Par Haas Avocats
La réforme du référentiel de certification des hébergeurs de données de santé (HDS) datant de 2018[1], était annoncée de longue date, pour tenir compte des nouveaux enjeux et répondre aux points questionnements de l’écosystème des acteurs de santé.
C’est désormais chose faite avec la publication au Journal officiel, le 16 mai 2024, de l'arrêté[2] approuvant le nouveau référentiel de certification des hébergeurs de données de santé (HDS).
Nous vous proposons une FAQ pour décrypter les nouveautés et les enjeux de ce nouveau référentiel HDS.
A quelle date le nouveau référentiel entrera-t-il en application ?
Ce référentiel sera applicable à compter des dates suivantes :
- Les hébergeurs de données de santé déjà certifiés HDS devront obtenir la certification HDS conformément à ce nouveau référentiel HDS dans un délai de 24 mois, soit au plus tard le 16 mai 2026.
- Les nouveaux candidats à la certification HDS ont jusqu’au 16 novembre 2024 pour se mettre en conformité avec ce nouveau référentiel.
Quels sont les objectifs du nouveau référentiel de certification ?
Le référentiel de certification HDS établit les normes et exigences que doivent respecter les hébergeurs de données de santé pour obtenir la certification d’hébergeur de données de santé[3].
Il vise à garantir la sécurité de l’hébergement de données de santé et certifier que les hébergeurs de données de santé mettent en œuvre des mesures de sécurité des systèmes d’information conformes à l’état de l’art des normes internationales.
Cet encadrement a vocation à garantir la confiance dans les tiers auxquels les structures et les professionnels des secteurs sanitaire, social et médico-social confient les données de santé qu’ils produisent ou recueillent.
Quel est le champ d’application du référentiel HDS ?
Conformément aux articles L. 1111-8 et suivants du code de la santé publique Les conditions d’application du référentiel de certification sont les suivantes :
- Hébergeur: toute personne ou entité fournissant un service d'hébergement de données de santé et étant sous-traitant au sens de l’article 28 du RGPD ;
- Données: données à caractère personnel de santé, telles que définies à l’article 4.15 du RGPD ;
- Collecte: données recueillies lors de prévention, diagnostic, soins ou suivi social ou médico-social hébergées pour le compte du producteur des données ou du patient ;
- Activités : hébergement et sauvegarde des données de santé selon l’article R. 1111-9 du CSP.
Quelles sont les principales modifications apportées ?
Cette mise à jour consiste notamment à :
- Rendre plus lisible les garanties offertes par un hébergeur certifié sur les prestations qu’il réalise pour un client donné ;
- Clarifier les obligations contractuelles de l’hébergeur définies dans le code de la santé publique ;
- Renforcer la protection des données personnelles au regard des transferts de données hors de l’Union européenne. Cette étape initiale sera suivie d’exigences accrues en matière de souveraineté européenne d’ici 2027, en alignement avec les futurs référentiels européens (EUCS – European Cybersecurity Certification Scheme for Cloud services).
Le nouveau référentiel HDS introduit plusieurs changements significatifs. Parmi les points saillants :
- Renforcement progressif de la souveraineté des données et de la transparence. Tout d’abord, les données de santé doivent être hébergées exclusivement dans l’Espace Economique Européen – EEE - (UE, Norvège, Islande, Liechtenstein). Si l'hébergeur ou ses sous-traitants accèdent aux données depuis un pays tiers à l’UE ou s’ils sont soumis à une législation extra-européenne n’assurant pas un niveau de protection adéquat, ils doivent en informer leurs clients et leur préciser les risques et les mesures de protection pour les limiter. L’hébergeur doit également publier une cartographie des transferts des données qu’il héberge hors EEE.
- Clarification des activités d’hébergement notamment l’activité « 5 » concernant « l’administration et l’exploitation du système d’information contenant les données de santé », qui faisait l’objet d’interrogations en raison de son absence de définition précise. En effet, de nombreux acteurs (éditeur de logiciel, fabriquant, etc) se demandaient s’ils étaient soumis à cette certification. Cette activité est désormais définie dans le nouveau référentiel.
Il est désormais précisé que l’activité 5 consiste en la maitrise des interventions sur les ressources mises à la disposition du client de l’Hébergeur et comprend l’intégralité des activités annexes suivantes :
la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ;
la sécurisation de la procédure d’accès ;
la collecte et la conservation des traces des accès effectués et de leurs motifs ;
la validation préalable des interventions (plan d’intervention, processus d’intervention).
- Clarification de l’articulation avec la certification SecNumCloud : le nouveau référentiel précise l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
- Intégration de certaines évolutions de la norme ISO 27001: le référentiel intègre dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.
La mise en conformité avec le nouveau référentiel HDS n'est pas simplement une formalité administrative, mais une nécessité pour les hébergeurs de données de santé. Cette certification atteste de leur capacité à garantir la sécurité des données personnelles médicales conformément aux exigences légales et réglementaires en vigueur.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs de l’innovation dans la conformité juridique de leurs projets numériques en santé. Pour en savoir plus sur les activités de notre département E-santé et nous contacter cliquez ici.
[1] Décret n° 2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel
[2] Arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel
[3] L. 1111-8 du code de la santé publique