Call Us + 33 1 84 88 31 00

Home | French Legislation Articles | French Public Health Code | Regulatory part | Part One: General health protection | Book I: Health protection for individuals | Title I: Rights of patients and users of the healthcare system | Chapter I: Information for users of the healthcare system and expression of their wishes | Section 1: General principles | Subsection 2: Hosting of personal health data on digital media subject to certification | Article R1111-11 of the French Public Health Code

French Public Health Code
- Regulatory part
  - Part One: General health protection
    - Book I: Health protection for individuals
      - Title I: Rights of patients and users of the healthcare system
        Chapter I: Information for users of the healthcare system and expression of their wishes
        Section 1: General principles
        Subsection 2: Hosting of personal health data on digital media subject to certification

Article R1111-11 of the French Public Health Code

November 6, 2023
7:35 am

I.-The hosting contract referred to in the last paragraph of I of Article L. 1111-8 is concluded between the hosting provider and its customer. It contains at least the following clauses:

1° An indication of the scope of the certificate of compliance obtained by the hosting provider, together with the dates of issue and renewal;

2° A description of the services provided, including the content of the services and the results expected, in particular for the purposes of guaranteeing the availability, integrity, confidentiality and auditability of the data hosted;

3° An indication of the hosting locations;

4° The measures implemented to guarantee respect for the rights of the persons concerned by the health data, including in particular:

the procedures for exercising data portability rights;

– the procedures for notifying the data controller of personal data breaches;

-the procedures for conducting audits by the Data Protection Officer;

5° A reference to the contractual contact person for the hosting provider’s customer, to be contacted for the handling of incidents having an impact on the health data hosted;

6° A reference to the quality and performance indicators used to verify the level of service advertised, the guaranteed level, the frequency of their measurement, and the existence or absence of penalties applicable to non-compliance with these indicators;

7° Information on the conditions governing the use of any external technical service providers and the host’s undertakings to ensure that such use provides an equivalent level of protection and guarantees with regard to the obligations incumbent on the host;

8° The procedures adopted to control access to hosted personal health data;

9° The host’s obligations towards the natural or legal person on whose behalf it hosts the personal health data in the event of modifications or technical developments introduced by the host or imposed by the applicable legal framework;

10° Information on the guarantees and procedures put in place by the hosting provider to cover any failure on its part;

11° A statement that the hosting provider is prohibited from using the health data hosted for any purpose other than the performance of the health data hosting activity;

12° A presentation of the services provided at the end of the hosting period, particularly in the event of loss or withdrawal of certification, and the procedures for implementing the reversibility of the health data hosting service;

13° An undertaking by the host to return all the health data to the data controller at the end of the service;

14° An undertaking by the host to destroy the health data at the end of the service with the formal agreement of the data controller and without keeping any copies.

II – When the data controller or patient referred to in I of Article R. 1111-8-8 uses a service provider which itself uses a certified host to host the data, the contract between the data controller or patient and his service provider shall include the clauses referred to in I as they appear in the contract between the service provider and the certified host.

Original in French 🇫🇷

Article R1111-11

I.-Le contrat d’hébergement mentionné au dernier alinéa du I de l’article L. 1111-8 est conclu entre l’hébergeur et son client. Il contient au moins les clauses suivantes :

1° L’indication du périmètre du certificat de conformité obtenu par l’hébergeur, ainsi que ses dates de délivrance et de renouvellement ;

2° La description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données hébergées ;

3° L’indication des lieux d’hébergement ;

4° Les mesures mises en œuvre pour garantir le respect des droits des personnes concernées par les données de santé dont notamment :

-les modalités d’exercice des droits de portabilité des données ;

-les modalités de signalement au responsable de traitement de la violation des données à caractère personnel ;

-les modalités de conduite des audits par le délégué à la protection des données ;

5° La mention du référent contractuel du client de l’hébergeur à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées ;

6° La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l’existence ou l’absence de pénalités applicables au non-respect de ceux-ci ;

7° Une information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l’hébergeur ;

8° Les modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées ;

9° Les obligations de l’hébergeur à l’égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;

10° Une information sur les garanties et les procédures mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;

11° La mention de l’interdiction pour l’hébergeur d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;

12° Une présentation des prestations à la fin de l’hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d’hébergement de données de santé ;

13° L’engagement de l’hébergeur de restituer, à la fin de la prestation, la totalité des données de santé au responsable de traitement ;

14° L’engagement de l’hébergeur de détruire, à la fin de la prestation, les données de santé après l’accord formel du responsable de traitement et sans en garder de copie.

II.-Lorsque le responsable de traitement de données de santé ou le patient mentionnés au I de l’article R. 1111-8-8 fait appel à un prestataire qui recourt lui-même pour l’hébergement des données à un hébergeur certifié, le contrat qui lie le responsable de traitement ou le patient avec son prestataire reprend les clauses mentionnées au I telles qu’elles figurent dans le contrat liant le prestataire et l’hébergeur certifié.

Need help with this article? Get help from a French lawyer

Our French business lawyers are here to help.
We offer a FREE evaluation of your case.
Call us at +33 (0) 1 84 88 31 00 or send us an email.

Call Us + 33 1 84 88 31 00

Call Us + 33 1 84 88 31 00

Article R1111-11 of the French Public Health Code