L’hébergement ou le traitement d’une base de données de santé à caractère personnel sans agrément HDS selon le référentiel HAS (prévu par l’article L. 1111-8) est puni par la loi de trois ans d’emprisonnement et de 45 000 euros d’amende (article L1115-1 du Code de la Santé Publique).
Les solutions de cloud publiques telles que Dropbox, Google Drive, ou iCloud ne sont à ce jour pas agréées HDS et ne sont donc pas conformes pour l’hébergement de données de santé en France.
Par ailleurs, la CNIL est habilitée à se saisir, enquêter, et exiger la suspension des traitements fautifs.