Hébergement de données de santé, décryptage des évolutions à venir

 Marguerite Brac de La Perrière, Avocate Associée du Cabinet Fieldfisher, Numérique & Santé

Le 1^er est un projet d'arrêté, notifié par la Délégation au Numérique en Santé à la Commission européenne, destiné à modifier l'arrêté du 11 juin 2018 portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel. 

Le 2^nd est le projet de loi "Sécuriser et réguler l'espace numérique"(SREN), incluant des dispositions relatives à la Protection des données stratégiques et sensibles sur le marché de l’informatique en nuage impactant le régime. 

Projet d'arrêté destiné à modifier le référentiel de certification HDS

Les principales modifications apportées au référentiel ont pour objectifs de :

- clarifier les activités pour lesquelles les hébergeurs ont obtenu la certification, notamment en précisant la définition de l'activité d'administration et d'exploitation des systèmes de santé (comme n'incluant pas les éditeurs SaaS) ;

- améliorer la lisibilité des garanties apportées par l’hébergeur à chaque prestataire faisant appel à ses services ;

- clarifier les obligations contractuelles de l'hébergeur ;

- intégrer dans le référentiel de certification HDS des évolutions de la norme ISO 27001.

Par ailleurs, le risque de transfert de données hors de l'Espace économique européen (EEE) et les questions de souveraineté sont traitées via de nouvelles exigences relatives à la souveraineté et des obligations de transparence :

- stockage des données de santé sur le territoire d'un Etat partie de l'Espace économique européen ;

- Deux exigences en matière de transparence de l'hébergeur vis-à-vis de ses clients :

o Information de tout transfert ou accès distant aux données du client depuis un territoire situé hors de l'Espace économique européen (EEE) qui n'assure pas un niveau de protection des données adéquat au sens de l'article 45 du RGPD, et des mesures organisationnelles et techniques mises en œuvre pour encadrer ce transfert ;

o information d'une éventuelle sujétion à une réglementation extra-communautaire qui serait susceptible d'entraîner un risque d'accès aux données par un organisme situé dans un pays qui n'assure pas un niveau de protection des données adéquat au sens de l'article 45 du RGPD, et des mesures prises pour atténuer ce risque ;

- Une exigence de transparence vis-à-vis de clients potentiels : l'hébergeur doit rendre public et tenir à jour des informations détaillées sur les éventuels transferts de données qu'il héberge vers un pays n'appartenant pas à l'EEE et sur les mesures prises pour assurer le respect du RGPD.

S'agissant de ces obligations de souveraineté, elles sont moins exigeantes que celles du référentiel SecNumCloud V.3.2, la DNS précisant : "Dans l'attente de l'aboutissement des discussions au niveau européen sur les futurs référentiels européens (EUCS – European Cybersecurity Certification Scheme for Cloud services), le choix a été fait de ne pas s'aligner, à date, sur les exigences en termes d'immunité extraterritoriale prévues par le référentiel français dit "SecNumCloud version 3.2", adopté par l'ANSSI (agence française de sécurité des systèmes d'information)."

Pour approfondir sur les évolutions introduites au projet de référentiel, c'est ici.

Projet de Loi SREN

Le projet de loi avait fait l'objet d'un amendement, ayant provoqué de vives réactions, qui visait à modifier l'art. L1111-8 CSP et imposer une certification SecNumCloud : "À compter du 1er juillet 2024, en cas d’archivage numérique au moyen d’un service d’informatique en nuage." Cet amendement a été écarté dans la dernière version du texte. 

Le texte prévoit néanmoins des exigences de souveraineté européenne pour les données sensibles -dont les données de santé -, et de sécurité.

L’administration doit ainsi veiller à ce que le service d’informatique en nuage fourni par un prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès non autorisé par des autorités publiques d’États en dehors de l’Union européenne.

Si, à la date d’entrée en vigueur du texte, l’administration de l’État ou son opérateur a déjà engagé un projet nécessitant le recours à un service d’informatique en nuage [ne répondant pas à ces critères], une dérogation à ces exigences pourra être sollicitée, un décret viendra préciser les modalités d’application de ces exigences, notamment les critères de sécurité et de protection, y compris en termes de détention capitalistique, des données sensibles, et les conditions dans lesquelles une dérogation peut être accordée pour des projets déjà engagés.

Enfin, le régime de l'archivage électronique de données de santé s'aligne avec celui de l'hébergement, soumettant le prestataire à une obligation de certification HDS à compter d’une date fixée par décret, et au plus tard du 1er juillet 2025.