CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N° 381 : Protection des données en entreprise: quelle stratégie à l'ère de l'IA ?
Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !
Le 16 mai 2024, la version révisée du référentiel de certification HDS (hébergeurs de données de santé) était publiée au Journal officiel. Selon l’Agence du numérique en santé (ANS), "les hébergeurs de données de santé déjà certifiés HDS devront obtenir la certification HDS conformément à ce nouveau référentiel HDS dans un délai de 24 mois, soit au plus tard le 16/05/2026." Quant aux nouveaux candidats à la certification, ils sont évalués depuis le 16 novembre dernier par rapport à cette nouvelle version du référentiel.
Un rappel de définition s’impose : la certification des hébergeurs de données de santé permet de garantir la sécurité de l’hébergement des données de santé. "Tout l’enjeu est de certifier que les hébergeurs de données de santé mettent en œuvre des systèmes de gestion de la sécurité des systèmes d’information à l’état de l’art des normes internationales", souligne-t-on à l’Agence du numérique en Santé.
Lire aussi : Naitways obtient la certification d’hébergeur de données de santé (HDS)
Hébergement physique des données de santé
En vigueur depuis novembre 2017, le référentiel HDS a fait l’objet d’une révision portant sur plusieurs volets : renforcement progressif de la souveraineté des données de santé, clarification des types d’activité d’hébergement, intégration de la norme ISO 27001 dans le nouveau référentiel…
Point particulièrement sensible, "l’hébergement physique des données de santé doit être réalisé exclusivement sur le territoire d’un pays situé au sein de l’Espace économique européen (…), ce qui n’était pas une exigence requise jusqu’alors dans le HDS", indique le ministère de la Santé.
Ces données sont-elles désormais sanctuarisées ? Rien n’est moins sûr, reconnaît le ministère : "sans être suffisante pour garantir totalement l’immunité extraterritoriale, cette exigence de localisation apporte néanmoins des garanties importantes en termes de protection des données".
Autre point de révision, en cas d’accès distant aux données par l’hébergeur ou l’un de ses sous-traitants depuis un pays tiers à l’Union européenne, l’hébergeur devra en informer ses clients dans le contrat et lui préciser les risques associés. Ce dernier devra également rendre publique, sur son site web, une cartographie des éventuels transferts de données qu’il héberge vers un pays n’appartenant pas à l’EEE.
Lire aussi : Dossier patient informatisé : la Cnil met en demeure plusieurs établissements de santé
Audits de sécurité technique
Dans son exigence n° 15, le nouveau référentiel précise également que l’hébergeur doit permettre au client d’effectuer un certain nombre de vérifications relatives au niveau de sécurité.
Le client peut ainsi réaliser ou mandater des audits de sécurité techniques et, sur sa demande, l’hébergeur doit lui communiquer la synthèse managériale d’un rapport d’audit technique portant sur les ressources mutualisées dans le cadre du service : "cet audit doit être réalisé par un auditeur indépendant et dater de moins de trois ans".
L’hébergeur doit également permettre au client de consulter les traces d’accès aux données de santé à caractère personnel (DSCP) portées par des ressources spécifiques ou auxdites ressources par les personnels sous son contrôle.
Sans surprise, la question de la souveraineté des données est au cœur du référentiel, qui précise que "quelle que soit l’activité d’hébergement de DSCP proposée au client par l’hébergeur ou l’un de ses sous-traitants, et dès lors que celle-ci implique un stockage de DSCP, alors l’hébergeur ou ses sous-traitants doivent stocker ces DSCP exclusivement au sein de l’Espace économique européen, sans préjudice des cas d’accès à distance visée à l’exigence n° 29". L’hébergeur est par ailleurs tenu de documenter et de communiquer au client la localisation de ce stockage.
À ce jour, plus de 300 hébergeurs sont certifiés HDS et neuf organismes sont accrédités par le comité français d’accréditation (Cofrac) pour procéder à ces certifications.
