hébergeur

Actualités, Articles, Publication, Santé

Parution du nouveau référentiel de certification HDS : quels changements ?

/

Vient d’être publié l’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel. Début 2022, cinq ans après la mise en œuvre de la certification HDS, la Délégation du Numérique en Santé (« DNS ») et l’Agence du Numérique en Santé (« ANS ») ont lancé une démarche de révision du référentiel de certification HDS (ci-après « nouveau référentiel de certification HDS ») (1). Ces instances se sont associées notamment à la Commission nationale de l’informatique et des libertés (« Cnil »), laquelle a rendu un avis favorable sur le projet de référentiel le 13 juillet dernier (2). En décembre 2023, l’ANS a soumis le projet d’arrêté « modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel » à la Commission européenne (3). Nota bene : Seul le référentiel de certification pour l’hébergement de données de santé à caractère personnel (« référentiel de certification HDS ») nous intéressera dans la suite de nos développements. Ce référentiel HDS est à destination des hébergeurs et non des certificateurs comme le référentiel d’accréditation des organismes de certification. Lire la suite Le cadre juridique de ce référentiel Nouveau référentiel de certification HDS L’hébergement des données de santé à caractère personnel est encadré en France par les articles L.1111-8 et R.1111-8 et suivants du Code de la santé publique (« CSP »). Cette règlementation pose l’obligation d’être certifiée HDS pour toute personne qui : héberge sur support numérique des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même. L’objectif de cette règlementation est de garantir aux usagers et aux professionnels de santé que les données de santé à caractère personnel, particulièrement protégées par le RGPD, confiées dans le cadre d’une prise en charge médicale, sont sécurisées. Les modifications apportées Nouveau référentiel de certification HDS Précisions sur l’activité 5 Pour mémoire, le périmètre des activités d’hébergement certifiées couvre la mise à disposition et le maintien en condition opérationnelle : des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ; de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ; de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ; de la plateforme d’hébergement d’applications du système d’information ; l’administration et l’exploitation du système d’information contenant les données de santé ; la sauvegarde des données de santé. L’un des objectifs du nouveau référentiel de certification HDS est de clarifier les activités pour lesquelles les hébergeurs ont obtenu la certification, en particulier l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ». En effet, à ce jour, l’activité dite « d’administration et d’exploitation d’applications du système d’information (« SI ») de santé », correspondant à l’activité 5 de la certification HDS, n’a toujours pas été supprimée du périmètre de la certification, malgré les questionnements qu’elle suscite du fait notamment de son absence de définition. (4) Or, cette activité, relative à l’application métier, avait conduit de nombreux acteurs (éditeurs de logiciels, fabricants de dispositifs médicaux, etc.) à s’interroger sur la nécessité d’être certifiés. (5) Le nouveau référentiel de certification HDS propose une définition du champ d’application de l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ». Selon cette définition, l’activité 5 recouvre : l’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation, par exemple, à des fins d’audit, d’expertise, de déploiement ou de maintenance, et qui ont accès via le Socle d’Infrastructure HDS à l’Application métier ; le maintien en condition de sécurité du Socle d’Infrastructure HDS et le centre de support au client ; et la tenue à jour de la documentation assurant la cohérence et la complétude des garanties de sécurité fournies par les différents acteurs participant à la mise en œuvre du service. Ainsi, certaines opérations exercées par des éditeurs de logiciels ou des fabricants de dispositifs médicaux (maintenance par exemple) se retrouveraient exclues du périmètre de l’obligation de certification HDS. A faire : L’hébergeur devra vérifier s’il exerce toujours l’activité d’ « administration et exploitation du système d’information contenant les données de santé » compte tenu de la nouvelle définition et amender le contrat le cas échéant. Nouvelles exigences du contrat HDS Le nouveau référentiel de certification HDS vise à clarifier les obligations contractuelles de l’hébergeur en intégrant les clauses obligatoires déjà prévues par l’article R.1111-11 du Code de la santé publique dans les contrats HDS. A faire : L’hébergeur devra auditer son contrat HDS pour s’assurer qu’il intègre les clauses obligatoires de l’article R.1111-11 du Code de la santé publique et, à défaut, amender le contrat pour qu’il reprenne l’ensemble de ces clauses obligatoires. Le nouveau référentiel de certification HDS vise également à améliorer la lisibilité des garanties apportées par l’hébergeur à chaque client faisant appel à ses services. Il impose à l’hébergeur HDS qu’il reproduise dans le contrat ses garanties et celles de sous-traitants éventuels. L’objectif est d’être transparent sur la participation réelle de chaque acteur à la sécurité des données confiées par le client et de standardiser la présentation des garanties mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part. A faire : L’hébergeur devra intégrer le tableau reproduit dans le nouveau référentiel de certification HDS listant les acteurs qui participent au traitement des données dans le cadre de la prestation HDS. Nouvelles exigences de transparence et d’hébergement dans l’EEE S’agissant des exigences de transparence, le nouveau référentiel de certification HDS s’inscrit dans une démarche de protection du client et des données de santé à caractère personnel qui sont confiées à

la recherche médicale
Actualités, Articles, Informatique et libertés, Publication, Santé

Activité 5 de la certification HDS : un retrait toujours d’actualité ?

