L'Agence du Numérique en Santé (ANS) a annoncé des évolutions importantes des référentiels de certification et d'accréditation  de l'hébergement de données de santé (Référentiel HDS). Cette modification est l'aboutissement d'une démarche lancée début 2022 en concertation entre l'ANS et la Délégation du Numérique en Santé.

Ce document vient clarifier le périmètre des activités d'hébergement prévu par le code de la santé publique et renforce les exigences relatives à la souveraineté des données.

Le renforcement des exigences de souveraineté des données de santé

La nouvelle version du référentiel apporte de nouvelles exigences quant au lieu d'hébergement des données.

Ces exigences sont triples :

  • Les activités d'hébergement doivent être réalisées exclusivement sur le territoire d'un pays situé au sein de l'Espace Economique Européen (EEE), c'est-à-dire les Etats-membres de l'Union Européenne ainsi que la Norvège, l'Islande et le Liechtenstein ;
  • En cas d'accès à distance aux données depuis un pays tiers à l'UE par l'hébergeur, ou un de ses sous-traitants, une information précisant les risques associés devra être apportée dans les contrats ;
  • L'hébergeur doit rendre publique une cartographie des éventuels transferts de données vers un pays n'appartenant pas à l'EEE.

Des précisions sur le périmètre des activités d'hébergement n°5 :

Le code de la santé publique définit 6 activités pour lesquelles un hébergeur de données de santé peut être certifié, parmi lesquelles se distinguent deux grandes catégories :

L'hébergement d'infrastructures physiques

  1. la mise à disposition, le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé
  2. la mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé 

L'hébergeur infogéreur

  1. la mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information de santé
  2. la mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information
  3. l'administration et l'exploitation du système d'information contenant les données de santé
  4. la sauvegarde externalisée des données de santé

La classification des activités d'hébergement prévue par le code de la santé publique avait donné lieu à des incertitudes au cours des dernières années, amenant de nombreux éditeurs de solution logicielle SaaS en santé à s'interroger sur la nécessité d'être certifié sur le périmètre de l'activité n°5 « Administration et exploitation du système d'information concernant les données de santé ».

Le ministère de la Santé lui-même reconnaissait1 que l'activité n°5 était « à la limite de ce qu'on qualifie normalement d'hébergement et nécessitait l'apport de précisions ».

L'ANS apporte des précisions bienvenues sur le contour de cette activité et indique que l'administration et l'exploitation du système d'information consistent à effectuer les actions suivantes :

  • La définition d'un processus d'attribution et sa révision annuelle ;
  • La sécurisation de la procédure d'accès ;
  • La collecte et la conservation des traces des accès effectués et de leurs motifs ;
  • La validation préalable des interventions.

Le nouveau Référentiel précise que « La définition du processus d'attribution, la sécurisation, la collecte, la validation sont intrinsèques et obligatoires aux activités définies au 1 à 4 […]. Si elles sont effectuées uniquement en ce qu'elles sont liées et consubstantielles aux activités 1 à 4, l'Hébergeur n'est pas tenu d'être certifié pour l'activité 5. Il ne sera tenu de l'être que dans le cas où il exerce uniquement l'activité 5. »

Footnote

1. MINISTÈRE DES SOLIDARITES ET DE LA SANTÉ, Explicitation du champ d'application du cadre juridique de l'hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d'information de santé

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.