Accueil > Financement et politiques publiques > Nouveau référentiel HDS : ce qu’il va changer pour l’écosystème de la santé Nouveau référentiel HDS : ce qu’il va changer pour l’écosystème de la santé La Commission européenne avait jusqu’au 6 mars 2024 pour présenter ses objections au projet d’arrêté qui modifie les référentiels d’accréditation et de certification HDS (Hébergeurs de Données de Santé). Son silence valant accord, ce projet va dans les jours prochains être publié au Journal officiel pour une entrée en vigueur en septembre prochain. Un défi pour les hébergeurs et leurs clients, selon Xavier Pican et Laurène Zaggia, respectivement associé et counsel au sein du cabinet Osborne Clarke Par Romain Bonfillon. Publié le 06 mars 2024 à 16h35 - Mis à jour le 07 mars 2024 à 12h15 Ressources La certification des hébergeurs de données de santé (HDS), telle que définie par le décret n° 2018-137 du 26 février 2018, permet de garantir la sécurité de l’hébergement des données de santé en France. Compte tenu de l’accroissement des risques sécuritaires et de la volonté de la France de défendre sa souveraineté en matière de données de santé, cette certification a fait l’objet d’une modification engagée il y a deux ans. Le 6 mars 2024 marque la fin de la phase de construction des référentiels qui entreront en vigueur en septembre prochain (cf. encadré). Dans son esprit, observe Xavier Pican, avocat dans le département IP/IT du cabinet Osborne Clarke, “ce nouveau référentiel est dans le droit fil du RGPD. Il part du principe que le RGPD a été digéré par les organisations. Il pousse donc un peu plus loin les exigences en termes de transparence, de niveau de conformité des contrats, de souveraineté”. Un hébergement forcément en Europe La version révisée du référentiel HDS ajoute quatre exigences relatives à la souveraineté des données (exigences 28 à 31). La première, la plus contraignante, exige que l’hébergement physique des données de santé soit réalisé exclusivement sur le territoire d’un pays situé au sein de l’EEE (l’Espace Économique Européen, comprenant les pays de l’UE, la Norvège, l’Islande et le Liechtenstein). Laurène Zaggia, avocate au sein du cabinet Osborne Clarke, rappelle qu’avant, “lorsqu’on hébergeait des données de santé dans le cadre d’un parcours de soin, nous avions l’obligation d’avoir recours à des serveurs HDS, mais ces serveurs pouvaient se trouver dans le monde entier. Amazon, par exemple, propose des serveurs HDS localisés dans l’Etat de l’Ohio, aux Etats-Unis”. Ces hébergeurs devront donc désormais avoir leurs serveurs au sein de l’EEE pour bénéficier de la certification HDS. Les sanctions encourues par les hébergeurs sont dissuasives, note Laurène Zaggia : “ si à compter de l’entrée en vigueur du nouveau référentiel, les serveurs se trouvent toujours hors de l’UE, non seulement les sanctions de la Cnil s’appliquent mais aussi, selon l’article L.1115-1 du Code de la santé publique, le responsable de l’hébergement est passible de 3 ans d’emprisonnement et 45 000 euros d’amende”. Un calendrier serré “Lorsque le projet de référentiel est paru en décembre 2023, il y a eu un petit vent de panique chez nos clients, des pharmaco notamment, qui se sont demandé comment organiser le transfert de toutes leurs données sur des serveurs européens”, note Laurène Zaggia. Le délai de mise en conformité n’est en effet que de 6 mois à compter de la parution au JO de l’arrêté modifiant les référentiels d’accréditation et de certification HDS. “C’est objectivement très court”, relève Xavier Pican, précisant que “le problème est essentiellement technique : faire de la migration de volumes de données considérables de serveurs à serveurs, reconsidérer ces contrats, … Il y a également un sujet d’inquiétude sur les coûts que cela va générer pour les entreprises concernées”. “Si certains hébergeurs vont prendre les coûts de changement de serveur à leur frais, d’autres vont aussi les imputer sur les clients”, fait remarquer Laurène Zaggia. Et Xavier Pican d’ajouter : “pour peu que les contrats aient été mal négociés au départ, sans anticiper ce type de changement, et pour peu que l’acteur de santé ne soit pas une grosse société (le pouvoir de négociation n’est pas le même entre un grand laboratoire et une start-up en biotech par exemple) les coûts pourraient être élevés”. Un devoir d’information sur les risques Les exigences 29 et 30 du nouveau référentiel HDS stipulent qu’en cas d’accès distant aux données depuis un pays tiers à l’UE, par l’hébergeur ou l’un de ses sous-traitants, “l’hébergeur doit en informer ses clients dans le contrat et lui préciser les risques associés, ainsi que les mesures techniques et juridiques mises en œuvre pour les limiter” . Beaucoup d’hébergeurs de données de santé pourraient être concernés par ce nouveau devoir d’information. “Tous les très grands opérateurs d’hébergement internationaux font du SAV, de la maintenance et du support de leurs hébergements, pas seulement en Europe mais depuis des pays qui sont plus “exotiques” que les Etats-Unis. A ce titre-là, chaque opérateur d’hébergement mondial utilise des ressources techniques qui vont toucher à des données de santé qui ne sont