HDS Addendum FR

Version Novembre 2025

 Conditions spécifiques applicables à l’« hébergement de données de santé »

 Définitions
Les termes en majuscule auront les significations définies ci-dessous et, à défaut, les significations qui leur sont attribuées dans le Contrat.

ANS : Agence du Numérique en Santé.

Données de santé : Données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, révélant des informations sur son état de santé.

Certificat HDS : Certificat de conformité au référentiel de certification « Hébergeur de Données de Santé (HDS) – Exigences – v2.0 » élaboré par l’ANS et publié le 16 mai 2024, ou à la version précédente dudit référentiel de certification (V1.1 final – mai 2018).

« Politique générale de sécurité des systèmes d’information de santé » ou « PGSSI-S » : Corpus Documentaire comprenant des référentiels et des guides élaborés par l’ANS en application de l’article 1470-5 du Code de la santé publique, visant à garantir la sécurité et la confidentialité des données personnelles de santé.

« Service d’Hébergement de Données de Santé » ou « Services HDS » : Services proposés par JOTELULU permettant au Client d’héberger des données de santé en toute conformité.

Objet

Les présentes conditions spécifiques définissent les dispositions particulières applicables aux Services fournis par JOTELULU lorsque ceux-ci sont utilisés par le Client pour l’hébergement de Données de Santé. Ces conditions spécifiques font partie intégrante du Contrat en vigueur entre JOTELULU et le Client. Elles complètent les autres documents constituant ledit Contrat, lesquels demeurent pleinement applicables aux Services HDS. Toutefois, en cas de conflit, les présentes conditions prévaudront.

Services éligibles à l’hébergement de données de santé

Seuls les Services suivants fournis par JOTELULU sont éligibles à l’Hébergement de Données de Santé (les « Services HDS ») :

  • Serveurs
  • Stockage objet
  • Stockage cloud (en line, Stockage d’objects)
  • Bureau à distance

Le Client ne doit utiliser aucun autre Service proposé par JOTELULU pour héberger des données de santé.

 Certification HDS

3.1 Certificats HDS de JOTELULU

Conformément à l’article L1111-8 du Code de la santé publique, JOTELULU détient, pour l’ensemble des Services HDS faisant l’objet des présentes conditions spécifiques, un Certificat de Conformité au « Référentiel de Certification Hébergement de Données de Santé (HDS) – Exigences – V2.0 » élaboré par l’ANS et publié le 16 mai 2024.

Ce Certificat HDS a été délivré le 12 février 2025 par un organisme de certification accrédité conformément aux lignes directrices d’accréditation établies par l’ANS, et devra être renouvelé avant le 11 février 2028.

Le Certificat HDS mentionné ci-dessus couvre le périmètre suivant :

(a) Le périmètre couvert par ce certificat inclut les Services HDS hébergés en France et en Espagne, ainsi que les activités définies à l’article R1111-9 du Code de la santé publique, à savoir :

  1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
  2. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  3. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
  4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;

(b) Uniquement pour les Services HDS « Serveur », « Bureau à distance » et « Stockage cloud », l’activité suivante, couverte par le même article du Code de la santé publique:

  1. La sauvegarde des données de santé.

3.2 Certificat HDS du prestataire d’hébergement

Dans le cadre de la fourniture des Services, JOTELULU fait appel à un prestataire tiers chargé de la fourniture et du maintien en condition opérationnelle des sites physiques où sont hébergés les Services HDS de JOTELULU (le « Prestataire d’Hébergement »).

Le Prestataire d’Hébergement détient un Certificat HDS de conformité au « Référentiel de Certification Hébergement de Données de Santé (HDS) – Exigences et Contrôles » (Version 1.1 finale – Mai 2018) élaboré par l’ANS.

Le périmètre de ce Certificat HDS couvre exclusivement les services d’hébergement fournis en France, et comprend l’activité suivante, définie à l’article R1111-9 du Code de la santé publique :

  1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.

 Ce Certificat HDS a été délivré le 22 juin 2023 par un organisme de certification accrédité conformément aux lignes directrices d’accréditation établies par l’ANS, et devra être renouvelé avant le 23 juin 2026. En outre, avant le 16 mai 2026, le Prestataire d’Hébergement est tenu d’effectuer un audit de transition afin de vérifier que les exigences de la nouvelle version du « Référentiel de Certification Hébergement de Données de Santé (HDS) – Exigences » (Version 2.0), publiée le 16 mai 2024, ont été correctement mises en œuvre.

3.3 Activités hors du périmètre de la certification HDS

Les activités suivantes, définies à l’article R1111-9 du Code de la santé publique, ne font pas partie des Services HDS et sont donc exclues du périmètre de la certification HDS de JOTELULU:

  1. L’administration et l’exploitation du système d’information contenant les données de santé

3.4 Disponibilité des certificats HDS

Les certificats HDS mentionnés ci-dessus sont mis à la disposition du Client via son interface de gestion.

