Vient d’être publié l’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel.
Début 2022, cinq ans après la mise en œuvre de la certification HDS, la Délégation du Numérique en Santé (« DNS ») et l’Agence du Numérique en Santé (« ANS ») ont lancé une démarche de révision du référentiel de certification HDS (ci-après « nouveau référentiel de certification HDS ») (1).
Ces instances se sont associées notamment à la Commission nationale de l’informatique et des libertés (« Cnil »), laquelle a rendu un avis favorable sur le projet de référentiel le 13 juillet dernier (2).
En décembre 2023, l’ANS a soumis le projet d’arrêté « modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel » à la Commission européenne (3).
Nota bene : Seul le référentiel de certification pour l’hébergement de données de santé à caractère personnel (« référentiel de certification HDS ») nous intéressera dans la suite de nos développements. Ce référentiel HDS est à destination des hébergeurs et non des certificateurs comme le référentiel d’accréditation des organismes de certification.
Le cadre juridique de ce référentiel
Nouveau référentiel de certification HDS
L’hébergement des données de santé à caractère personnel est encadré en France par les articles L.1111-8 et R.1111-8 et suivants du Code de la santé publique (« CSP »).
Cette règlementation pose l’obligation d’être certifiée HDS pour toute personne qui :
- héberge sur support numérique
- des données de santé à caractère personnel
- recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social,
- pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même.
L’objectif de cette règlementation est de garantir aux usagers et aux professionnels de santé que les données de santé à caractère personnel, particulièrement protégées par le RGPD, confiées dans le cadre d’une prise en charge médicale, sont sécurisées.
Les modifications apportées
Nouveau référentiel de certification HDS
Précisions sur l’activité 5
Pour mémoire, le périmètre des activités d’hébergement certifiées couvre la mise à disposition et le maintien en condition opérationnelle :
- des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
- de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
- de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
- de la plateforme d’hébergement d’applications du système d’information ;
- l’administration et l’exploitation du système d’information contenant les données de santé ;
- la sauvegarde des données de santé.
L’un des objectifs du nouveau référentiel de certification HDS est de clarifier les activités pour lesquelles les hébergeurs ont obtenu la certification, en particulier l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ».
En effet, à ce jour, l’activité dite « d’administration et d’exploitation d’applications du système d’information (« SI ») de santé », correspondant à l’activité 5 de la certification HDS, n’a toujours pas été supprimée du périmètre de la certification, malgré les questionnements qu’elle suscite du fait notamment de son absence de définition. (4)
Or, cette activité, relative à l’application métier, avait conduit de nombreux acteurs (éditeurs de logiciels, fabricants de dispositifs médicaux, etc.) à s’interroger sur la nécessité d’être certifiés. (5)
Le nouveau référentiel de certification HDS propose une définition du champ d’application de l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ».
Selon cette définition, l’activité 5 recouvre :
- l’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation, par exemple, à des fins d’audit, d’expertise, de déploiement ou de maintenance, et qui ont accès via le Socle d’Infrastructure HDS à l’Application métier ;
- le maintien en condition de sécurité du Socle d’Infrastructure HDS et le centre de support au client ; et
- la tenue à jour de la documentation assurant la cohérence et la complétude des garanties de sécurité fournies par les différents acteurs participant à la mise en œuvre du service.
Ainsi, certaines opérations exercées par des éditeurs de logiciels ou des fabricants de dispositifs médicaux (maintenance par exemple) se retrouveraient exclues du périmètre de l’obligation de certification HDS.
A faire : L’hébergeur devra vérifier s’il exerce toujours l’activité d’ « administration et exploitation du système d’information contenant les données de santé » compte tenu de la nouvelle définition et amender le contrat le cas échéant.
Nouvelles exigences du contrat HDS
Le nouveau référentiel de certification HDS vise à clarifier les obligations contractuelles de l’hébergeur en intégrant les clauses obligatoires déjà prévues par l’article R.1111-11 du Code de la santé publique dans les contrats HDS.
A faire : L’hébergeur devra auditer son contrat HDS pour s’assurer qu’il intègre les clauses obligatoires de l’article R.1111-11 du Code de la santé publique et, à défaut, amender le contrat pour qu’il reprenne l’ensemble de ces clauses obligatoires.
Le nouveau référentiel de certification HDS vise également à améliorer la lisibilité des garanties apportées par l’hébergeur à chaque client faisant appel à ses services.
Il impose à l’hébergeur HDS qu’il reproduise dans le contrat ses garanties et celles de sous-traitants éventuels.
L’objectif est d’être transparent sur la participation réelle de chaque acteur à la sécurité des données confiées par le client et de standardiser la présentation des garanties mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part.
A faire : L’hébergeur devra intégrer le tableau reproduit dans le nouveau référentiel de certification HDS listant les acteurs qui participent au traitement des données dans le cadre de la prestation HDS.
