Actualités

Hébergement des données de santé (HDS) : évolution des référentiels de certification et d'accréditation

27 décembre 2023

Générique - Documents

La certification des hébergeurs de données de santé (HDS - Décret n° 2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel) joue un rôle clé dans la garantie de la sécurité de l'hébergement des données de santé en France, constituant l'un des premiers moyens de régulation du numérique en santé. L'objectif principal est de certifier les hébergeurs qui mettent en place des systèmes de gestion de la sécurité des systèmes d'information conformes aux normes internationales.

Cela représente une avancée significative pour la confiance des patients et des professionnels de la santé. À ce jour, 284 acteurs ont obtenu la certification, délivrée par neuf organismes accrédités par le comité français d'accréditation (COFRAC).

Révision du référentiel de certification

Début 2022, la Délégation du numérique en santé (DNS) et l’Agence du Numérique en Santé (ANS) ont initié une démarche de révision du référentiel de certification HDS, impliquant la Commission nationale de l'informatique et des libertés (CNIL), le Haut Fonctionnaire de Défense et de Sécurité du ministère de la santé (HFDS), les fédérations d'industriels de l'écosystème et les organismes certificateurs

La nouvelle version du référentiel a été soumise à une consultation publique fin 2022, recevant plus de 250 contributions qui ont été analysées et prises en compte. 

Suite à des échanges approfondis, la CNIL a émis un avis favorable au projet de référentiel de certification révisé le 13 juillet 2023.

Modifications apportées au référentiel de certification HDS

La nouvelle version révisée du référentiel de certification HDS intègre :

  • des précisions sur la définition des activités d'hébergement, notamment l'activité d'administration et d'exploitation des systèmes de santé, apportant ainsi plus de transparence
  • les évolutions de la norme ISO 27001 ;
  • un rappel des exigences contractuelles (dont celles mentionnées à l'article R.1111-11 du code de la santé publique), permettant de clarifier les obligations de l'hébergeur ;
  • une standardisation de la présentation des garanties, améliorant la lisibilité des garanties.
  • le renforcement des exigences relatives au transfert de données hors Union européenne, visant à renforcer progressivement la souveraineté des données et les garanties en matière de protection.

Consultez la version révisée du référentiel de certification HDS (FR)

Consultez la version révisée du référentiel de certification HDS (EN)

Il est à noter que le référentiel révisé ne prévoit pas, à date, un alignement sur les exigences en termes d'immunité extraterritoriale proposées par le référentiel SecNumCloud V3.2 publié par l'ANSSI. Ce point sera examiné ultérieurement, notamment en lien avec les futurs référentiels européens (European Cybersecurity Certification Scheme for Cloud services - EUCS) et au plus tard en 2027. La prochaine révision du référentiel suivra également l'évolution de la maturité des acteurs du marché.

Modifications apportées au référentiel d'accréditation des organismes certificateurs

Le référentiel d'accréditation, élaboré en collaboration avec le COFRAC, décrit le processus d'accréditation des organismes de certification. Les principales évolutions concernent les mises à jour liées à l'évolution de la norme ISO 27001, l'harmonisation des points en miroir du référentiel HDS et la mise à jour des durées des audits.

Calendrier d'entrée en vigueur des nouveaux référentiels

Le projet d'arrêté approuvant la version révisée des deux référentiels a été notifié le 05 décembre 2023 par la Commission européenne. Après une période de statu quo de 3 mois, il sera publié au Journal officiel. 

À partir de la publication de l'arrêté, les organismes certificateurs disposeront de six mois pour adapter leurs procédures de certification au nouveau référentiel HDS. 

Ce nouveau référentiel sera applicable aux demandes de certificat de conformité et de renouvellement présentées aux organismes certificateurs six mois après la publication de l'arrêté, soit au début du deuxième semestre 2024. Après ce délai, les organismes certificateurs délivreront uniquement des certificats de conformité au nouveau référentiel.