Hébergement des données de santé externalisé : de nouvelles exigences pour un hébergement conforme

 Par Alice Robert et Alexandre Fievee, Derriennic Associés

La certification HDS, pourquoi ?

Toute personne physique ou morale à l’origine de la production ou du recueil de données de santé à caractère personnel à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, ou le patient lui-même, le cas échéant, doivent faire appel à un prestataire certifié lorsqu’ils externalisent l’hébergement de telles données[1]. 

Il s’agit de « certifier que les hébergeurs de données de santé mettent en œuvre des systèmes de gestion de la sécurité des systèmes d’information à l’état de l’art des normes internationales ».

La procédure de certification repose alors sur une évaluation de conformité dudit prestataire à un certain nombre d’exigences – selon le type d’activité d’hébergement réalisé (6 au total) - regroupées dans un référentiel, « référentiel de certification HDS », dont la dernière version avait été approuvée par arrêté du 11 juin 2018. Tout certificat de conformité HDS est délivré pour une durée de 3 ans, étant précisé qu’un audit de surveillance annuel est effectué.

Une révision du référentiel de certification HDS aux enjeux multiples

Ce référentiel HDS a récemment fait l’objet de mises à jour afin de répondre à un triple objectif : 

• Améliorer la lisibilité des garanties apportées par un hébergeur certifié sur les prestations réalisées pour un client donné (professionnel de santé, patient…) ;
• Clarifier les obligations contractuelles de l’hébergeur ;  
• Renforcer les exigences de protection des données personnelles au regard des transferts en dehors de l’Union européenne.

C’est dans ce cadre, qu’un nouveau référentiel de certification HDS a été élaboré, puis approuvé par un arrêté du 26 avril 2024, publié le 16 mai dernier.

Focus sur des nouvelles exigences du référentiel de certification HDS

Le nouveau référentiel HDS contient de nombreuses modifications et précisions d’exigences par rapport au référentiel de 2018. Parmi les nouveautés apportées, trois points méritent une attention particulière.

Le premier point concerne l’activité 5 dite « d’administration et d’exploitation d’applications du système d’information contenant des données de santé », une des 6 activités d’hébergement concernées par la certification et qui n’était pas sans poser de difficultés d’appréciation.  

Le nouveau référentiel en propose une définition détaillée comme suit :  l’activité 5 « consiste en la maitrise des interventions sur les ressources mises à la disposition du client de l’Hébergeur ». Aussi, elle « comprend l’intégralité des activités annexes suivantes » :

• « La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires » ; 
• « La sécurisation de la procédure d’accès » ; 
• « La collecte et la conservation des traces des accès effectués et de leurs motifs » ; 
• « La validation préalable des interventions (plan d’intervention, processus d’intervention) ». 

« La validation des interventions consiste à s’assurer qu’elles ne dégradent pas la sécurité de l’information hébergée ni pour le client concerné ni pour les autres clients de l’Hébergeur. Cette validation peut être effectuée dans les cas suivants : » (i) « a priori, pour les interventions que le client pourrait effectuer en autonomie » et (ii)« lors de la demande d’intervention lorsqu’il sollicite l’Hébergeur ».

Le référentiel rappelle que ces opérations « sont intrinsèques et obligatoires » aux activités 1 à 4, de sorte que c’est seulement lorsque l’hébergeur exerce uniquement ces opérations qu’il doit être certifié pour l’activité 5.

Le deuxième point concerne des exigences en matière de souveraineté des données. 

Le référentiel requiert effectivement désormais que l’hébergement physique des données personnelles de santé soit effectué exclusivement dans l’Espace Economique Européen (EEE). En outre, si l’hébergeur ou ses sous-traitants (i) accèdent à distance, depuis un pays tiers à l’EEE, aux données, ou (ii) sont soumis à des lois d’un pays tiers n’assurant par un niveau de protection adéquat au sens du RGPD, alors l’hébergeur « doit en informer ses clients dans le contrat et lui préciser les risques associés, ainsi que les mesures techniques et juridiques mises en œuvre pour les limiter ». Par ailleurs, l’hébergeur a l’obligation de publier, sur son site internet, une cartographie « des éventuels transferts des données qu’il héberge vers un pays n’appartenant pas à l’EEE ». 

Le troisième et dernier point concerne les exigences en termes de sécurité, le référentiel précisant « l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI » et intégrant des évolutions de la norme ISO 27001.

Quel calendrier pour le nouveau référentiel HDS ? 

Ce nouveau référentiel entre en vigueur le 16 novembre 2024. Il sera ainsi applicable aux hébergeurs qui présenteront une demande de certification (qu’il s’agisse de premières demandes de certification ou de demandes de renouvellement d’une telle certification), à compter de cette date. Pour les hébergeurs déjà certifiés, ils devront se conformer à ce nouveau référentiel au plus tard le 16 mai 2026.

Il convient donc, dès à présent, de réaliser un audit des activités d’hébergement des données de santé externalisées afin de définir et de mettre en œuvre, dans les délais, un plan de mise en conformité.

[1] Article L.1111-8 du Code de la santé publique.