Les prestataires d’hébergement de données
de santé sont-ils plus responsables que les autres ?
Nathalie
Beslay
Avocat au barreau
de Paris
ALAIN BENSOUSSAN-AVOCATS
20 septembre
2001
Le caractère sensible des
données de santé implique de la part de tous les acteurs
de la "chaîne de traitement" de ce type de données,
une vigilance accrue tant en terme de sécurité physique
et logique, que de sécurité juridique.
Les hébergeurs
qui constituent en quelque sorte les "gardiens" des données
collectées, traitées et dans certains cas diffusées,
apparaissent comme le maillon fort de cette chaîne. En contre-partie
de ce rôle majeur, les hébergeurs de données
de santé assument une responsabilité particulière.
Les obligations génériques des prestataires d’hébergement
La loi du 1er août
2000 a précisé le régime juridique de la responsabilité
des prestataires d’hébergement de sites accessibles sur internet.
En effet, l’article 43-8 précise : "Les personnes
physiques ou morales qui assurent, à titre gratuit ou onéreux,
le stockage direct et permanent pour mise à disposition du
public de signaux, d’écrits, d’images, de sons ou de messages
de toute nature accessibles par ces services, ne sont pénalement
ou civilement responsables du fait du contenu de ces services que
si, ayant été saisies par une autorité judiciaire,
elles n’ont pas agi promptement pour empêcher l’accès
à ce contenu."
Les prestataires d’hébergement
bénéficient donc désormais, en quelque sorte,
d’une exclusion de responsabilité, à condition d’avoir
respecté les conditions fixées par la loi :
1 - Détention et conservation
par le prestataire d’hébergement des données
de nature à permettre l’identification de toute personne
ayant contribué à la création d’un contenu
des services dont elles sont prestataires. Il s’agit de permettre
d’identifier systématiquement les auteurs de contenus et
d’éviter en conséquence, que la responsabilité
de l’hébergeur ne soit engagée au titre du caractère
illicite du contenu ainsi mis en ligne et hébergé.
Les autorités judiciaires
pourront ainsi "requérir communication auprès
des prestataires" hébergeurs les données ainsi
conservées.
2. Fourniture aux éditeurs
des sites qu’ils hébergent des "moyens techniques"
leur permettant de "satisfaire aux conditions d’identification".
Ces conditions d’identification
correspondent en effet à l’obligation imposée à
tout éditeur de site de tenir à disposition du public
un ensemble d’informations (nom, prénom et adresse pour
une personne physique ; dénomination et siège
social pour une personne morale ; nom du directeur de la
publication ; dénomination sociale et adresse de l’hébergeur).
Très concrètement,
l’hébergeur devra mettre à la disposition de l’éditeur
du site, un encart spécifique, accessible à partir
du site de l’éditeur, ayant vocation à constituer
une notice légale.
Enfin, rappelons que la Commission
Nationale de l’Informatique et des Libertés (CNIL) a édité
un formulaire spécifique de déclaration des sites
webs, lequel contient un encart réservé à l’identification
du prestataire d’hébergement.
Ainsi toute personne éditrice
d’un site web, y compris d’un site de santé, devra au sein
de la déclaration effectuée à la CNIL concernant
ce site de santé, identifier le prestataire d’hébergement.
La CNIL propose par ailleurs des exemples de clauses devant être
inclues au sein des contrats d’hébergement conclu entre les
éditeurs de sites et leurs hébergeurs, et ce afin
d’engager lesdits hébergeurs au respect de mesures de sécurité.
Dans ce contexte, les prestataires
d’hébergement assistent généralement leurs
clients, éditeurs de sites, dans la rédaction des
annexes techniques assortissant la déclaration en vue de
communiquer à la CNIL conformément aux exigences légales,
les mesures de sécurité engagées au titre de
la conservation des données constitutives des fichiers concernés.
Suite
et fin
20
septembre 2001
|
|
|