Publicité en cours de chargement...
Hébergement de données de santé, vers un nouveau référentiel de certification
Le projet propose des définitions, notamment concernant la fameuse activité 5 « L'administration et l'exploitation du système d'information contenant les données de santé » de l’art. R1111-9 du code de la santé publique, ainsi définie comme articulée autour de :
- « L’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation (ie. l’hébergeur), par exemple à des fins d’audit, d’expertise, de déploiement ou de maintenance, amenés à accéder via le socle d’infrastructure HDS à l’Application métier » (.) ;
- « Le maintien en condition de sécurité du Socle d’Infrastructure HDS [l’application métier étant exclue par la définition du Socle d’Infrastructure] et le centre de support au Client » (.) ;
- « La documentation tenue à jour de la cohérence et de la complétude des garanties de sécurité apportées par les différents acteurs contribuant à la mise en œuvre du service. » (.)
Ces dispositions ont le mérite d’exclure clairement de cette activité 5, les opérations de maintenance et de support des éditeurs d’applications métiers.
Le périmètre d’application est défini comme concernant les « organisations ayant une activité d’hébergeur de données de santé » qui « contribuent notamment à la mise en œuvre d’un service numérique en santé », rattachant ainsi par son objet commun « service numérique en santé » le régime relatif à l’hébergement de données de santé, à celui ayant donné force législative aux référentiels de sécurité et d’interopérabilité, destiné à garantir l'échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel[2].
Le projet de référentiel porte également des précisions sur le champ d’application sans évolution à cet égard, sauf toutefois des précisions concernant ce qui ne constitue pas une activité d’hébergement, ou exception de « courte période » de l’art. R1111-8-8 du code de la santé publique : le traitement fugitif des données lorsqu’elles transitent sur un réseau public, et l’ « exception de transcription visant principalement les services d’impression de courriers ou de saisie de comptes-rendus, que ce soit par des opérateurs ou de la reconnaissance vocale ».
Le projet introduit également des exigences supplémentaires concernant l’appréciation des risques, invitant à cet égard l’organisation à considérer les risques encourus par la personne concernée en cas de perte d’intégrité, de confidentialité ou de disponibilité, notamment la perte de chance, les risques de réputation ou de discrimination, et prendre en compte les risques encourus par les personnes et organisation assurant la prise en charge médicale, y compris leur responsabilité médicale et les risques de réputation. L’exigence propose une liste minimum d’évènements devant être envisagés.
Le projet de référentiel procède par renvoi à certaines exigences de l’ISO 27001 et du SecNumCloud (avec l’ajout d’une matrice de correspondance avec le référentiel SecNumCloud), mais plus ni de l’ISO 20000, ni de l’ISO 27018.
En outre, il introduit un rappel des exigences contractuelles, dont celles mentionnées à l’art. R1111-11 du Code de la Santé Publique, et de nouvelles concernant notamment la souveraineté des données : l’hébergeur doit permettre au client de « choisir dans la liste des lieux d’hébergement proposés par l’hébergeur, les pays dans lesquels ces données pourront être effectivement traitées », étant précisé que les lieux d’hébergement proposés au Client par l’hébergeur doivent être localisés dans des pays membres de l’Espace Economique Européen, ou des pays assurant un niveau de protection équivalent adéquat en vertu d’une décision d’adéquation, à l’exclusion des autres garanties (clauses contractuelles types ou BCR). Si la légalité de ces disposition peut interroger, pour autant elles n’excluent pas le recours à des opérateurs soumis à des lois extra-communautaires (on pense au Cloud Act), sous réserve que le client et le responsable de traitement soient informés des lois extra-communautaires auxquelles l’hébergeur est soumis, et des mesures mises en œuvre par l’hébergeur pour atténuer les risques de violation des données de santé à caractère personnel induits par ces lois, et communique la description des risques résiduels.
S’agissant de la réversibilité, outre l’engagement de restituer les données, des mentions obligatoires minimum devront désormais figurer au contrat dont l’engagement de destruction des copies à l’issue de la restitution, les procédures, coûts et délais pour cette restitution et la destruction des copies, les formats de restitution, lisibles et exploitables à des fins de portabilité des données de santé, et le cas échéant, les modalités permettant le déplacement des machines virtuelles (ou conteneurs).
Les contrats d’hébergement de données de santé devront ainsi être précisés et complétés en vue du renouvellement de la certification hébergeur de données de santé.
À lire aussi : Nouveau référentiel HDS Hébergement de Données de Santé : la souveraineté est-elle sauvée ?
A vos claviers,
[1] Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, art. 11
[2] L1470-5 CSP
L'auteur
Marguerite Brac de La Perrière est avocate, associée du cabinet LERINS, experte en Santé Numérique. Elle accompagne les acteurs de la santé dans leur conformité réglementaire, leur développement et leur croissance, notamment en matière de traitements de données de santé et d’utilisation secondaire, et de contrats informatiques.
[email protected]
Avez-vous apprécié ce contenu ?
A lire également.

L’entrainement à la gestion de crise cyber : simuler pour développer les bons réflexes
16 mai 2025 - 15:49,
Tribune
- Weliom, Manon DALLEAU & Kévin DELMOTTELes établissements sanitaires ont depuis 2023 l’obligation de réaliser des exercices de gestion de crise cyber chaque année. Quels sont les objectifs de ces entraînements en condition réelle et quels en sont les bénéfices ?

Mass Reading : la nouvelle technologie qui simplifie le circuit du médicament
16 mai 2025 - 13:04,
Communiqué
- Softway MedicalRenforcement de l’efficacité opérationnelle, sécurisation du système informatique, rationalisation des interfaces et des installations, réduction du nombre de prestataires et des contrats de maintenance : avec le Mass Reading, le Groupe Softway Medical présente une innovation majeure dans la gestion...

SantExpo 2025 : La Poste Santé & Autonomie accélère l’innovation et dévoile sa nouvelle stratégie Data Centrée
16 mai 2025 - 12:18,
Communiqué
- La Poste Santé & AutonomieÀ l’occasion de SantExpo 2025, La Poste Santé & Autonomie réaffirme son ambition : conjuguer proximité humaine et excellence numérique pour améliorer concrètement la qualité de vie des professionnels de santé comme des patients.

Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data
14 mai 2025 - 16:59,
Communiqué
- ANAPSylvain Delair, directeur d’hôpital, prend la tête de la nouvelle cellule Data de l’Anap. Après avoir créé la Direction Data du CHU de Grenoble, il met son expertise au service de l’ensemble des établissements en contribuant à renforcer l’offre Data de l’Anap.