pas en Europe”, explique Xavier Pican. “Cette transparence et ce devoir d’information sont des principes que l’on a depuis le RGPD, fait remarquer Laurène Zaggia, mais le devoir d’information va aujourd’hui un peu plus loin puisque dans le nouveau texte, les hébergeurs vont devoir donner le nom de ceux qui vont accéder aux données et leur localisation”. Un mapping plus précis…et public Au travers de l’exigence 31, le nouveau référentiel oblige l’hébergeur à rendre public, les éventuels transferts des données qu’il héberge vers un pays n’appartenant pas à l’EEE. Concrètement, les hébergeurs vont devoir faire un mapping de tous leurs sous-traitants qui peuvent avoir accès aux serveurs. “Il y a 3 niveaux en maintenance et souvent les équipes sur place procèdent au niveau 1 mais dès que les problèmes informatiques deviennent plus compliqués (niveau 3), les ressources en place se trouvent soit au sein de la maison mère aux Etats-Unis, soit en Inde, pour assurer un back up permanent”, observe Laurène Zaggia. Aussi, note Xavier Pican, “les très grands hébergeurs ont parfois des infrastructures en propre, mais aussi des infrastructures qu’ils louent à d’autres sociétés, comme Equinix. Ces acteurs, qui possèdent des structures d’hébergement, vont eux-aussi devoir faire tout le mapping des prestataires qui peuvent, directement ou indirectement, accéder à de la donnée. Il n’y a aucune raison pour que le prestataire “génie civil” accède à de la donnée, contrairement aux équipes sur place qui, elles, doivent y accéder.” Dans cette exigence n°31, “il est également dit que les hébergeurs doivent informer les clients mais, aussi et surtout, qu’ils doivent rendre publique cette information sur leur site web. Nous sommes donc censés trouver une cartographie des transferts de données et des accès depuis l’étranger sur le site internet des hébergeurs”. Des précisions sur le périmètre des activités d’hébergement Les modifications apportées au référentiel de certification HDS avaient aussi pour but de clarifier le périmètre des types d’activité d’hébergement, notamment l’activité 5, qui concerne l’administration et l’exploitation. Laurène Zaggia rappelle qu’il y avait “une hésitation sur cette activité : les éditeurs SaaS se demandaient si la simple administration et exploitation de serveur rendait obligatoire la certification HDS. Une précision a donc été apportée sur cette activité 5, considérant qu’il s’agissait de “la maîtrise des interventions sur les ressources mises à la disposition du client de l’hébergeur”. En ajoutant que cette activité recouvre le processus d’attribution, la sécurisation de la procédure d’accès, la collecte et la conservation des traces et la validation préalable des interventions, on définit beaucoup plus précisément ce qu’est cette activité 5”. HDS vs SecNumCloud Le référentiel HDS deuxième version ne prévoit pas, à date, un alignement sur les exigences en termes d’immunité extraterritoriale proposées par le référentiel SecNumCloud V3.2. Pour des acteurs comme Alain Issarni, CEO du cloud NumSpot, “c’est insuffisant. Les données de santé font partie des données les plus sensibles et les patients sont particulièrement attentifs à la protection de leur données de santé. Il est surprenant de ne pas faire profiter ces données de santé du plus haut niveau de protection existant”. L’Agence du numérique en santé signale dans un communiqué du 8 décembre dernier que “ce point sera notamment revu à l’issue des discussions sur les futurs référentiels européens (European Cybersecurity Certification Scheme for Cloud services – EUCS) et au plus tard en 2027”, ajoutant que “la prochaine révision de référentiel suivra également l’évolution de la maturité des acteurs du marché”. La nouvelle certification HDS en 6 dates : Début 2022 : la Délégation du Numérique en Santé et l’Agence du Numérique en Santé lancent une démarche de révision du référentiel de certification HDS. Fin 2022 : la nouvelle version du référentiel fait l’objet d’une concertation publique. L’ANS reçoit plus de 250 contributions qui ont été analysées et traitées. Le 13 juillet 2023 : la Cnil rend un avis favorable au projet de référentiel de certification révisé 5 décembre 2023 : la Délégation au numérique en santé notifie à la Commission européenne un projet d’arrêté qui modifie les référentiels d’accréditation et de certification HDS. À l’issue d’une période de statu quo de 3 mois, soit le 6 mars 2024, cet arrêté doit être publié au Journal officiel. 6 mars 2024 : À date, l’arrêté n’est pas paru au JO mais l’Agence du numérique en santé précisait le 8 décembre dernier que cette publication doit intervenir “au cours du premier trimestre 2024”. Quoi qu’il en soit, la Commission européenne n’ayant pas prononcé d’objection au projet d’arrêté, le texte est désormais figé. Septembre 2024 : Les organismes certificateurs doivent avoir adapté leur procédure de certification au nouveau référentiel HDS. Ils ne peuvent donc plus délivrer que des certificats de conformité au nouveau référentiel. Romain Bonfillon cloudCommission EuropéenneCybersécuritéDonnées de santéGAFAMHDShébergeursMinistèreRèglementaire Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind