Nouveau référentiel de certification des hébergeurs de données de santé (HDS)

Le 16 mai 2024, la nouvelle version du référentiel de certification des hébergeurs de données de santé (HDS) a été publiée au Journal officiel (arrêté du 26 avril 2024). Pour rappel, la certification HDS permet de garantir la sécurité de l’hébergement des données de santé, qui constituent des données particulièrement sensibles au sens du règlement général sur la protection des données (RGPD).

Cette révision s’inscrit dans une initiative de la Délégation au numérique en santé (DNS) et de l’Agence du numérique en santé (ANS), en concertation avec l’ensemble des parties prenantes : acteurs institutionnels (DGE, ANSSI, CNIL, Commission européenne, etc.), organismes certificateurs, fédérations d’établissements de santé et industriels.

L’objectif de cette révision est de renforcer la protection des données, et ce faisant la confiance des patients et professionnels dans le numérique en santé. Il s’agit aussi de contribuer à l’émergence d’un écosystème d’acteurs européens.

Qui est concerné par ce nouveau référentiel ?

Ces nouvelles règles s’appliquent à tout service d'hébergement de données de santé à caractère personnel devant être certifié HDS. Pour être soumis à une telle obligation, l’hébergeur doit remplir les quatre conditions suivantes :

•  qualification de l’hébergeur : il a la qualité de sous-traitant au sens du RGPD ; 
   
• nature des données hébergées : les données à caractère personnel doivent constituer des données de santé telles que définies par le RGPD, c’est-à-dire "relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne".
   
• activités réalisées : le périmètre des types d’activités d’hébergement de l’article R. 1111-9 du Code de la santé publique (CSP) renvoie désormais à six activités : 
  
  - 1° La mise à disposition et le maintien en condition opérationnelle de sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé ; 
  
  - 2° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé ; 
  
  - 3° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé ; 4° La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information ; 
  
  - 5° L'administration et l'exploitation du système d'information contenant les données de santé et 
  
  - 6° La sauvegarde des données de santé. 
   
• contexte de l’hébergement : enfin, conformément à l’article L1111-8 du CSP, les données doivent être hébergées dans le cadre des activités de prévention, de diagnostic, de soins ou de suivi social et médico-social et pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même. 

Quelles sont les évolutions notables ? 

La nouvelle version du référentiel HDS introduit de nouvelles exigences auxquelles devront se soumettre l’ensemble des hébergeurs concernés. En particulier, elle renforce les exigences de souveraineté des données (exigences n° 28 à 31), en termes de localisation et de transparence. 

En termes de localisation, l’hébergement physique des données de santé devra désormais être réalisé exclusivement dans l’Espace économique européen (EEE, pour mémoire Union européenne - UE - avec la Norvège, l’Islande et le Liechtenstein). 

En termes de transparence, en cas d’accès extra-communautaire aux données, les hébergeurs devront respecter certaines règles de transparence : 

• vis-à-vis des clients (responsables de traitement) : en cas d’accès distant aux données depuis un pays tiers à l’UE (y compris par un sous-traitant de l’hébergeur) ou en cas de soumission à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens du RGPD, l’hébergeur doit informer son client dans le contrat des risques associés et des mesures techniques et juridiques mises en œuvre pour les limiter ; 
   
• vis-à-vis du public : l’hébergeur devra publier, sur son site internet, une cartographie des éventuels transferts de données qu’il héberge vers un pays hors EEE.

A ce jour, ces nouvelles exigences ne sont pas aussi strictes que celles du référentiel SecNumCloud (ANSSI) en matière d’immunité extraterritoriale. L’articulation entre ces deux référentiels sera néanmoins examinée lors des discussions sur les futurs référentiels européens (European cybersecurity certification scheme for cloud services - EUCS), au plus tard en 2027.

Il en va différemment de l’hébergement des données particulièrement sensibles des administrations de l’Etat et de ses opérateurs qui sont “nécessaires à la protection de la santé et de la vie des personnes” ainsi que de celles détenues par le Health Data Hub, qui sont soumises aux normes du SecNumCloud, comme l’a récemment prévu la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (dite "Loi SREN"). 

Quels sont les délais pour s’y conformer ? 

Les organismes certificateurs ont six mois pour adapter leur procédure de certification au nouveau référentiel HDS. 

Côté hébergeurs, les délais diffèrent selon leur situation : 

• les hébergeurs de données de santé déjà certifiés HDS devront obtenir leur certification conformément au nouveau référentiel dans un délai de 24 mois (soit au plus tard le 16 mai 2026) ;
   
• les hébergeurs n’ayant pas encore obtenu leur certification HDS seront évalués à partir du 16 novembre 2024 sur le fondement de ce nouveau référentiel. 

Sources : 

• Arrêté du 26 avril 2024 modifiant l'arrêté du 11 juin 2018 portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel - Légifrance (legifrance.gouv.fr) 
   
• Publication au Journal Officiel du référentiel de certification HDS : souveraineté des données et améliorations du référentiel | Agence du Numérique en Santé (esante.gouv.fr)
   
• Nouvelle version du référentiel de certification HDS - Presse - Ministère des Finances (economie.gouv.fr)
   
•  Evolution importante des référentiels de certification et d’accréditation de l’hébergement de données de santé (HDS) | Agence du Numérique en Santé (esante.gouv.fr) 
   
• Décret n° 2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel - Légifrance (legifrance.gouv.fr) 
   
• Article L1111-8 du Code de la santé publique - Légifrance (legifrance.gouv.fr)