/

A ce jour, l’activité dite « d’administration et d’exploitation d’applications du système d’information (« SI ») de santé », correspondant à l’activité 5 de la certification Hébergeur de Données de Santé (« HDS »), n’a toujours pas été supprimée du périmètre de la certification, malgré les questionnements qu’elle suscite du fait notamment de son absence de définition.

Actualités, Conférences, Evénement, GDPR, Informatique et libertés, Presse et communication numérique, Revue de presse, Vie privée

Wikipédia : quelles règles juridiques pour la plus grande encyclopédie en ligne ?

/

« Wikipédia en français, côté coulisses » : c’était le thème de l’émission Smart Tech du 20 juillet 2020 animée par Delphine Sabattier, à laquelle participait Marie Soulez sur la chaîne d’information économique & financière ‪B Smart.‬

Actualités, Contrat, Informatique

L’hébergeur peut-il bloquer les données du client en cas d’impayé ?

/

L’hébergeur au sens classique du terme ou en environnement cloud est juridiquement le dépositaire des données incorporelles du client au sens de l’article 1915 du Code civil. L’hébergeur en a à ce titre la garde et a une obligation de restitution en fin de contrat. Il peut être condamné s’il ne procède pas à cette restitution dans des délais normaux (1). En cas de frais exposés par l’hébergeur pour la restitution des données, il peut prévoir une facturation spécifique pour cette prestation. D’ailleurs même si cela n’est pas une obligation légale, la plupart des contrats d’hébergement comprennent en pratique une clause de réversibilité laquelle encadre les modalités technique, économique et juridique de restitution des données. En présence ou pas d’une telle clause, la question se pose pour l’hébergeur de pouvoir « retenir » les données si le client n’est pas à jour de ses paiements. En l’absence de clause spécifique. Le droit de rétention peut s’appliquer même sans clause spécifique. Il faut préciser le lien de connexité entre l’objet de la prestation et le prix impayé conformément à l’article 2286 du Code civil. Le droit de rétention bien connu dans l’hypothèse du garagiste impayé à l’égard de la voiture réparée n’a pas été aussi facilement transposé dans le monde de l’immatériel. La première jurisprudence le consacrant ne date que de 2010 (2). En présence d’une clause spécifique. Le client débiteur pourra plus difficilement contester une clause clairement stipulée avec des cas de rétention bien bornés. Cependant, il existe de nombreuses hypothèses où un tel droit de rétention soit n’est pas possible, par exemple en cas de procédure collective (3), soit exposerait le client dont les données sont hébergées à de graves difficultés par exemple dans le domaine médical (4). L’hébergeur doit donc se garder d’appliquer systématiquement un droit de rétention en cas d’impayé, au risque de voir sa propre responsabilité engagée. Pour l’hébergeur qui souhaiterait donc se réserver une telle garantie sur les données dont il a la garde, il convient donc : de travailler au périmètre et aux modalités de mise en œuvre de la clause de rétention avec la plus grande rigueur ; de fixer par un livret d’implémentation à destination des équipes marketing et juridique, le scénario par escalade justifiant un tel droit de rétention. Eric Le Quellenec Lexing Droit Informatique (1) TC Paris Ord. Réf. 20-3-2002. (2) CA Toulouse 12-10-2010, RG n°08-05858. (3) Article L. 622-13 Code de commerce. (4) Décret 2011-246 du 4-3-2011.

Contenus illicites, Internet contentieux

Nouvelles catégories de signalement pour les intermédiairestechniques ?

/

L’article 6-I-7 de la loi pour la confiance dans l’économie numérique (LCEN) est en passe d’être modifié. Cet article prévoit pour l’heure que si les intermédiaires techniques (fournisseur d’accès à internet et hébergeur) ne sont tenus à aucune obligation de surveillance des contenus en ligne, ceux-ci sont néanmoins tenus de concourir à la lutte contre la diffusion de contenus les plus graves au nombre desquels figurent ceux faisant l’apologie des crimes contre l’humanité, incitant à la haine raciale ou de pornographie enfantine.

Presse et communication numérique

E-réputation : l’hébergeur contraint de retirer un contenu illicite

/

Pierre angulaire du droit de l’e-réputation, l’article 6 I de la loi pour la confiance dans l’économie numérique (LCEN) pose le principe de l’irresponsabilité pénale des prestataires de stockage du fait des contenus de tiers qu’ils hébergent, sauf s’ils avaient effectivement connaissance de l’activité ou de l’information illicite ou si, du moment où ils en ont eu connaissance, ils n’ont pas agi promptement pour les retirer.

Retour en haut