I.-Après la sous-section 1 bis de la section 1 du chapitre Ier du titre Ier du livre Ier de la première partie du code de la santé publique, il est inséré une sous-section 1 ter ainsi rédigée :
« Sous-section 1 ter
« Dispositions générales relatives à l'hébergement de données de santé à caractère personnel
« Art. R. 1111-8-8.-I.-L'activité d'hébergement de données de santé à caractère personnel mentionnée au I de l'article L. 1111-8 consiste à héberger les données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social :
« 1° Pour le compte de personnes physiques ou morales, responsables de traitement au sens de la loi n° 78-17 du 6 janvier 1978, à l'origine de la production ou du recueil de ces données ;
« 2° Pour le compte du patient lui-même.
« Toutefois, ne constitue pas une activité d'hébergement au sens de l'article L. 1111-8, le fait de se voir confier des données pour une courte période par les personnes physiques ou morales, à l'origine de la production ou du recueil de ces données, pour effectuer un traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données.
« II.-Les responsables de traitement mentionnés au 1° du I, qui confient l'hébergement de données de santé à caractère personnel à un tiers, s'assurent que celui-ci est titulaire du certificat de conformité mentionné au II de l'article L. 1111-8. »
II.-La sous-section 2 de la section 1 du chapitre Ier du titre Ier du livre Ier de la première partie du code de la santé publique est remplacée par les dispositions suivantes :
« Sous-section 2
« Hébergement des données de santé à caractère personnel sur support numérique soumis à certification
« Art. R. 1111-9.-Est considérée comme une activité d'hébergement de données de santé à caractère personnel sur support numérique au sens du II de l'article L. 1111-8, le fait d'assurer pour le compte du responsable de traitement mentionné au 1° du I de l'article R. 1111-8-8 ou du patient mentionné au 2° du I de ce même article, tout ou partie des activités suivantes :
« 1° La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé ;
« 2° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé ;
« 3° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé ;
« 4° La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information ;
« 5° L'administration et l'exploitation du système d'information contenant les données de santé ;
« 6° La sauvegarde des données de santé.
« Art. R. 1111-10.-I.-Le certificat de conformité mentionné au II de l'article L. 1111-8 est délivré par un organisme de certification sur le fondement d'un référentiel de certification élaboré par le groupement d'intérêt public mentionné à l'article L. 1111-24 et approuvé par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l'informatique et des libertés.
« II.-L'organisme de certification mentionné au II de l'article L. 1111-8 est accrédité par le Comité français d'accréditation ou par tout autre organisme d'accréditation signataire d'un accord de reconnaissance mutuelle multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation conformément à un référentiel d'accréditation élaboré par le groupement d'intérêt public mentionné à l'article L. 1111-24 en lien avec les organismes d'accréditation concernés et approuvé par arrêté du ministre chargé de la santé.
« III.-Le groupement d'intérêt public mentionné à l'article L. 1111-24 assure le suivi et la mise à jour de ces référentiels.
« Art. R. 1111-11.-I.-Le contrat d'hébergement mentionné au dernier alinéa du I de l'article L. 1111-8 est conclu entre l'hébergeur et son client. Il contient au moins les clauses suivantes :
« 1° L'indication du périmètre du certificat de conformité obtenu par l'hébergeur, ainsi que ses dates de délivrance et de renouvellement ;
« 2° La description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l'intégrité, la confidentialité et l'auditabilité des données hébergées ;
« 3° L'indication des lieux d'hébergement ;
« 4° Les mesures mises en œuvre pour garantir le respect des droits des personnes concernées par les données de santé dont notamment :
«-les modalités d'exercice des droits de portabilité des données ;
«-les modalités de signalement au responsable de traitement de la violation des données à caractère personnel ;
«-les modalités de conduite des audits par le délégué à la protection des données ;
« 5° La mention du référent contractuel du client de l'hébergeur à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
« 6° La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l'existence ou l'absence de pénalités applicables au non-respect de ceux-ci ;
« 7° Une information sur les conditions de recours à d'éventuels prestataires techniques externes et les engagements de l'hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l'hébergeur ;
« 8° Les modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées ;
« 9° Les obligations de l'hébergeur à l'égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d'évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;
« 10° Une information sur les garanties et les procédures mises en place par l'hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
« 11° La mention de l'interdiction pour l'hébergeur d'utiliser les données de santé hébergées à d'autres fins que l'exécution de l'activité d'hébergement de données de santé ;
« 12° Une présentation des prestations à la fin de l'hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d'hébergement de données de santé ;
« 13° L'engagement de l'hébergeur de restituer, à la fin de la prestation, la totalité des données de santé au responsable de traitement ;
« 14° L'engagement de l'hébergeur de détruire, à la fin de la prestation, les données de santé après l'accord formel du responsable de traitement et sans en garder de copie.
« II.-Lorsque le responsable de traitement de données de santé ou le patient mentionnés au I de l'article R. 1111-8-8 fait appel à un prestataire qui recourt lui-même pour l'hébergement des données à un hébergeur certifié, le contrat qui lie le responsable de traitement ou le patient avec son prestataire reprend les clauses mentionnées au I telles qu'elles figurent dans le contrat liant le prestataire et l'hébergeur certifié. »