Skip to content

Référentiel HDS

Actualité

L’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel est paru ce jour au Journal officiel. Suivant le projet de révision de mars 2023, il apporte notamment des précisions concernant les activités d’hébergement, prend en compte la norme ISO 27002 sur la sécurité de l’information. Surtout, il s’attache à rappeler les exigences contractuelles entre l’hébergeur et son client, et renforce les exigences de souveraineté de l’hébergement des données de santé.

Concernant les activités d’hébergement de données de santé, des doutes existaient concernant l’activité 5 « d’administration et exploitation du système d’information contenant les données de santé ». Cette nouvelle version du référentiel apporte des précisions et liste désormais les activités que cela comprend soit :

  • la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ;
  • la sécurisation de la procédure d’accès ;
  • la collecte et la conservation des traces des accès effectués et de leurs motifs ;
  • la validation préalable des interventions (plan d’intervention, processus d’intervention).

Le référentiel s’attache également à préciser ce qu’est la validation des interventions, c’est-à-dire l’assurance qu’elles ne dégradent pas la sécurité de l’information hébergée, tant pour le client concerné, que pour les autres clients de l’hébergeur.

S’agissant des exigences contractuelles à la charge de l’hébergeur, définies par le Code de la santé publique, cette nouvelle version du référentiel y consacre une partie dédiée, au point 6. « Exigences liées à la relation contractuelle ». On y trouve l’obligation de fournir un modèle de contrat conforme aux exigences règlementaires, mais également des informations complémentaires au sujet de la protection des données.

A cet égard, le référentiel recommande à plusieurs reprises de se référer tant aux clauses contractuelles types de la Commission européenne, qu’aux recommandations du Comité européen de la protection des données, conformément au RGPD.

Était attendue la question de l’hébergement souverain. Si la précédente version du référentiel prévoyait que l’hébergeur devait spécifier la liste de l’ensemble des pays où les données seraient ou pourraient être hébergées, la nouvelle version prévoit désormais, que les données devront être stockées « exclusivement au sein de l’Espace Economique Européen », ce que l’hébergeur devra documenter et communiquer au Client. Si toutefois un accès à distance (et c’est la seule exception permise) était nécessaire et impliquait un transfert en dehors de l’Espace Economique Européen, l’hébergeur devra alors fonder cet accès sur une décision d’adéquation ou une des garanties appropriées prévues au RGPD.

En sus, cette nouvelle version du référentiel accroit les obligations de transparence incombant à l’hébergeur s’agissant du lieu d’hébergement.

Dorénavant, le contrat de l’hébergeur devra indiquer :

  • la liste des législations extra-européennes qui engendreraient un accès non autorisé par le droit de l’Union aux données hébergées
  • les mesures mises en œuvre afin d’atténuer les risques d’accès non autorisé
  • la description des risques résiduels.

L’hébergeur doit également rendre ces informations publiques sur son site internet, et fournir le lien de cette information afin que l’ANSSI le publie dans la liste des hébergeurs certifiés. Une représentation standard est prévue listant les acteurs participant au traitement des données dans le cadre de la prestation d’hébergement afin de faciliter la compréhension des clients, ainsi qu’une matrice de correspondance entre le référentiel et celui SecNumCloud afin d’aider les hébergeurs déjà certifiés.

Publié le

Dernières actualités

Compliance : Dispositif d’alertes professionnelles

Ajouter un article Les entités employant de plus de 50 personnes (salariés ou agents) sont obligées de mettre en place un dispositif de recueil des signalements ou d’alertes professionnelles. Cette
Lire la suite

AFA : Organisation des sous-directions

La nouvelle organisation de l’Agence Française Anti-corruption (« l’AFA ») est parue au Journal officiel du 22 novembre 2024 par un arrêté du 20 novembre 2024. Les sous-directions de l’AFA s’articulent désormais
Lire la suite

CNIL : organisation des services

Est parue au Journal la décision du 7 novembre 2024 relative à l’organisation des services de la Commission nationale de l’informatique et des libertés (ci-après, « la Commission » ou « la CNIL »).
Lire la suite

Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.