Nouveau référentiel HDS Hébergement de Données de Santé : la souveraineté est-elle sauvée ?

Maître Alexandra ITEANU, MARDI 21 MAI 2024

Le contexte – une certification HDS ouverte à tous les prestataires quelle que soit leur nationalité… mais qui n’empêche pas les ingérences extra-européennes

Héberger des données de santé n’est pas chose aisée. Il y a tout d’abord les contraintes posées par le règlement UE n°2016/679 dit « RGPD », qui impose de lourdes garanties en cas de traitement de données de santé ; auxquelles s’ajoutent les dispositions du Code de la santé publique, dont fait partie l’obligation d’obtenir en France la certification Hébergeur de Données de Santé, dite « certification HDS ». Cette certification, délivrée par des organismes de certification pour une période de 3 ans renouvelable, vise à « renforcer la protection des données de santé et de construire un environnement de confiance autour de l'eSanté et du suivi des patients »[1].

Cette certification, bien que spécifiquement française, est accessible à tous les acteurs du marché, même étrangers, qui souhaiteraient proposer leurs services d’hébergement en France. Sans grande surprise, les acteurs Cloud américains les plus connus du marché ont obtenus cette certification HDS, notamment les sociétés Microsoft Corporation et Amazon.

Pourtant, bien que cette certification garantisse aux utilisateurs un niveau de sécurité techniqueélevée, elle ne permet pas d’exclure tout risque d’ingérences étatiques.

C’est dans ce contexte qu’a été vivement critiqué le choix de la société Microsoft Incorporation en tant qu’hébergeur HDS de la Plateforme des données de santé Health Data Hub, dont la prestation d’hébergement a récemment été reconduite et validée par la CNIL[2].

Nouvelle version du référentiel HDS : les nouveautés en matière de souveraineté

La nouvelle version du référentiel HDS prend en compte cette problématique et ajoute de nouvelles exigences directement en lien avec la souveraineté des données[3].

Ces exigences sont précisées au Chapitre 7 du nouveau référentiel HDS, et sont au nombre de quatre :

L’exigence n°28 prévoit que l’hébergement physique des données de santé doit être réalisé exclusivement sur le territoire d’un pays situé au sein de l’Espace Economique Européen (« EEE ») ;

L’exigence n°29 prévoit que dans le cas où la prestation implique un accès à distance depuis un pays qui ne fait pas parti de l’EEE, cet accès doit être fondé sur une décision d’adéquation de la Commission européenne (article 45 du RGPD) ;

L’exigence n°30 prévoit qu’en cas de soumission de l’hébergeur ou de son sous-traitant à des législations non-européennes qui n’assurent pas un niveau de protection adéquat au sens de l’article 45 du RGPD, l’hébergeur doit le signaler à ses clients et leur exposer les risques potentiels d’accès non autorisés ;

L’exigence 31 prévoit une obligation de l’hébergeur de rendre publi sur son site internet une cartographie des éventuels transferts de données qu’il héberge vers un pays extérieur à l’espace économique européen.

Des exigences vidées de sens depuis que les Etats-Unis sont considérés pays adéquat par la Commission européenne

Deux de ces exigences sur quatre font référence à des hébergeurs hors Union Européenne qui se trouveraient dans des pays considérés comme « adéquat » par la Commission européenne, c’est-à-dire avec un niveau de protection équivalent au RGPD. Ce qui signifie qu’il suffirait d’être dans un pays considéré comme « adéquat » pour être exempté de leur application. Et là est tout le problème.

Depuis le 10 juillet 2023, et après deux invalidations consécutives[4], les Etats-Unis sont désormais de nouveau considérés comme « pays adéquat » par la Commission européenne.

Ce qui signifie qu’en pratique, les hébergeurs Cloud américains, qui ont la plus grosse part de marché en terme d’hébergement Cloud en France, se trouvent exempter d’appliquer la moitié des nouvelles exigences du référentiel HDS.

Bien qu’il faille saluer ces exigences supplémentaires, qui augmentent tout de même le niveau de protection des données de santé des citoyens européens, elles sont cependant insuffisantes au regard des risques d’ingérences représentées par des lois extra-territoriales, notamment Etats-Uniennes.

Ce qui est reproché à Microsoft Corporation dans le cadre du Health Data Hub, et plus généralement aux sociétés américaines, c’est de permettre, quelle que soit la localisation de leurs serveurs, et quel que soit le contrat conclu, aux autorités américaines d’avoir les moyens légaux d’accéder et de capter les données de santé des citoyens européens. Ces ingérences sont rendues possibles par les lois américaines, notamment FISA[5] et CLOUD ACT[6].

Les limites de la Loi en matière de souveraineté… mais l’éveil des citoyens sur ces sujets – to be continued ?

Cette nouvelle réglementation dont la finalité est vertueuse et ne peut être que saluée, montre une fois de plus les limites de la Loi lorsqu’il s’agit de souveraineté. Il reste cependant un dernier accroc au système mis en place et il n’est pas un détail. C’est la réaction des personnes concernées. Celles-ci ont des droits qu’elles peuvent faire rappeler aux acteurs de la filière, au travers des autorités de contrôles (comme la CNIL) mais aussi et peut-être surtout devant les Tribunaux. Avec la montée générale de la sensibilisation des populations à la défense de leurs données à caractère personnel, et plus particulièrement données de santé, on n’est sans doute pas à la fin de ce feuilleton à rebondissements.

[1] https://esante.gouv.fr/produits-services/hds

[2] Validation par la CNIL de l'hébergement du HDHValidation par la CNIL de l'hébergement du HDH

Expertises des systèmes d'information - 1 mars 2024 – Alexandra Iteanu

[3] Publiée au journal officiel le 16 mai 2024, l’Arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 apporte plusieurs modifications majeures à la version antérieure du référentiel HDS.

[4] Safe Harbor et Privacy Shield

[5] Foreign Intelligence Surveillance Act, Section 102

[6] Clarifying Lawful Overseas Use of Data Act (H.R. 4943)

#HDS#données de santé#hébergement#RGPD#cloud#microsoft#cnil#data#health#hébergeurs#protection des données