Distinct du cadre règlementaire applicable aux données de santé issue du RGPD, l’hébergement de données de santé en France est aussi encadré par le Code de la santé publique.

C’est ainsi que « toute personne physique ou morale à l’origine de la production ou du recueil de données de santé à caractère personnel à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social doit recourir à un hébergeur certifié ou agréé lorsqu’elle externalise la conservation de données dont elle est responsable (art.  L.1111-8 du CSP).

Le 2 novembre 2022, l’Agence nationale du numérique en santé (ci-après « ANS ») a fait part d’un projet de révision du référentiel de la certification HDS (ci-après « référentiel HDS »).

L’adoption d’un nouveau référentiel de certification est attendue avant l’été 2023.

Quelles modifications sont attendues au sein du projet de révision ?

  • Précision sur l’activité « d’administration et d’exploitation du système d’information contenant les données de santé »

On constate que l’article R1111-9 du CSP définit extensivement l’activité d’hébergement de données de santé à caractère personnel sur support numérique. Une des cinq activités d’hébergement concernées par la certification pose aux praticiens des difficultés d’interprétation. En effet, en l’absence de définition de la notion « d’administration et d’exploitation », cela a conduit les éditeurs de logiciels ou encore les fabricants de dispositifs médicaux à penser qu’ils étaient soumis à l’obligation de certification. 

Le nouveau projet de référentiel propose une définition précise du champ d’application de l’activité d’administration et d’exploitation du système d’information qui comporte précisément :

  • L’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation, par exemple à des fins d’audit, d’expertise, de déploiement ou de maintenance, amenés à accéder via le Socle d’Infrastructure HDS à l’Application métier.
  • Le maintien en condition de sécurité du Socle d’Infrastructure HDS et le centre de support au client.
  • La documentation tenue à jour de la cohérence et de la complétude des garanties de sécurité apportées par les différents acteurs contribuant à la mise en œuvre du service.

Il convient d’être vigilant tant que le projet n’est pas adopté mais on peut constater qu’en l’état les opérations de maintenance et de support des éditeurs d’applications métiers seraient explicitement exclues du périmètre de certification HDS.

  • Définition des nouvelles exigences portant sur la relation contractuelle

Notons en premier lieu que le référentiel reprend explicitement les exigences imposées par le Code de santé publique. En conséquence, le respect de ces exigences constituera un point de contrôle de l’organisme certificateur. Le référentiel actuel ne reprend pas exactement les articles du CSP.

Deuxièmement, les lieux d’hébergement proposés au client par l’hébergeur doivent être localisés dans des pays membres de l’Espace Economique Européen, ou des pays assurant un niveau de protection adéquat en vertu d’une décision d’adéquation, à l’exclusion des autres garanties (clauses contractuelles types ou BCR).

A noter que s’il reste possible de faire intervenir un opérateur soumis au Cloud Act, dans la mesure où le projet de référentiel exige seulement que l’hébergeur procède à une analyse de risques de divulgation ou d’indisponibilité des données du fait d’une réglementation extraterritoriale.

En outre, le référentiel ajoute un certain nombre de standard que le contrat d’hébergement se doit de respecter notamment en matière de :

  • Gouvernance ;
  • Gestion des évolutions techniques ;
  • Réversibilité.

Enfin, la révision du référentiel HDS veut imposer un formalisme pour la présentation des garanties du prestataire afin de :

  • standardiser la présentation des garanties pour plus de lisibilité ;
  • montrer la participation réelle de chaque acteur à la sécurité de chaque instance des données confiées ;
  • vérifier la bonne articulation entre les systèmes de management des différents acteurs.

Pour ce faire, il est indiqué que l’hébergeur devra réaliser sous forme de tableau une analyse de risques comportant les indications suivantes :

  • l’identification de l’hébergeur comme administrateur de la sécurité du service ;
  • la liste des acteurs participant au service fourni ;
  • la liste des instances des données de santé à caractère personnel utilisées ;
  • la conformité des acteurs dans la prise en compte des objectifs de sécurité pour chaque instance ;
  • la synthèse des risques résiduels.

 

Que faut-il retenir ?

  • Il est obligatoire pour les organisations ayant une activité d’hébergeur de données de santé d’être certifié HDS.
  • Un nouveau référentiel de conformité est attendu contenant des exigences strictes relatives à l’hébergement des données.
  • Les  contrats d’hébergement des données de santé devront être ainsi précisés et complétés en vue de se conformer au référentiel révisé de certification.

 

Claudia Weber, avocat fondateur et Céline Dogan, avocat en charge de l’activité santé numérique | ITLAW Avocats

Besoin d’aide dans la contractualisation ou la mise à jour de vos contrats d’hébergement de données ?

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles, de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT  pour vous accompagner dans la sécurisation de vos projets et votre compliance.

Nous contacter