Suite à une démarche de révision lancée en 2022 par la Délégation du Numérique en Santé et l’Agence du Numérique en Santé, un nouveau référentiel de certification Hébergeurs de Données de Santé (HDS) a été adopté et publié au Journal Officiel.
La certification des hébergeurs de données de santé permet de garantir la sécurité de l’hébergement des données de santé. En vigueur depuis novembre 2017, c’est un des premiers piliers de la régulation du numérique en santé en France. Tout l’enjeu est de certifier que les hébergeurs de données de santé mettent en œuvre des systèmes de gestion de la sécurité des systèmes d’information à l’état de l’art des normes internationales. C’est un acquis majeur pour la confiance des patients et des professionnels.
A ce jour, 302 acteurs ont été certifiés. Neuf organismes sont accrédités par le comité français d’accréditation (COFRAC) pour procéder à ces certifications.
Pour répondre aux différents retours des acteurs du secteur, une révision du référentiel HDS a été initiée en 2022 par la Délégation du Numérique en Santé et l’Agence du Numérique en Santé. Cette révision a été lancée en association avec la Commission nationale de l’informatique et des libertés (CNIL), le Haut fonctionnaire de Défense et de Sécurité du ministère de la Santé (HFDS), ainsi que les fédérations d’industriels de l’écosystème et les organismes certificateurs.
Suite à une concertation publique, l’ANS a reçu plus de 250 contributions qui ont été analysées et traitées début 2023. A l’issue de plusieurs échanges avec la CNIL, celle-ci a rendu un avis favorable au projet de référentiel de certification révisé le 13 juillet 2023.
Le travail autour du référentiel s’est notamment nourri des différents débats qui ont eu lieu dans le cadre du projet de loi visant à sécuriser et à réguler l’espace numérique. La récente adoption de l’article 32 du projet de loi visant à sécuriser et à réguler l’espace numérique (SREN), qui modifie les dispositions relatives à l’hébergement des données de santé, conforte les orientations du référentiel en leur donnant une accroche législative.
En tenant compte des contributions des acteurs, cette nouvelle version du référentiel de certification HDS permet de :
- Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
- Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
- Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
- Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.
Cette version révisée du référentiel HDS prévoit quatre exigences nouvelles relatives à la souveraineté des données.
L’hébergement physique des données de santé doit être réalisé exclusivement sur le territoire d’un pays situé au sein de l’Espace Economique Européen – EEE – (Union Européenne – UE avec la Norvège, l’Islande et le Liechtenstein), ce qui n’était pas une exigence requise jusqu’alors dans HDS. Sans être suffisante pour garantir totalement l’immunité extra-territoriale, cette exigence de localisation apporte néanmoins des garanties importantes en termes de protection des données. Elle permet de renforcer la confiance des patients et professionnels dans le numérique en santé et contribue à l’émergence d’un écosystème d’acteurs européens.
En cas d’accès distant aux données depuis un pays tiers à l’UE, par l’hébergeur ou l’un de ses sous-traitants, ou en cas de soumission de ces derniers à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD, alors l’hébergeur doit en informer ses clients dans le contrat et lui préciser les risques associés, ainsi que les mesures techniques et juridiques mises en œuvre pour les limiter. Cette transparence est essentielle dans la relation qui lie l’hébergeur au client, responsable du traitement des données.
L’obligation pour l’hébergeur de rendre public, sur son site internet, une cartographie des éventuels transferts des données qu’il héberge vers un pays n’appartenant pas à l’EEE. Cette transparence est essentielle pour les citoyens, les acteurs de santé et l’ensemble de la société civile.
A noter que les organismes certificateurs ont ainsi un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.
Source : Ministère chargé de la santé et de la prévention