Evolution importante des référentiels de certification et d’accréditation de l’hébergement de données de santé (HDS)

08/12/2023

La certification des hébergeurs de données de santé (HDS - Décret n° 2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel) permet de garantir la sécurité de l’hébergement des données de santé en France. C’est un des premiers leviers de régulation du numérique en santé. L’objectif est de certifier les hébergeurs mettant en œuvre des systèmes de gestion de la sécurité des systèmes d’information à l’état de l’art des normes internationales.

C’est un acquis majeur pour la confiance des patients et des professionnels.

A ce jour, 284 acteurs ont été certifiés. Neuf organismes accrédités par le comité français d’accréditation (COFRAC) ont procédé à ces certifications.

Cinq ans après la mise en œuvre de cette certification, la Délégation du Numérique en Santé et l’Agence du Numérique en Santé ont lancé une démarche de révision du référentiel de certification HDS début 2022. 

Cette démarche a associé la Commission nationale de l’informatique et des libertés (CNIL), le Haut Fonctionnaire de Défense et de Sécurité du ministère de la santé (HFDS), ainsi que les fédérations d’industriels de l’écosystème et les organismes certificateurs. Cette nouvelle version du référentiel a fait l’objet d’une concertation publique fin 2022. L’ANS a reçu plus de 250 contributions qui ont été analysées et traitées. 

A l’issue de plusieurs échanges avec la CNIL, celle-ci a rendu un avis favorable au projet de référentiel de certification révisé le 13 juillet 2023.


Les modifications apportées au référentiel de certification HDS

En intégrant les principales contributions, cette nouvelle version du référentiel de certification HDS permet de :

  • Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ; 
  • Clarifier le périmètre des types d’activité d’hébergement - notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ; 
  • Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI. 
  • Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.


Focus sur l’ajout d’exigences relatives à la souveraineté des données 

La version révisée du référentiel HDS ajoute quatre exigences relatives à la souveraineté des données (exigences 28 à 31) :

  • (Exigence 28) L’hébergement physique des données de santé doit être réalisé exclusivement sur le territoire d’un pays situé au sein de l’Espace Economique Européen – EEE - (Union Européenne – UE avec la Norvège, l’Islande et le Liechtenstein), ce qui n’était pas une exigence requise jusqu’alors dans HDS. Sans être suffisante pour garantir totalement leur sécurité, cette exigence de localisation apporte néanmoins des garanties importantes en termes de protection des données et permet de renforcer la confiance des patients et professionnels dans le numérique en santé ; 
  • (Exigences 29 et 30) En cas d’accès distant aux données depuis un pays tiers à l’UE, par l’hébergeur ou l’un de ses sous-traitants, ou en cas de soumission de ces derniers à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD (voir la carte  de la CNIL), alors l’hébergeur doit en informer ses clients dans le contrat et lui préciser les risques associés, ainsi que les mesures techniques et juridiques mises en œuvre pour les limiter ;
  • (Exigence 31) Obliger l’hébergeur à rendre public, sur son site internet, une cartographie des éventuels transferts des données qu’il héberge vers un pays n’appartenant pas à l’EEE

Il est à noter que le référentiel révisé ne prévoit pas, à date, un alignement sur les exigences en termes d’immunité extraterritoriale proposées par le référentiel SecNumCloud V3.2 (notamment celles du paragraphe 19.6). Ce point sera notamment revu à l’issue des discussions sur les futurs référentiels européens (European Cybersecurity Certification Scheme for Cloud services - EUCS) et au plus tard en 2027.  La prochaine révision de référentiel suivra également l’évolution de la maturité des acteurs du marché.  

Les modifications apportées au référentiel d’accréditation des organismes certificateurs

Corollaire du référentiel HDS, le référentiel d’accréditation, rédigé en collaboration avec le COFRAC, décrit le processus d’accréditation des organismes de certification. Il intègre notamment les retours d’expériences des auditeurs qui ont été recueillis lors d’ateliers dédiés. 

Les principales évolutions, concernent les mises à jour en lien avec l’évolution de la norme ISO 27001, l’harmonisation des points en miroir du référentiel HDS (définition, références normatives, chapitre…) et la mise à jour des durées des audits. 

Calendrier d’entrée en vigueur des nouveaux référentiels

Le projet d’arrêté approuvant la version révisée des deux référentiels vient d’être notifié à la Commission européenne : à l’issue d’une période de statu quo de 3 mois, il sera publié au Journal officiel.

A compter de la publication de l’arrêté approuvant les référentiels qui devrait intervenir au cours du premier trimestre 2024, les organismes certificateurs bénéficieront d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS. 

Ce nouveau référentiel sera applicable aux demandes de certificat de conformité et aux demandes de renouvellement présentées aux organismes certificateur 6 mois à partir de la publication de l'arrêté, soit au début du deuxième semestre 2024. A l’issue de ce délai de six mois, les organismes certificateurs ne pourront donc plus délivrer que des certificats de conformité au nouveau référentiel.