Le 2 novembre dernier, l’Agence numérique en santé a publié un nouveau projet de référentiel de certification HDS. Certaines nouvelles exigences proposées ne seront pas sans incidence sur l’activité d’hébergement de données de santé.
Pour mémoire, l’hébergement de données de santé est encadré par le Code de la santé publique. Il ressort notamment de l’article L.1111-8 dudit code que toute personne physique ou morale à l’origine de la production ou du recueil de données de santé à caractère personnel à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social doit recourir à un hébergeur certifié ou agréé lorsqu’elle externalise la conservation de données dont elle est responsable.
La procédure de certification repose sur une évaluation de conformité à un référentiel de certification dont la dernière version a été approuvée par arrêté du 11 juin 2018. Ce référentiel définit les exigences applicables à la certification « HDS » incluant le respect d’un certain nombre de règles et de normes, dont des normes ISO. Concrètement l’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen), lequel procédera à un audit de conformité au référentiel. Le certificat est délivré pour une durée de 3 ans, étant précisé qu’un audit de surveillance annuel est effectué.
Ce référentiel vient d’être révisé par l’Agence numérique en santé sous l’égide de la Délégation ministérielle du numérique en santé. Un nouveau projet a ainsi été publié le 2 novembre dernier. Il est soumis à consultation publique jusqu’au 9 décembre prochain.
L’objectif de cette révision est triple : (i) améliorer la lisibilité des garanties apportées par un hébergeur certifié sur les prestations réalisées pour un client donné ; (ii) clarifier les obligations contractuelles d’un prestataire faisant appel aux services d’un hébergeur certifié ; (iii) renforcer les exigences de protection des données personnelles au regard des transferts hors UE.
Ce projet de référentiel contient, par conséquent, un certain nombre de modifications et de précisions par rapport au référentiel actuel. Parmi les nouveautés apportées, deux points méritent une attention particulière.
Le 1er point concerne l’activité dite « d’administration et d’exploitation d’applications du système d’information contenant des données de santé », une des 5 activités d’hébergement concernées par la certification qui n’est pas sans poser de difficultés d’appréciation. Le projet de référentiel en propose une définition délicate à appréhender qui exclut notamment certains pans de l’activité de la nécessité d’une certification HDS :
« [Cette activité] comporte :
- L’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation, par exemple à des fins d’audit, d’expertise, de déploiement ou de maintenance, amenés à accéder via le Socle d’Infrastructure HDS à l’Application métier. Les accès des Utilisateurs finaux et du responsable de traitement ne sont pas concernés. Ces tiers mandatés ne sont pas tenus d’être certifiés HDS.
- Le maintien en condition de sécurité du Socle d’Infrastructure HDS et le centre de support au client. Ces services doivent être adaptés à la criticité des données de santé et aux obligations qui incombent au Responsable de traitement.
- La documentation tenue à jour de la cohérence et de la complétude des garanties de sécurité apportées par les différents acteurs contribuant à la mise en œuvre du service, telle que décrite au chapitre 7 du référentiel de certification. ».
Avec la définition proposée, des éditeurs de solution SAAS traitant des données de santé à caractère personnel, notamment, n’auraient plus besoin d’être certifiés HDS.
Le second point concerne les clauses qui doivent figurer dans le contrat d’hébergement. D’une part, le projet de référentiel reprend les exigences imposées par le Code de la santé publique qui n’étaient pas exactement reprises dans le référentiel en vigueur. Le respect de ces exigences constituera alors un point de contrôle de l’organisme certificateur. D’autre part et surtout, les lieux d’hébergement proposés au client par l’hébergeur doivent être localisés dans des pays membres de l’Espace Economique Européen, ou des pays assurant un niveau de protection adéquat en vertu d’une décision d’adéquation, à l’exclusion des autres garanties (clauses contractuelles types ou BCR).
A noter que s’il reste possible de faire intervenir un opérateur soumis au Cloud Act, dans la mesure où le projet de référentiel exige seulement que l’hébergeur procède à une analyse de risques de divulgation ou d’indisponibilité des données du fait d’une réglementation extraterritoriale, ce point va certainement évoluer au regard des travaux, notamment européens, sur la protection des données vis-à-vis de telles lois.
En termes de calendrier, ce nouveau référentiel pourrait être adopté au printemps 2023 avec des premières certifications en octobre 2023. Selon l’Agence numérique en santé, un guide de transition clarifiant les délais de mise en conformité sera élaboré, en partenariat avec le COFRAC, d’ici quelques mois.
A suivre…
Lien vers le projet de référentiel : ici
