Une version révisée du référentiel Hébergeur de données de santé (HDS) a été établie par l’Agence du Numérique en Santé (ANS) et est en cours d’examen par la Commission européenne. Le nouvel HDS devrait entrer en vigueur d’ici l’été 2024.
La certification HDS a pour vocation de renforcer la protection des données de santé des Français et de construire un environnement de confiance autour de l’eSanté et du suivi des patients. Elle vise toutes les entités publiques ou privées qui hébergent, exploitent ou réalisent des sauvegardes des données de santé. Face à la montée de la menace cyber, l’ANS a lancé en 2023 une refonte du référentiel HDS en sollicitant les utilisateurs et offreurs de services. Le nouveau texte introduit des critères plus exigeants de souveraineté et de transparence.
| Les nouveautés | Quel impact sur l’hébergement des données de santé ? |
|---|---|
| Localisation européenne | Les données devront être stockées sur le territoire d’un état de l’Espace économique européen. Les organisations traitant des données de santé et/ou leur hébergeur devront donc s’assurer d’être conformes à cette nouvelle exigence. Dans le cas contraire, un changement d’offre ou de fournisseur cloud devra être envisagé. |
| Transfert et accès distant | Les organisations et/ou leur hébergeur devront informer contractuellement leurs clients des éventuels transferts ou accès distants aux données depuis un pays non conforme au RGPD, en précisant les risques associés. Elles devront également détailler les mesures techniques et juridiques mises en œuvre pour les limiter. |
| Immunité aux lois extra-européennes | Les hébergeurs, s’ils ne sont pas qualifiés SecNumCloud, devront être transparents sur leur vulnérabilité aux lois extra-européennes. Si elles s’appuient sur un hébergeur tiers qui n’est pas qualifié SecNumCloud, les organisations traitant des données de santé devront s’assurer de la transparence de ce prestataire. |
| ISO 27001 | L’ANS exigeant l’intégration de certaines évolutions de la norme ISO 27001 dans le nouveau référentiel de certification HDS, les organisations traitant des données de santé et/ou leur hébergeur devront s’y conformer lors du renouvellement de leur certification HDS. |
« Si le nouveau référentiel ne prévoit pas, dans l’immédiat, un alignement sur les exigences en termes d’immunité aux lois extraterritoriale du fameux article 19.6 du référentiel SecNumCloud, cette convergence est envisagée à l’horizon 2027. »
Si l’organisation assure elle-même l’hébergement des données de santé, elle doit obtenir la certification HDS.
En revanche, si elle sous-traite l’hébergement à un tiers, c’est l’hébergeur qui doit être certifié.