Un nouveau référentiel pour la certification HDS a été publié au Journal officiel mi-mai. Ce document est porteur de nombreuses modifications pour l’activité d’hébergement externalisé des données de santé personnelles… Et traite entre autre de la délicate question de la souveraineté qui fait tant débat. Une explication de texte d’Alexandre Fievée, avocat associé, et d’Alice Robert, Avocat Counsel du cabinet Derriennic Associés pour La Veille Acteurs de Santé.
L’exigence d’une certification HDS
Toute personne physique ou morale à l’origine de la production ou du recueil de données de santé à caractère personnel à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, ou le patient lui-même, le cas échéant, doit faire appel à un prestataire titulaire d’une certification « HDS » lorsqu’elle/il externalise l’hébergement de telles données1.
Cette certification vise à assurer « que les hébergeurs de données de santé mettent en œuvre des systèmes de gestion de la sécurité des systèmes d’information à l’état de l’art des normes internationales ».
La certification repose alors sur une évaluation de conformité dudit prestataire à un référentiel, le « référentiel de certification HDS », dont la dernière version avait été approuvée par arrêté du 11 juin 2018. Ce référentiel définit les exigences applicables à la certification « HDS » incluant le respect d’un certain nombre de règles et de normes, dont des normes ISO. Concrètement, l’hébergeur choisit un organisme certificateur qui doit être accrédité par le COFRAC (ou tout équivalent européen), lequel procède à un audit de conformité au référentiel. Tout certificat de conformité HDS est délivré pour une durée de 3 ans, étant précisé qu’un audit de surveillance annuel est effectué.
La nécessité d’une mise à jour du référentiel
Après 5 ans et des retours d’expériences, l’Agence Numérique de la Santé, sous l’égide de la Délégation ministérielle du numérique en santé, a lancé un chantier de révision du référentiel de certification HDS.
Certains points du référentiel nécessitaient effectivement des clarifications ou, à tout le moins, des compléments et adaptations avec un triple objectif :
- Améliorer la lisibilité des garanties apportées par un hébergeur certifié sur les prestations réalisées pour un client donné (professionnel de santé, patient…) ;
- Clarifier les obligations contractuelles de l’hébergeur déjà définies dans le Code de la santé publique2;
- Renforcer les exigences de protection des données personnelles au regard des transferts en dehors de l’Union européenne.
C’est dans ce cadre, qu’un nouveau référentiel de certification HDS a été élaboré, en collaboration avec la CNIL, puis approuvé par un arrêté du 26 avril 2024, publié le 16 mai dernier.
Ce qu’il faut en retenir : l’activité « 5 », la conformité contractuelle, la souveraineté des données et la sécurité
Le nouveau référentiel HDS contient de nombreuses modifications et précisions d’exigences par rapport au référentiel de 2018. Parmi les nouveautés apportées, quatre points méritent une attention particulière.
Point 1 – Le premier point concerne l’activité 5 dite « d’administration et d’exploitation d’applications du système d’information contenant des données de santé », une des 6 activités d’hébergement concernées par la certification et qui n’était pas sans poser de difficultés d’appréciation.
Le nouveau référentiel en propose une définition détaillée comme suit : l’activité 5 « consiste en la maitrise des interventions sur les ressources mises à la disposition du client de l’Hébergeur ». Aussi, elle « comprend l’intégralité des activités annexes suivantes » :
- « La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires » ;
- « La sécurisation de la procédure d’accès » ;
- « La collecte et la conservation des traces des accès effectués et de leurs motifs » ;
- « La validation préalable des interventions (plan d’intervention, processus d’intervention) ».
« La validation des interventions consiste à s’assurer qu’elles ne dégradent pas la sécurité de l’information hébergée ni pour le client concerné ni pour les autres clients de l’Hébergeur. Cette validation peut être effectuée dans les cas suivants : » (i) « a priori, pour les interventions que le client pourrait effectuer en autonomie » et (ii) « lors de la demande d’intervention lorsqu’il sollicite l’Hébergeur ».
Le référentiel rappelle que ces opérations « sont intrinsèques et obligatoires » aux activités 1 à 4, de sorte que c’est seulement lorsque l’hébergeur exerce uniquement ces opérations qu’il doit être certifié pour l’activité 5.
Point 2 – Le deuxième point concerne les exigences en termes de conformité contractuelle. Le nouveau référentiel impose, en effet, que l’hébergeur fournisse un modèle de contrat conforme aux exigences indiquées dans le référentiel, lesquelles reprennent essentiellement celles prévues au Code de la santé publique2.
L’hébergeur doit également être plus transparent sur les garanties qu’ils apportent directement, ou celles de son/ses sous-traitant(s), en devant remplir, dans certains cas, une matrice type à intégrer dans ses contrats.
Point 3 – Le troisième point porte sur des exigences en matière de souveraineté des données.
Le référentiel requiert effectivement désormais que l’hébergement physique des données personnelles de santé soit effectué exclusivement dans l’Espace Economique Européen (EEE). En outre, si l’hébergeur ou ses sous-traitants (i) accèdent à distance, depuis un pays tiers à l’EEE, aux données, ou (ii) sont soumis à des lois d’un pays tiers n’assurant par un niveau de protection adéquat au sens du RGPD, alors l’hébergeur « doit en informer ses clients dans le contrat et lui préciser les risques associés, ainsi que les mesures techniques et juridiques mises en œuvre pour les limiter ». Par ailleurs, l’hébergeur a l’obligation de publier, sur son site internet, une cartographie « des éventuels transferts des données qu’il héberge vers un pays n’appartenant pas à l’EEE ».
Point 4 – Le quatrième et dernier point concerne les exigences en termes de sécurité, le référentiel précisant « l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI » et intégrant des évolutions de la norme ISO 27001.
Une entrée en vigueur le 16 novembre 2024
Ce nouveau référentiel entre en vigueur le 16 novembre 2024. Il sera ainsi applicable aux hébergeurs qui présenteront une demande de certification (que ce soit des premières demandes de certification ou des demandes de renouvellement d’une telle certification), à compter de cette date. Pour les hébergeurs déjà certifiés, ils devront se conformer à ce nouveau référentiel au plus tard le 16 mai 2026.
Il convient donc, dès à présent, de réaliser un audit des activités d’hébergement des données de santé externalisées afin de définir et de mettre en œuvre, dans les délais, un plan de mise en conformité.
(1) Article L.1111-8 du Code de la santé publique.
(2) Article R.1111-11 du Code de la santé publique.
Source : ici
