de faire face à la pénurie de place dans son propre datacenter. On voit mal comment, dans cette hypothèse, le propriétaire dudit datacenter privé relèverait du décret.

Quant au second contrat de maintien en condition opérationnelle, tout le monde conviendra qu’il n’impacte en rien l’hébergeur (et donc les obligations du décret), car le serveur pourrait se trouver au sein de l’Ehpad lui-même comme chez un hébergeur agréé, ce qui ne changerait en rien les termes de ce second contrat.

Il semble donc que nous soyons en présence certes de ce qui peut paraître un détournement de l’esprit de la loi, mais qui ne semble pas illégal à proprement parler. N’ayant cependant réussi à obtenir aucune confirmation écrite de qui que ce soit (juriste ou pouvoirs publics), je suis preneur de toute analyse contradictoire de ce cas qui va sans nul doute se multiplier.