Le nouveau projet de référentiel HDS a fait l’objet de nouvelles modifications.
Pour rappel, conformément à l’article L.1111-8 du Code de la santé publique, l’hébergement externalisé de données de santé à caractère personnel requiert en particulier une certification. Nos avocats en droit de la e-santé vous fournissent des orientations claires.
La procédure de certification nécessite une conformité à des exigences figurant dans un référentiel de certification.
L’Agence numérique en santé (« l’ANS ») a proposé, en novembre 2022, un nouveau projet de référentiel consistant, en réalité, en une mise à jour du référentiel existant (voir notre précédent article sur le sujet faire un lien https://derriennic.com/certification-hds-vers-un-nouveau-referentiel/)).
A la suite d’une consultation publique achevée le 9 décembre 2022, ce nouveau projet de référentiel a fait l’objet de certains remaniements. Cette version modifiée a été validée par la CNIL dans le cadre d’un avis rendu le 13 juillet 2023.
Aussi, l’ANS a soumis, en décembre dernier, le projet d’arrêté approuvant ce nouveau « nouveau » projet de référentiel à la Commission européenne.
Si le contenu de cette dernière version n’a pas encore été dévoilé, les communications faites par l’ANS révèlent que les modifications portent notamment sur les points essentiels suivants :
- Les activités objet de la certification avec en particulier une clarification (attendue) de la définition de l’ « activité d’administration et d’exploitation des systèmes de santé », à savoir l’épineuse activité d’hébergement dite « activité 5 » ;
- Une amélioration des garanties apportées par l’hébergeur vis-à-vis des prestataires faisant appel à ses services ;
- Une clarification des obligations contractuelles de l’hébergeur ;
- Une intégration de la dernière version de la norme ISO 27001 ;
- Un renforcement progressif de la souveraineté des données (avec notamment une exigence d’hébergement physique des données dans l’Espace Economique Européen) ;
- Des précisions sur l’articulation des exigences du référentiel avec les exigences de la certification SecNumCloud.
En termes de calendrier, l’arrêté approuvant cette nouvelle version devrait être publié au Journal Officiel à compter du 6 mars 2024 (après le statut quo de la Commission européenne).
Le délai de mise en conformité serait de 6 mois à compter de la publication de l’arrêté : c’est-à-dire que dès septembre 2024, les demandes de certifications, que ce soient des nouvelles demandes ou des demandes de renouvellement, devront alors être basées sur le nouveau référentiel.
A suivre…
Source : ici