3.5 Perte de certification

JOTELULU s’engage à informer le Client dans les meilleurs délais si :

(a) Les certificats HDS de JOTELULU et du Prestataire d’Hébergement ne sont pas renouvelés avant les dates limites mentionnées ci-dessus, et/ou

(b) L’audit de transition du Prestataire d’Hébergement vers la nouvelle version du Référentiel de Certification Hébergement de Données de Santé (HDS) – Exigences (V2.0), publiée le 16 mai 2024, n’a pas été réalisé avec succès avant le 16 mai 2026.

Si JOTELULU ne remédie pas à cette perte de certification dans un délai de 60 jours à compter des échéances susmentionnées, le Client pourra être en droit de résilier ses Services HDS..

Exécution des Services HDS

4.1 Localisation de l’hébergement

L’emplacement d’hébergement des Services HDS est communiqué au Client via le Portail et sur le site internet de JOTELULU.

Lorsque plusieurs emplacements d’hébergement sont disponibles, le Client sélectionne celui ou ceux de son choix lors de la configuration initiale du Service concerné.

4.2 Objectifs de niveau de service

Dans le cadre des Services HDS, JOTELULU s’engage à respecter les objectifs de niveau de service définis dans la section « Service Level Agreement » des Conditions Générales de Service, notamment :

(i) L’objectif de « pourcentage de disponibilité mensuel du Service » ; et

Si ces objectifs de niveau de service ne sont pas atteints, le Client pourra bénéficier de crédits financiers, dans les conditions prévues dans la section précitée « Service Level Agreement ».

4.3 Planification de capacité

JOTELULU assure, par le biais d’un suivi et de revues périodiques, que la capacité et le dimensionnement des infrastructures utilisées pour fournir les Services HDS sont adaptés aux exigences du Service Level Agreement.

Cependant, en ce qui concerne les ressources mutualisées entre plusieurs clients, JOTELULU s’engage à faire ses meilleurs efforts pour répondre aux besoins en capacité de ses clients, mais ne peut garantir un volume de ressources disponible à tout moment.

Afin d’assurer la continuité de ses activités, et en particulier la disponibilité du système d’information utilisé pour traiter les données de santé, le Client doit anticiper ses besoins et contacter le support client de JOTELULU afin de confirmer la disponibilité des ressources nécessaires, notamment en cas d’augmentation significative des besoins en capacité.

4.4 Traitement des données de santé

JOTELULU s’engage à traiter les données de santé hébergées par le Client dans le cadre des Services HDS uniquement aux fins d’exécution desdits Services, conformément à l’Accord de Traitement des Données et aux instructions documentées du Client telles que définies dans le Contrat.

Dans ce cadre, le traitement des données de santé que JOTELULU peut réaliser dans le cadre des Services HDS est limité au stockage, au calcul et, en cas de résiliation des Services, à l’effacement et/ou à la destruction. Les opérations de traitement spécifiques à chaque Service HDS sont détaillées dans les Conditions Spécifiques de Service applicables.

Sous réserve des dispositions de l’article 4.7 ci-dessous, JOTELULU n’est pas autorisé à accéder aux données de santé couvertes par les présentes Conditions Spécifiques.

4.5 Sécurité et continuité des Services HDS

Afin de sécuriser et d’assurer la continuité des Services HDS, notamment en cas de défaillance de sa part, JOTELULU a mis en place, et s’engage à maintenir pendant toute la durée des Services HDS, des mesures techniques et organisationnelles appropriées. Ces mesures sont définies dans l’« Accord de Traitement des Données » et l’annexe « Sécurité des Services JOTELULU ».

Le document « Sécurité des Services JOTELULU » ainsi que les Conditions Spécifiques de Service applicables précisent la répartition des rôles et responsabilités entre le Client et JOTELULU en matière de sécurité et de continuité des Services.

JOTELULU notifie au Client toute violation de données de santé conformément aux conditions définies dans la section « Violation de données personnelles » de l’« Accord de Traitement des Données ».

4.6 Demandes des personnes concernées

Le Prestataire de Services met à disposition les procédures et moyens définis dans l’« Accord de Traitement des Données », permettant au Client de répondre, conformément au Chapitre 3 du RGPD et aux articles L1110-4 et L1111-7 du Code de la santé publique, aux demandes d’exercice des droits des personnes concernées définis par les articles 15 à 22 du RGPD.

L’efficacité de ces moyens et procédures fait l’objet d’audits périodiques.

4.7 Demandes des autorités

En cas de demandes émanant d’autorités, notamment judiciaires ou administratives, visant à accéder ou à obtenir la communication des données de santé couvertes par les présentes Conditions Spécifiques, JOTELULU s’engage à appliquer la procédure définie dans l’article « Gestion des demandes des tiers » de l’« Accord de Traitement des Données ».

4.8 Sous-traitance

La liste des sous-traitants de JOTELULU est annexée à l’« Accord de Traitement des Données ».

