Skip to content

Référentiel HDS

Actualité

L’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel est paru ce jour au Journal officiel. Suivant le projet de révision de mars 2023, il apporte notamment des précisions concernant les activités d’hébergement, prend en compte la norme ISO 27002 sur la sécurité de l’information. Surtout, il s’attache à rappeler les exigences contractuelles entre l’hébergeur et son client, et renforce les exigences de souveraineté de l’hébergement des données de santé.

Concernant les activités d’hébergement de données de santé, des doutes existaient concernant l’activité 5 « d’administration et exploitation du système d’information contenant les données de santé ». Cette nouvelle version du référentiel apporte des précisions et liste désormais les activités que cela comprend soit :

  • la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ;
  • la sécurisation de la procédure d’accès ;
  • la collecte et la conservation des traces des accès effectués et de leurs motifs ;
  • la validation préalable des interventions (plan d’intervention, processus d’intervention).

Le référentiel s’attache également à préciser ce qu’est la validation des interventions, c’est-à-dire l’assurance qu’elles ne dégradent pas la sécurité de l’information hébergée, tant pour le client concerné, que pour les autres clients de l’hébergeur.

S’agissant des exigences contractuelles à la charge de l’hébergeur, définies par le Code de la santé publique, cette nouvelle version du référentiel y consacre une partie dédiée, au point 6. « Exigences liées à la relation contractuelle ». On y trouve l’obligation de fournir un modèle de contrat conforme aux exigences règlementaires, mais également des informations complémentaires au sujet de la protection des données.

A cet égard, le référentiel recommande à plusieurs reprises de se référer tant aux clauses contractuelles types de la Commission européenne, qu’aux recommandations du Comité européen de la protection des données, conformément au RGPD.

Était attendue la question de l’hébergement souverain. Si la précédente version du référentiel prévoyait que l’hébergeur devait spécifier la liste de l’ensemble des pays où les données seraient ou pourraient être hébergées, la nouvelle version prévoit désormais, que les données devront être stockées « exclusivement au sein de l’Espace Economique Européen », ce que l’hébergeur devra documenter et communiquer au Client. Si toutefois un accès à distance (et c’est la seule exception permise) était nécessaire et impliquait un transfert en dehors de l’Espace Economique Européen, l’hébergeur devra alors fonder cet accès sur une décision d’adéquation ou une des garanties appropriées prévues au RGPD.

En sus, cette nouvelle version du référentiel accroit les obligations de transparence incombant à l’hébergeur s’agissant du lieu d’hébergement.

Dorénavant, le contrat de l’hébergeur devra indiquer :

  • la liste des législations extra-européennes qui engendreraient un accès non autorisé par le droit de l’Union aux données hébergées
  • les mesures mises en œuvre afin d’atténuer les risques d’accès non autorisé
  • la description des risques résiduels.

L’hébergeur doit également rendre ces informations publiques sur son site internet, et fournir le lien de cette information afin que l’ANSSI le publie dans la liste des hébergeurs certifiés. Une représentation standard est prévue listant les acteurs participant au traitement des données dans le cadre de la prestation d’hébergement afin de faciliter la compréhension des clients, ainsi qu’une matrice de correspondance entre le référentiel et celui SecNumCloud afin d’aider les hébergeurs déjà certifiés.

Publié le

Dernières actualités

Loi SREN : Sécuriser l’espace numérique

La loi n°2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique a été publiée au Journal officiel de ce matin. Elle adopte des dispositions permettant notamment de
Lire la suite

Lutte contre les dérives sectaires

La loi n°2024-420 du 10 mai 2024 visant à renforcer la lutte contre les dérives sectaires et à améliorer l’accompagnement des victimes a été publiée au Journal officiel du 11
Lire la suite

CNIL – Rapport d’activités 2023

La CNIL vient de publier son rapport d’activités de l’année 2023. Au cours de cette année, 340 contrôles ont été effectués dont 128 en ligne et 157 sur place. Le
Lire la suite

Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.