Hébergement de données de santé, décryptage des évolutions à venir
Marguerite Brac de La Perrière, Avocate Associée du Cabinet Fieldfisher, Numérique & Santé
Le 1er est un projet d'arrêté, notifié par la Délégation au Numérique en Santé à la Commission européenne, destiné à modifier l'arrêté du 11 juin 2018 portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel.
Le 2nd est le projet de loi "Sécuriser et réguler l'espace numérique"(SREN), incluant des dispositions relatives à la Protection des données stratégiques et sensibles sur le marché de l’informatique en nuage impactant le régime.
Projet d'arrêté destiné à modifier le référentiel de certification HDS
Les principales modifications apportées au référentiel ont pour objectifs de :
- clarifier les activités pour lesquelles les hébergeurs ont obtenu la certification, notamment en précisant la définition de l'activité d'administration et d'exploitation des systèmes de santé (comme n'incluant pas les éditeurs SaaS) ;
- améliorer la lisibilité des garanties apportées par l’hébergeur à chaque prestataire faisant appel à ses services ;
- clarifier les obligations contractuelles de l'hébergeur ;
- intégrer dans le référentiel de certification HDS des évolutions de la norme ISO 27001.
Par ailleurs, le risque de transfert de données hors de l'Espace économique européen (EEE) et les questions de souveraineté sont traitées via de nouvelles exigences relatives à la souveraineté et des obligations de transparence :
- stockage des données de santé sur le territoire d'un Etat partie de l'Espace économique européen ;
- Deux exigences en matière de transparence de l'hébergeur vis-à-vis de ses clients :
o Information de tout transfert ou accès distant aux données du client depuis un territoire situé hors de l'Espace économique européen (EEE) qui n'assure pas un niveau de protection des données adéquat au sens de l'article 45 du RGPD, et des mesures organisationnelles et techniques mises en œuvre pour encadrer ce transfert ;
o information d'une éventuelle sujétion à une réglementation extra-communautaire qui serait susceptible d'entraîner un risque d'accès aux données par un organisme situé dans un pays qui n'assure pas un niveau de protection des données adéquat au sens de l'article 45 du RGPD, et des mesures prises pour atténuer ce risque ;
- Une exigence de transparence vis-à-vis de clients potentiels : l'hébergeur doit rendre public et tenir à jour des informations détaillées sur les éventuels transferts de données qu'il héberge vers un pays n'appartenant pas à l'EEE et sur les mesures prises pour assurer le respect du RGPD.
S'agissant de ces obligations de souveraineté, elles sont moins exigeantes que celles du référentiel SecNumCloud V.3.2, la DNS précisant : "Dans l'attente de l'aboutissement des discussions au niveau européen sur les futurs référentiels européens (EUCS – European Cybersecurity Certification Scheme for Cloud services), le choix a été fait de ne pas s'aligner, à date, sur les exigences en termes d'immunité extraterritoriale prévues par le référentiel français dit "SecNumCloud version 3.2", adopté par l'ANSSI (agence française de sécurité des systèmes d'information)."
Pour approfondir sur les évolutions introduites au projet de référentiel, c'est ici.
Projet de Loi SREN
Le projet de loi avait fait l'objet d'un amendement, ayant provoqué de vives réactions, qui visait à modifier l'art. L1111-8 CSP et imposer une certification SecNumCloud : "À compter du 1er juillet 2024, en cas d’archivage numérique au moyen d’un service d’informatique en nuage." Cet amendement a été écarté dans la dernière version du texte.
Le texte prévoit néanmoins des exigences de souveraineté européenne pour les données sensibles -dont les données de santé -, et de sécurité.
L’administration doit ainsi veiller à ce que le service d’informatique en nuage fourni par un prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès non autorisé par des autorités publiques d’États en dehors de l’Union européenne.
Si, à la date d’entrée en vigueur du texte, l’administration de l’État ou son opérateur a déjà engagé un projet nécessitant le recours à un service d’informatique en nuage [ne répondant pas à ces critères], une dérogation à ces exigences pourra être sollicitée, un décret viendra préciser les modalités d’application de ces exigences, notamment les critères de sécurité et de protection, y compris en termes de détention capitalistique, des données sensibles, et les conditions dans lesquelles une dérogation peut être accordée pour des projets déjà engagés.
Enfin, le régime de l'archivage électronique de données de santé s'aligne avec celui de l'hébergement, soumettant le prestataire à une obligation de certification HDS à compter d’une date fixée par décret, et au plus tard du 1er juillet 2025.
Avez-vous apprécié ce contenu ?
A lire également.

Un nouveau Comex pour le Conseil du numérique en santé
30 juin 2025 - 23:46,
Actualité
- Damien Dubois, DSIHLe 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.
Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
30 juin 2025 - 00:00,
Actualité
- DSIHUne édition marquante par la richesse de ses échanges, la qualité de ses intervenants, et le renouvellement profond de sa communauté.

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie
27 juin 2025 - 14:47,
Actualité
- DSIHL’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...