Une nouvelle version du référentiel de certification Hébergeurs de données de santé (HDS) a été publiée au Journal officiel le 16 mai dernier. En vigueur depuis novembre 2017, ce document a fait l'objet d'une révision portant sur plusieurs volets : renforcement progressif de la souveraineté des données de santé, clarification des types d'activité d'hébergement, intégration de la norme ISO 27001 dans le nouveau référentiel…
Point particulièrement sensible, "l'hébergement physique des données de santé doit être réalisé exclusivement sur le territoire d'un pays situé au sein de l'Espace Economique Européen (…) ce qui n'était pas une exigence requise jusqu'alors dans le HDS" indique le ministère de la Santé. Ces données sont-elles désormais sanctuarisées ? Rien n'est moins sûr reconnaît le ministère : "sans être suffisante pour garantir totalement l'immunité extra-territoriale, cette exigence de localisation apporte néanmoins des garanties importantes en termes de protection des données".
Une cartographie des transferts de données
Autre révision, en cas d'accès distant aux données par l'hébergeur ou l'un de ses sous-traitants depuis un pays tiers à l'UE, l'hébergeur devra en informer ses clients dans le contrat et lui préciser les risques associés. Ce dernier devra également rendre public, sur son site web, une cartographie des éventuels transferts de données qu'il héberge vers un pays n'appartenant pas à l'Espace Economique Européen.
Le ministère de la Santé indique que les hébergeurs déjà certifiés HDS disposeront de 24 mois pour obtenir une nouvelle certification conforme au nouveau référentiel. Les nouveaux candidats, quant à eux, seront évalués par rapport à cette nouvelle version à partir du 16 novembre 2024.
A ce jour, 302 hébergeurs ont été certifiés HDS.
