La DNS précise à l’Europe ce que sera le futur référentiel HDS

La Délégation au numérique en santé (DNS) a notifié le 5 décembre à la Commission européenne un projet d’arrêté qui modifie les référentiels d’accréditation et de certification HDS (hébergement de données de santé à caractère personnel). Ce projet d’arrêté précise notamment que le nouveau référentiel HDS introduira quatre exigences relatives à la souveraineté des données : le stockage des données de santé devra se faire sur le territoire d’un État faisant partie de l’Espace économique européen (EEE) ; l’hébergeur devra informer ses clients de tout transfert ou accès distant de ses données depuis un territoire hors EEE qui n’assure pas un niveau de protection des données adéquat, au sens du RGPD ; les informer de toute sujétion à une réglementation extra-communautaire qui serait susceptible d’entraîner un tel risque ; l’hébergeur devra enfin rendre public les informations détaillées sur d’éventuels transferts de données qu’il héberge vers un pays hors EEE.

À noter : La DNS précise dans cette notification que les futurs référentiels européens (EUCS – European Cybersecurity Certification Scheme for Cloud services) ont, à date, choisi de ne pas s’aligner sur le référentiel SecNumCloud. En France, les débats actuels autour de la loi SREN portent précisément sur la nature du référentiel – HDS ou SecNumCloud – à imposer aux fournisseurs de solutions cloud traitant de données sensibles.