Quel est l’objectif du régime juridique de l’hébergement de données de santé fixé à l’article L.1111-8 du Code de la santé publique ?

L’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé a pour objectif d’organiser et d’encadrer la conservation et la restitution des données de santé à caractère personnel recueillies à l’occasion d’activité de prévention, de diagnostic, de soin ou de suivi social et médico-social, dans des conditions propres à garantir leur confidentialité et leur sécurité. Par cet encadrement, le législateur souhaite garantir la confiance dans les tiers auxquels des structures et des professionnels des secteurs sanitaire, social et médico-social confient les données de santé qu’ils produisent ou recueillent, notamment en mesurant l’impact de l’activité du prestataire sur la protection des données, au travers des critères de sécurité à l’état de l’art « disponibilité, intégrité, confidentialité et auditabilité (DICA) » notamment visés par l’ANSSI et les normes ISO. Cette confiance dans les tiers agissant pour le compte de ces acteurs sanitaires et sociaux et médico-sociaux est donnée au travers de l’obligation d’être certifiés « HDS ».

Comment s’organise la transition avec la nouvelle version du référentiel ?

Une période de transition, calculée à compter de la date de publication de l’arrêté du 26/04/2024, a été fixée à 6 mois (soit le 16/11/2024) pour les organismes de certification et à 24 mois pour les hébergeurs déjà certifiés (soit le 16/05/2026). Pour plus d'information, veuillez consulter la note de transition détaillée publiée sur le site du COFRAC : https://www.cofrac.fr/actualites/actualites-et-evenements/certification-des-hebergeurs-de-donnees-de-sante-hds-transition-vers-la-version-2-des-referentiels

Dans le cas où plusieurs sociétés interviennent pour définir les droits d’accès nominatifs, doivent elles toutes être certifiées ?

Chacun des acteurs qui réalise tout ou partie des 4 sous activités précisées pour l’activité 5 doit être certifié (cf. Chapitre 2.1 du référentiel de certification) : La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ; La sécurisation de la procédure d’accès ; La collecte et la conservation des traces des accès effectués et de leurs motifs ; La validation préalable des interventions (plan d’intervention, processus d’intervention). Si plusieurs acteurs ont en charge ces sous-activités, tous ces acteurs doivent être certifiés. Recommandation : la désignation d’un unique acteur (ou d’un nombre réduit d’acteurs) pour la gestion des droits permet de limiter l’obligation de certification à quelques acteurs.