Nouvelles Directives pour la Certification des Hébergeurs de Données de Santé : Garanties Renforcées et Transparence Accrue

La sécurité des données de santé à caractère personnel reste au cœur des préoccupations de la CNIL car elles sont considérées comme sensibles (article 10 du RGPD). De nouvelles mesures sont sur le point d'être mises en place pour renforcer la certification des hébergeurs. Un projet d'arrêté, modifiant celui du 11 juin 2018, a été dévoilé, apportant des ajustements significatifs aux référentiels d'accréditation des organismes de certification et de certification pour l'Hébergement de Données de Santé (HDS).

Certification des Hébergeurs de Données de Santé : Un Renforcement Nécessaire

En vertu des dispositions des articles L.1111-8 et R.1111-10 du code de la santé publique, tout opérateur en HDS doit détenir un certificat de conformité délivré par un organisme de certification, basé sur un référentiel de certification approuvé par arrêté ministériel. Le projet d'arrêté présenté vise à ajuster et améliorer ce référentiel pour garantir la conformité aux normes les plus récentes, en particulier en intégrant les évolutions de la norme ISO 27001.

Principales Modifications Apportées : Transparence et Souveraineté des Données

Les changements au référentiel de certification d'hébergement de données de santé se concentrent sur plusieurs aspects cruciaux :

1. Clarification des Activités Certifiées : Une définition plus précise de l'activité d'administration et d'exploitation des systèmes de santé pour une meilleure compréhension.

2. Lisibilité Améliorée : Une meilleure lisibilité des garanties fournies par l'hébergeur à chaque prestataire utilisant ses services.

3. Obligations Contractuelles Clarifiées : Une clarification des obligations contractuelles de l'hébergeur pour plus de transparence.

4. Ajout de Nouvelles Exigences : Quatre nouvelles exigences liées à la souveraineté des données, notamment la restriction du stockage des données sur le territoire de l'Espace économique européen.

5. Transparence envers les Clients : Des obligations d'informer les clients sur les transferts de données vers des territoires hors de l'EEE, les mesures prises pour encadrer ces transferts, et la possibilité d'une sujétion à une réglementation extra-communautaire.

Objectif de la Certification : Sécurité et Respect du RGPD

La certification des hébergeurs de données de santé, rendue obligatoire par la loi, a pour objectif de garantir la sécurité des données sensibles confiées dans le cadre d'une prise en charge médicale. Bien que le dispositif global de certification mis en place en 2018 reste inchangé, des ajustements spécifiques sont nécessaires pour assurer la souveraineté des données et la conformité au RGPD.

Vers l'Avenir : Attentes Européennes et Transparence Continuelle

En attendant les résultats des discussions au niveau européen sur les futurs référentiels européens (EUCS), le projet d'arrêté ne s'aligne pas actuellement sur les exigences d'immunité extra-territoriale du référentiel français "SecNumCloud version 3.2". Une approche prudente en attente des développements à l'échelle européenne.

Conclusion : Ces modifications apportées au référentiel de certification HDS reflètent l'évolution constante des normes de sécurité des données. Les entreprises de santé et les professionnels du secteur peuvent anticiper ces ajustements pour renforcer la confiance dans la gestion sécurisée des données de santé à caractère personnel.

Et vous, est-ce que votre DPO vous maintient informés sur l'évolution des garanties de sécurité et de confidentialité des données de santé ?