Lorsque JOTELULU fait appel à des sous-traitants pour l’exécution des Services HDS, il s’engage à respecter les conditions définies dans l’article « Sous-traitance » dudit « Accord de Traitement des Données ».

Les Prestataires d’Hébergement, constitués respectivement en vertu des lois de France et d’Espagne, et donc principalement soumis aux juridictions française et espagnole, appartiennent à une entreprise basée aux États-Unis, susceptible d’être assujettie à certaines réglementations non européennes, notamment le U.S. Cloud Act et le Foreign Intelligence Surveillance Act (FISA). Toutefois, dans la mesure où les Prestataires d’Hébergement ne disposent d’aucune capacité technique pour accéder aux données de santé, en particulier parce que : (i) Ils n’ont aucun accès logique au système d’information, et (ii) JOTELULU applique un chiffrement totalement contrôlé sur l’ensemble des disques utilisés dans le cadre des Services HDS, aucun risque d’accès non autorisé aux données de santé induit par les réglementations américaines n’existe.

4.9 Modifications des conditions de Service

JOTELULU s’engage à informer le Client de toute modification ou évolution technique affectant les conditions d’utilisation des Services HDS, que ces modifications ou évolutions soient introduites par JOTELULU ou imposées par le cadre juridique applicable.

Cette information est fournie avec un préavis minimum de trente (30) jours calendaires, sauf en cas d’urgence, notamment en cas de modifications nécessaires à la sécurité des données hébergées dans le cadre du Service HDS, ou si ces modifications sont requises par la réglementation en vigueur.

Si une modification ou un changement ne respecte pas les indicateurs de qualité et de performance définis dans le Contrat, ou les mesures techniques et organisationnelles visant à assurer : (a) la continuité des Services en cas de défaillance de JOTELULU, et (b) la protection des Données de Santé du Client, JOTELULU s’engage à ne pas mettre en œuvre ces modifications sans accord préalable du Client.

4.10 Audit

Le Client peut, dans les conditions définies dans l’article « Audit » de l’« Accord de Traitement des Données », réaliser un audit des Services HDS.

Pour les certifications HDS mentionnées à l’article 3, le Client peut consulter, sur demande auprès du Support Client de JOTELULU, le dernier rapport d’audit de certification. Ce rapport est consultable sur site dans les locaux de JOTELULU.

Le Client peut consulter, directement via son interface de gestion ou sur demande auprès du Support Client de JOTELULU, les traces d’accès effectuées par les membres de son personnel aux ressources mises à sa disposition dans le cadre des Services HDS, sur lesquelles des données de santé sont hébergées.

Utilisation des Services HDS

5.1 Certification

Le Client s’assure que lui-même et tout tiers participant pour son compte aux activités liées à l’hébergement des données de santé pour lesquelles il utilise les Services HDS de JOTELULU, détiennent un Certificat HDS de Conformité conformément à l’article L1111-8 du Code de la santé publique, couvrant toutes les activités dont ils sont respectivement responsables, telles que décrites à l’article R1111-9 du Code de la santé publique.

5.2 Tiers concernés

Si le Client agit pour le compte d’un ou plusieurs responsables de traitement ou pour des patients, il doit s’assurer que le contrat en vigueur entre lui et : (a) la personne concernée par les données de santé, et/ou (b) le responsable de traitement des données de santé, s’il agit en son nom, inclut les dispositions obligatoires des présentes Conditions Spécifiques, conformément à l’article R1111-11 du Code de la santé publique.

5.3 Portabilité des données de santé

Avant la date effective de résiliation du Service, le Client doit :(i) Récupérer les Données de Santé stockées dans le Service, conformément aux conditions de l’article « Portabilité des Données » de l’Accord de Traitement des Données, si nécessaire avec l’assistance de JOTELULU, et (ii) Supprimer toute donnée stockée dans le Service, conformément aux obligations de la législation applicable.

5.4 Droit applicable

Le Client s’engage à respecter la législation applicable à l’hébergement des Données de Santé. Si le droit français s’applique, le Client doit notamment se conformer :(i) aux dispositions du Code de la santé publique relatives à l’hébergement des Données de Santé personnelles, et(ii) aux référentiels et guides applicables de la PGSSI-S.

Référent contractuel

Pour toute question relative au traitement et à la sécurité des données de santé couvertes par les présentes Conditions Spécifiques, chaque partie désigne un référent contractuel HDS comme suit :

  • Contact contractuel HDS de JOTELULU :

dpd@jotelulu.com

  • Contact contractuel du Client :

Contact sécurité dont l’identité et les coordonnées (email et numéro de téléphone) sont enregistrées par le Client dans son compte client.

Le référent contractuel du Client peut être contacté par JOTELULU, notamment pour la gestion des incidents ayant un impact sur les données de santé hébergées dans le cadre des Services HDS, et doit, si nécessaire, désigner un professionnel de santé auprès du Prestataire de Services.