Tout prestataire proposant une solution hébergée par un tiers certifié HDS doit reprendre dans son contrat les clauses imposées d’un contrat HDS.
En hébergement B2B2C, les clauses réglementaires doivent figurer dans le contrat B2C
L’exigence, clairement mentionnée au II de l’article R1111-11 du Code de la Santé Publique, n’est malheureusement que très rarement satisfaite.
Parfois, un lien hypertexte est proposé. Ce qui ne semble pas réellement répondre au texte, faute de « reprise ».
Mais le plus souvent, c’est le silence absolu sur ce sujet
Récemment, une Cour d’Appel a été interrogée quant à savoir si les demandes tatillonnes d’une URPS en la matière pouvaient être considérées comme une forme de mauvaise foi dans les négociations précontractuelles.
La réponse des juges tient en un mot : aucunement.
La reprise de ces clauses HDS étant une obligation réglementaire et les besoins de sécurité spécifiques, pour des données de santé, justifiaient parfaitement la rigueur du prospect.
Peut-être faut-il même aller plus loin et rejeter tout contrat non conforme
Le RGPD imposant de ne recourir qu’à des prestataires présentant des garanties suffisantes pour assurer la sécurité et la conformité, un contrat ne respectant pas le formalisme de l’article R1111-11, II devrait être systématiquement rejeté.
Et s’il a – par hasard – été signé, mieux vaut corriger cette carence rapidement, au risque de voir un cas de nullité affecter tous les contrats basés sur ce modèle.
Restent des cas ignorés par le décret – et marquant le caractère un peu naïf du texte – à savoir celui d’une révision du contrat HDS, voire d’un changement d’hébergeur. Dans ces hypothèses, par sécurité, songez à aviser vos clients.
Avez-vous eu à gérer de telles situations? Comment gérez-vous la mise en conformité du contrat ? Partagez-vos RETEX en commentaires.
Des négociations délicates en cours ? Besoin de revoir votre contrat ? N’hésitez pas à me contacter.