Hébergement de données de santé, vers un nouveau référentiel de certification

Le projet propose des définitions, notamment concernant la fameuse activité 5 « L'administration et l'exploitation du système d'information contenant les données de santé » de l’art. R1111-9 du code de la santé publique, ainsi définie comme articulée autour de :

- « L’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation (ie. l’hébergeur), par exemple à des fins d’audit, d’expertise, de déploiement ou de maintenance, amenés à accéder via le socle d’infrastructure HDS à l’Application métier » (.) ;

- « Le maintien en condition de sécurité du Socle d’Infrastructure HDS [l’application métier étant exclue par la définition du Socle d’Infrastructure] et le centre de support au Client » (.) ;

- « La documentation tenue à jour de la cohérence et de la complétude des garanties de sécurité apportées par les différents acteurs contribuant à la mise en œuvre du service. » (.)

Ces dispositions ont le mérite d’exclure clairement de cette activité 5, les opérations de maintenance et de support des éditeurs d’applications métiers.

Le périmètre d’application est défini comme concernant les « organisations ayant une activité d’hébergeur de données de santé » qui « contribuent notamment à la mise en œuvre d’un service numérique en santé », rattachant ainsi par son objet commun « service numérique en santé » le régime relatif à l’hébergement de données de santé, à celui ayant donné force législative aux référentiels de sécurité et d’interopérabilité, destiné à garantir l'échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel[2]. 

Le projet de référentiel porte également des précisions sur le champ d’application sans évolution à cet égard, sauf toutefois des précisions concernant ce qui ne constitue pas une activité d’hébergement, ou exception de « courte période » de l’art. R1111-8-8 du code de la santé publique : le traitement fugitif des données lorsqu’elles transitent sur un réseau public, et l’ « exception de transcription visant principalement les services d’impression de courriers ou de saisie de comptes-rendus, que ce soit par des opérateurs ou de la reconnaissance vocale ».

Le projet introduit également des exigences supplémentaires concernant l’appréciation des risques, invitant à cet égard l’organisation à considérer les risques encourus par la personne concernée en cas de perte d’intégrité, de confidentialité ou de disponibilité, notamment la perte de chance, les risques de réputation ou de discrimination, et prendre en compte les risques encourus par les personnes et organisation assurant la prise en charge médicale, y compris leur responsabilité médicale et les risques de réputation. L’exigence propose une liste minimum d’évènements devant être envisagés.

Le projet de référentiel procède par renvoi à certaines exigences de l’ISO 27001 et du SecNumCloud (avec l’ajout d’une matrice de correspondance avec le référentiel SecNumCloud), mais plus ni de l’ISO 20000, ni de l’ISO 27018. 

En outre, il introduit un rappel des exigences contractuelles, dont celles mentionnées à l’art. R1111-11 du Code de la Santé Publique, et de nouvelles concernant notamment la souveraineté des données : l’hébergeur doit permettre au client de « choisir dans la liste des lieux d’hébergement proposés par l’hébergeur, les pays dans lesquels ces données pourront être effectivement traitées », étant précisé que les lieux d’hébergement proposés au Client par l’hébergeur doivent être localisés dans des pays membres de l’Espace Economique Européen, ou des pays assurant un niveau de protection équivalent adéquat en vertu d’une décision d’adéquation, à l’exclusion des autres garanties (clauses contractuelles types ou BCR). Si la légalité de ces disposition peut interroger, pour autant elles n’excluent pas le recours à des opérateurs soumis à des lois extra-communautaires (on pense au Cloud Act), sous réserve que le client et le responsable de traitement soient informés des lois extra-communautaires auxquelles l’hébergeur est soumis, et des mesures mises en œuvre par l’hébergeur pour atténuer les risques de violation des données de santé à caractère personnel induits par ces lois, et communique la description des risques résiduels.

S’agissant de la réversibilité, outre l’engagement de restituer les données, des mentions obligatoires minimum devront désormais figurer au contrat dont l’engagement de destruction des copies à l’issue de la restitution, les procédures, coûts et délais pour cette restitution et la destruction des copies, les formats de restitution, lisibles et exploitables à des fins de portabilité des données de santé, et le cas échéant, les modalités permettant le déplacement des machines virtuelles (ou conteneurs).

Les contrats d’hébergement de données de santé devront ainsi être précisés et complétés en vue du renouvellement de la certification hébergeur de données de santé. 

À lire aussi : Nouveau référentiel HDS Hébergement de Données de Santé : la souveraineté est-elle sauvée ?

A vos claviers, 

[1] Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, art. 11

[2] L1470-5 CSP

L'auteur

Marguerite Brac de La Perrière est avocate, associée du cabinet LERINS, experte en Santé Numérique. Elle accompagne les acteurs de la santé dans leur conformité réglementaire, leur développement et leur croissance, notamment en matière de traitements de données de santé et d’utilisation secondaire, et de contrats informatiques.
[email protected]