Blog Données personnelles
Le nouveau référentiel de certification Hébergeur de Données de Santé (« HDS ») en cours d’adoption
Le projet d’arrêté portant approbation du nouveau référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel a été notifié à la Commission européenne le 5 décembre par la délégation au numérique en santé (DNS).
Pour rappel, ce référentiel s’applique aux six activités caractérisant l’hébergement visées par l’article R.1111-9 du code de la santé publique [1] , les hébergeurs pouvant être certifiés sur une ou plusieurs de ces activités. La définition de l’activité relative à l’administration et l’exploitation du système d’information suscite depuis l’origine des questions d’interprétation auxquelles la nouvelle version apporte une réponse.
Les principales modifications apportées par cette nouvelle version du référentiel sont les suivantes :
- permettre de mieux comprendre les garanties apportées par l’hébergeur sur les prestations qu’il réalise pour un client donné ;
- clarifier les exigences contractuelles mentionnées à l’article R.1111-11 du code de la santé publique.
- renforcer les exigences relatives au transfert de données hors Union européenne avec sur ce point, une seconde étape prévue en 2027 en conformité avec les exigences européennes ;
- clarifier la définition du champ d’application de l’activité 5 « administration et exploitation du système d’information » contenant les données de santé.
- prendre en compte la version de la norme NF ISO/IEC 27001 : 2023.
Ce nouveau référentiel comprend 31 exigences afin d’être conforme au référentiel de certification des hébergeurs de données de santé.
Une nouvelle version du référentiel d’accréditation des organismes de certification pour l’hébergement de données de santé à caractère personnel mentionné à l’article R. 1111-10 du code de la santé publique est également proposée par le projet d’arrêté.
1 - Focus sur le champ d’application de l’activité 5
L’activité visée comme « l’administration et l’exploitation du système d’information contenant les données de santé » consiste donc en la maitrise des interventions sur les ressources mises à la disposition du client de l’hébergeur (i.e. notamment la sécurisation de la procédure d’accès aux données, la collecte et la conservation des traces des accès effectués et de leurs motifs, la validation préalable des interventions (plan d’intervention, processus d’intervention).
Les activités permettant de déterminer si l’on se trouve effectivement dans le champ d’application de l’activité 5 (la définition du processus d’attribution, la sécurisation, la collecte, la validation), sont intrinsèques aux activités définies au 1 à 4 de l’article R. 1111-9 du code de la santé publique. Si elles sont effectuées uniquement en ce qu’elles sont liées et consubstantielle aux activités 1 à 4, l’hébergeur n’est pas tenu d’être certifié pour l’activité 5.
L’appréciation concrète des activités candidates à la certification, permettra de dire si cette nouvelle définition est satisfaisante.
2 - Focus sur la souveraineté des données et les nouvelles exigences
Ce point est très attendu alors que le référentiel SecNumCloud v 3.2 exige, pour les activités qui y sont soumises, qu’elles ne puissent être soumises à des lois non européennes.
Trois points sont importants dans le nouveau référentiel sur ce sujet de souveraineté.
D’abord (exigence 28), quelle que soit l’activité d’hébergement, et dès lors que celle-ci implique un stockage de données de santé, celles-ci doivent être stockées exclusivement au sein de l’Espace Economique Européen. Le client doit être informé de la localisation de ce stockage.
Ensuite (exigence 29), lorsque la prestation d’hébergement implique un accès à distance depuis un pays qui ne fait pas partie de l’EEE, cet accès doit être fondé sur une décision d’adéquation de la Commission européenne adoptée en vertu de l’article 45 du RGPD sur l’une des garanties appropriées au sens de l’article 46 du RGPD. L’hébergeur indique au client et documente les garanties appropriées mises en place, ainsi que le cas échéant, tout autre mesure permettant d’assurer un niveau de protection des données équivalent à celui garanti par le droit de l’Union Européenne.
Egalement (exigence 30), lorsque l’hébergeur est soumis à la législation d’un pays qui n’assure pas un niveau de protection adéquat au sens de l’article 45 du RGPD, il doit lister les réglementations extra-européennes qui l’autorisent à permettre un accès non autorisé par le droit de l’Union aux données au sens de l’article 48 du RGPD, indiquer les mesures prises pour atténuer les risques d’accès non autorisés induits par ces réglementations extra européennes, et préciser les risque résiduels d’accès non autorisés qui demeureraient malgré les mesures précitées.
L’hébergeur sera aussi tenu de rendre publiques et de tenir à jour des informations détaillées sur les éventuels transferts de données, vers des pays non-membres de l’EEE et sur les mesures mises en place pour assurer le respect du RGPD. Selon que l’activité certifiée bénéfice d’une qualification SecNumCloud, l’exigence 31 du référentiel précise la nature de l’information à apporter au client.
[1] 1° La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
2° La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
3° La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
4° La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
5° L’administration et l’exploitation du système d’information contenant les données de santé ;
6° La sauvegarde des données de santé.