La loi visant à « sécuriser et réguler l’espace numérique » dite loi « SREN », du 21 mai dernier, concerne notamment le domaine de la santé.
Elle traite, en particulier, la question de la souveraineté en matière de données de santé.
En effet :
- La loi modifie la lettre de l’article L.1111-8 du Code de la santé publique, notamment pour ajouter l’obligation des hébergeurs de données de santé de stocker les données dans l’UE ou l’EEE dans des conditions décrites par décret (en l’occurrence par le « nouveau référentiel HDS » adopté par arrêté du 26 avril 2024) ;
- La loi impose, par principe, aux administrations de l’Etat, à certains de ses opérateurs et groupements d’intérêt public, de veiller à ce que les services informatiques en nuage, fournis par un prestataire privé et utilisés dans le cadre leurs systèmes ou de leurs applications informatiques, « mettent en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’Etats tiers non autorisé par le droit de l’Union européenne ou d’un Etat membre ».
Une telle exigence est requise (i) en cas de traitement de données « d’une sensibilité particulière » (dont les données nécessaires à des missions essentielles de l’Etat, notamment la protection de la santé et de la vie des personnes) et (ii) si la violation de telles données est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle.
Pour en savoir plus cette problématique, contactez nos avocats spécialisés en e-santé