Nouvelles exigences de transparence et d’hébergement dans l’EEE
S’agissant des exigences de transparence, le nouveau référentiel de certification HDS s’inscrit dans une démarche de protection du client et des données de santé à caractère personnel qui sont confiées à l’hébergeur HDS.
Dans ce cadre, les nouvelles exigences issues du référentiel visent à renforcer la souveraineté des données en posant de nouvelles exigences en matière de transparence de l’hébergeur vis-à-vis de son client :
- sur l’hébergement physique des données de santé : il devra être réalisé exclusivement sur le territoire d’un pays situé au sein d’un Etat partie de l’Espace économique européen (EEE : Union Européenne – UE avec la Norvège, l’Islande et le Liechtenstein) ;
- sur la transparence : exigence de transparence de l’hébergeur vis-à-vis de ses clients qui se traduit par les sous exigences suivantes :
- informer le client de tout transfert ou accès distant aux données du client depuis un territoire situé hors de l’EEE qui n’assure pas un niveau de protection des données adéquat au sens de l’article 45 du RGPD, et des mesures organisationnelles et techniques mises en œuvre pour encadrer ce transfert ;
- informer le client d’une éventuelle sujétion à une réglementation extra-communautaire qui serait susceptible d’entraîner un risque d’accès aux données par un organisme situé dans un pays qui n’assure pas un niveau de protection des données adéquat au sens de l’article 45 du RGPD, et des mesures prises pour atténuer ce risque ;
- rendre public et tenir à jour des informations détaillées sur les éventuels transferts de données qu’il héberge vers un pays n’appartenant pas à l’EEE et sur les mesures prises pour assurer le respect du RGPD.
A faire : L’hébergeur devra s’assurer que l’hébergement physique des données de santé est réalisé exclusivement sur le territoire d’un pays situé au sein d’un Etat partie de l’EEE et, à défaut, modifier le lieu d’hébergement des données s’il souhaite continuer à bénéficier de sa certification.
L’hébergeur devra également amender son contrat type HDS pour reprendre les obligations de transparence visées ci-dessus.
Nouvelles précisions sur l’articulation avec le SecNumCloud
Préciser l’articulation des exigences du référentiel avec la certification SecNumCloud de l’ANSSI avec une matrice de correspondance.
Par ailleurs, le nouveau référentiel de certification HDS intègre les évolutions de la norme ISO 27001 Sécurité de l’information, cybersécurité et protection de la vie privée (passage de ISO/IEC 27001 :2018 à ISO/IEC 27001:2022).
A faire : L’hébergeur pourra mettre en place des comités internes de pilotage afin d’anticiper l’entrée en application du nouveau référentiel de certification HDS.
Ces comités pourront ainsi réunir les membres de la DSI, de la cellule dédiée à la protection des données à caractère personnel, la direction juridique, la direction qualité ou conformité.
Il conviendra également d’anticiper les nouvelles exigences de la norme ISO 27001 et les implémenter selon un plan de route dédié.
Quand ce référentiel sera-t-il applicable ?
Nouveau référentiel de certification HDS
L’arrêté du 26 avril 2024 approuvant, notamment, le référentiel de certification HDS a été publié au Journal Officiel du 16 mai 2024. (1)
Le délai laissé aux hébergeurs pour se mettre en conformité avec le nouveau référentiel HDS devrait être de 6 mois à compter de la publication de l’arrêté (autrement dit aux alentours du 4ème trimestre 2024). (3)
Les demandes de certifications (nouvelles demandes ou demandes de renouvellement) formulées aux organismes certificateurs dans un délai de 6 mois à partir de la publication de l’arrêté (c’est-à-dire début du deuxième semestre 2024) seront soumises de facto au nouveau référentiel HDS (2).
Attention : à l’issue de ce délai de six mois, les organismes certificateurs ne pourront donc plus délivrer que des certificats de conformité au nouveau référentiel.
- Arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel ; Communiqué de l’ANS, « Evolution importante des référentiels de certification et d’accréditation de l’hébergement de données de santé (HDS) », Actualités de la e-santé, 8 décembre 2023 ;
- CNIL, ordre du jour de la séance plénière du 13 juillet 2013 ;
- Notification à la Commission européenne de l’Arrêté modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement des données de santé à caractère personnel ;
- Le « Référentiel de certification HDS – Mai 2018 » est disponible ici :
- Ministère des solidarités et de la santé, « Explicitation du champ d’application du cadre juridique de l’hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d’information de santé » (version du 16 mai 2019).
Avec la collaboration d’Eva Deniau, stagiaire étudiante en Master 2 Droit de la santé et de la protection sociale.
Isabelle Chivoret
Avocate, Directrice du département Santé numérique
Émilie Brulon
Avocate, Département Santé numérique
Pour en apprendre davantage
À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...
Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit...