Le Code de la santé publique requiert que lorsque certaines données de santé ou données médicales sont hébergées par des tiers, ceux-ci doivent être certifiés « Hébergeurs de Données de Santé » ou « HDS ». Les Hébergeurs qui sont certifiés sur la base de l’ancien référentiel de certification « HDS » v1.1 de 2018, ont jusqu’en mai 2026 pour se conformer au nouveau référentiel de certification « HDS » v2.0 de 2024, qui inclut notamment des exigences en matière de souveraineté des données.

Une certification pour quel type de données de santé  ?

Le Code de la santé publique (article L.1111-8) prévoit que l’obligation de certification s’applique à « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même […] ». Cela couvre l’hébergement de données papier ou numériques.

Toutefois, les personnes physiques ou morales qui sont elles-mêmes responsables du traitement de ces données de santé (par exemple, les professionnels de santé, les hôpitaux, etc.) ne sont pas soumises à cette obligation de certification lorsqu’elles hébergent leurs propres données.

Une certification pour quels types de services ?

Le processus de certification et les autres exigences réglementaires ont été établis par un décret du 26 février 2018 (le « Décret de 2018 »), qui a créé, avec effet au 1er avril 2018 les articles R1111-8-8 à R1111-11 du Code de la santé publique. Les exigences spécifiques pour la certification ont été transcrites dans le référentiel de certification HDS – exigences V1.1 de 2018.

Le Décret de 2018 établit une liste détaillée de 6 activités qui nécessitent une certification :

  1. « la mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  2. la mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
  3. la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé ;
  4. la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
  5. l’administration et l’exploitation du système d’information contenant les données de santé ;
  6. la sauvegarde des données de santé. »

La révision 2024 du référentiel a supprimé la distinction qui existait entre deux groupes d’activités  : « hébergeur d’infrastructure physique » et « hébergeur infogéreur ».

Elle a clarifié l’ « activité 5 », relative à « l’administration et l’exploitation », comme suit : [elle] « consiste en la maitrise des interventions sur les ressources mises à la disposition du client de l’Hébergeur. Elle comprend l’intégralité des activités annexes suivantes :

  • La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ;
  •  La sécurisation de la procédure d’accès ;
  •  La collecte et la conservation des traces des accès effectués et de leurs motifs ;
  • La validation préalable des interventions (plan d’intervention, processus d’intervention). [Cette validation] consiste à s’assurer qu’elles ne dégradent pas la sécurité de l’information hébergée ni pour le client concerné ni pour les autres clients de l’Hébergeur. Cette validation peut être effectuée dans les cas suivants : A priori, pour les interventions que le client pourrait effectuer en autonomie [ou] ; Lors de la demande d’intervention lorsqu’il sollicite l’Hébergeur. »

La certification pour l’activité 5 n’est requise que dans le cas où l’Hébergeur exerce uniquement l’activité 5 et non de façon intrinsèquement ou obligatoirement liée aux activités 1 à 4.

De même « L’activité 6 de sauvegarde des données doit être interprétée comme comprenant uniquement les sauvegardes externalisées. Les sauvegardes intrinsèquement nécessaires aux activités 1 à 5 sont dans le périmètre des activités 1 à 5. » 

Le Code de la santé publique prévoit que le contrat entre le HDS et son client doit contenir « L’indication du périmètre du certificat de conformité obtenu par l’hébergeur, ainsi que ses dates de délivrance et de renouvellement » Par ailleurs, L’exigence 12 du référentiels V2.0 prévoit aussi que « L’Hébergeur doit communiquer à ses clients une copie du certificat de conformité HDS [et celui] de ses sous-traitants participant à l’activité d’hébergement lorsqu’ils sont certifiés HDS ». 

Quel est le processus de certification ?

Le HDS doit être certifié soit par un organisme d’accréditation agréé en France par le COFRAC, soit, ailleurs dans l’UE, par un organisme national équivalent au COFRAC.

La certification suit un processus en deux étapes : le HDS doit d’abord se soumettre à un audit documentaire, suivi d’un audit sur site. Une fois accordée, la certification est valable pendant 3 ans, sous réserve de la réussite d’un audit annuel supplémentaire réalisé par l’organisme de certification.

Le référentiel de la certification est principalement basé sur la norme ISO/IEC 27001 dont le titre est « Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de management de la sécurité de l’information – Exigences », ainsi que sur certaines obligations du RGPD et d’autres exigences relatives à l’hébergement des données de santé.

Pour obtenir la certification, il faut notamment respecter les exigences suivantes :

  • (Exigence 11) « Les personnels travaillant pour l’Hébergeur doivent être sensibilisés à la criticité en termes de disponibilité, de confidentialité et d’intégrité des DSCP hébergées […] » (les données médicales étant par ailleurs protégées par le secret professionnel) et
  • le HDS ne doit pas utiliser les données à d’autres fins (y compris, mais sans s’y limiter, la vente des données), même avec le consentement de la personne concernée. Le HDS doit également restituer les données à la fin de la prestation de ses services et ne pas en garder de copie.

Le référentiel de certification initial v1.1 a été révisé en 2024 et le nouveau référentiel v2.0 s’applique aux nouvelles certifications depuis novembre 2024. Tous les systèmes HDS certifiés existants doivent également s’y conformer avant le 16 mai 2026. Lien vers le référentiel V2.0 de 2024 (qui existe aussi en anglais)

Dans son préambule le référentiel de certification v2.0 de 2024 souligne que la mise à jour du référentiel consiste notamment à :

  • « Améliorer la lisibilité des garanties apportées par un Hébergeur certifié sur les prestations qu’il réalise pour un client donné ;
  • Clarifier les obligations contractuelles de l’Hébergeur définies dans le code de la santé publique ;
  • Renforcer les exigences de protection des données personnelles au regard des transferts de données hors de l’Union européenne. […] »

Il contient aussi un changement majeur en ce qui concerne l’évaluation des risques en introduisant par le biais de l’exigence 5, huit évènements prédéfinis à envisager dans l’analyse des risques prévue au chapitre 6.1.2 de la norme ISO 27001.

Vous pouvez trouver sur le site de l’Agence du Numérique en Santé la liste des HDS certifiés avec la liste des activités couvertes et la version de la certification

Y-a-t-il des clauses contractuelles obligatoires ?

L’article R1111-11 du Code de la santé publique et le référentiel révisé de 2024 énumèrent les clauses que doit contenir le contrat d’hébergement de données, notamment en matière de droit des patients à la protection des données personnelles, de sécurité et d’accès aux données.

Un des changements majeurs du référentiel de certification v2.0 (exigence 27) est que le contrat doit contenir une clause de réversibilité prévoyant entre autres :

  •  « Les modalités de calcul des coûts et délais pour la restitution des copies ; »  
  • « […] le cas échéant les modalités permettant le déplacement des machines virtuelles/conteneurs. »

Les prestataires de services d’hébergement sont tenus de vérifier leurs contrats afin de s’assurer que ces clauses y figurent et de les modifier si nécessaire.

Les HDS doivent aussi communiquer à leur client les garanties formalisées selon le tableau standard présenté au chapitre 8.  Ce tableau inclut, par exemple, des cases à cocher indiquant si l’HDS est ou non certifié SecNumCloud V2.3 (voir ci‑dessous à propos de cette certification), s’il existe ou non un accès aux données depuis un pays tiers à l’Espace économique européen (EEE) et, le cas échéant, les garanties appropriées prévues par le RGPD, ou encore s’il existe ou non un risque d’accès depuis un pays tiers à l’EEE en vertu d’une loi d’un pays tiers en violation du RGPD.

Y-a-t-il des exigences en matière de souveraineté des données ?

La révision 2024 du référentiel de certification v2.0 a introduit de nouvelles exigences importantes en matière de souveraineté des données :

  • Les données de santé doivent désormais être hébergées exclusivement dans l’Espace économique européen (EEE) (Union européenne plus Norvège, Islande et Liechtenstein).
  • Toutefois, les données peuvent être consultées à distance à partir d’autres pays, sous réserve de certaines garanties. Si le fournisseur d’hébergement ou l’un de ses sous-traitants accède aux données à distance depuis un pays situé en dehors de l’EEE (dans une juridiction qui ne bénéficie pas d’une décision d’adéquation de la Commission européenne), le fournisseur d’hébergement doit en informer ses clients dans le contrat et préciser les risques associés ainsi que les mesures techniques et juridiques mises en œuvre pour les atténuer. Cette transparence est considérée comme essentielle dans la relation entre le fournisseur d’hébergement et le client en tant que responsable du traitement.
  • Le fournisseur d’hébergement doit publier sur son site web une cartographie de tous les transferts de données vers des pays hors de l’EEE. Cette transparence est considérée comme essentielle pour les citoyens, les acteurs de la santé et l’ensemble de la société civile.

Ces exigences ne vont pas aussi loin que celles relatives à l’immunité extraterritoriales figurant dans le cadre français des exigences de certification de cybersécurité pour les services cloud, SecNumCloud V3.2 (Le référentiel de certification HDS V2.0 contient une annexe 1 avec une « Matrice de correspondance avec SecNumCloud » avec la norme ISO 27001, étant précisé que « correspondance ne signifie pas qu’il existe une équivalence »).

La qualification SecNumCloud est une qualification de l’ANSSI Agence nationale de la sécurité des systèmes d’information), visant à démontrer un niveau de sécurité élevé pour des prestataire de services cloud face à la hausse des cyberattaques. Le chapitre 19.6 de la version 3.2 établit un cadre juridique strict destiné à protéger les données européennes contre toute ingérence étrangère. Cette protection repose sur les exigences suivantes :

  • Les entreprises concernées doivent être détenues par des actionnaires de l’UE et leur siège social doit être localisé dans un État membre de l’UE.
  • Le recours à des prestataires de services tiers situés en dehors de l’UE ne doit pas leur permettre d’accéder aux données.
  • Il faut garantir une autonomie d’exploitation continue.
  • Il doit exister une indépendance aux ingérences extraterritoriales : les données hébergées doivent rester sous le contrôle exclusif des juridictions européennes, ainsi que sous le respect de la législation applicable, des droits fondamentaux et des valeurs de l’Union européenne.

Ce point sera réévalué à la lumière des discussions sur le futur cadre européen EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), et au plus tard en 2027.

Sanctions

En application de l’article Article L1115-1 du Code de la santé publique, l’exercice de l’activité sans la certification HDS peut entraîner des sanctions pouvant aller jusqu’à 3 ans d’emprisonnement et/ou une amende de 45 000 € pour les personnes physiques (par exemple, les représentants légaux) et de 225 000 € pour les personnes morales.

La CNIL (autorité française de protection des données) peut infliger des sanctions en cas de violation du RGPD et plus particulièrement sur le fondement de l’article 32 et l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ces sanctions incluent notamment une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une organisation. En outre, la CNIL peut prononcer des injonctions exigeant qu’une organisation cesse ses activités de traitement de données illicites.

Les violations des obligations en matière de protection des données ou de secret professionnel peuvent également donner lieu à des amendes pénales.

La plupart des organisations déjà certifiées travaillent en vue de la date butoir de mai 2026. Les prestataires qui envisagent d’offrir de tels services doivent se préparer de manière proactive à satisfaire aux exigences de cette règlementation, qui est une spécificité du droit français.