Référentiel HDS

L’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel est paru ce jour au Journal officiel. Suivant le projet de révision de mars 2023, il apporte notamment des précisions concernant les activités d’hébergement, prend en compte la norme ISO 27002 sur la sécurité de l’information. Surtout, il s’attache à rappeler les exigences contractuelles entre l’hébergeur et son client, et renforce les exigences de souveraineté de l’hébergement des données de santé.

Concernant les activités d’hébergement de données de santé, des doutes existaient concernant l’activité 5 « d’administration et exploitation du système d’information contenant les données de santé ». Cette nouvelle version du référentiel apporte des précisions et liste désormais les activités que cela comprend soit :

• la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ;
• la sécurisation de la procédure d’accès ;
• la collecte et la conservation des traces des accès effectués et de leurs motifs ;
• la validation préalable des interventions (plan d’intervention, processus d’intervention).

Le référentiel s’attache également à préciser ce qu’est la validation des interventions, c’est-à-dire l’assurance qu’elles ne dégradent pas la sécurité de l’information hébergée, tant pour le client concerné, que pour les autres clients de l’hébergeur.

S’agissant des exigences contractuelles à la charge de l’hébergeur, définies par le Code de la santé publique, cette nouvelle version du référentiel y consacre une partie dédiée, au point 6. « Exigences liées à la relation contractuelle ». On y trouve l’obligation de fournir un modèle de contrat conforme aux exigences règlementaires, mais également des informations complémentaires au sujet de la protection des données.

A cet égard, le référentiel recommande à plusieurs reprises de se référer tant aux clauses contractuelles types de la Commission européenne, qu’aux recommandations du Comité européen de la protection des données, conformément au RGPD.

Était attendue la question de l’hébergement souverain. Si la précédente version du référentiel prévoyait que l’hébergeur devait spécifier la liste de l’ensemble des pays où les données seraient ou pourraient être hébergées, la nouvelle version prévoit désormais, que les données devront être stockées « exclusivement au sein de l’Espace Economique Européen », ce que l’hébergeur devra documenter et communiquer au Client. Si toutefois un accès à distance (et c’est la seule exception permise) était nécessaire et impliquait un transfert en dehors de l’Espace Economique Européen, l’hébergeur devra alors fonder cet accès sur une décision d’adéquation ou une des garanties appropriées prévues au RGPD.

En sus, cette nouvelle version du référentiel accroit les obligations de transparence incombant à l’hébergeur s’agissant du lieu d’hébergement.

Dorénavant, le contrat de l’hébergeur devra indiquer :

• la liste des législations extra-européennes qui engendreraient un accès non autorisé par le droit de l’Union aux données hébergées
• les mesures mises en œuvre afin d’atténuer les risques d’accès non autorisé
• la description des risques résiduels.

L’hébergeur doit également rendre ces informations publiques sur son site internet, et fournir le lien de cette information afin que l’ANSSI le publie dans la liste des hébergeurs certifiés. Une représentation standard est prévue listant les acteurs participant au traitement des données dans le cadre de la prestation d’hébergement afin de faciliter la compréhension des clients, ainsi qu’une matrice de correspondance entre le référentiel et celui SecNumCloud afin d’aider les hébergeurs déjà certifiés.