Evolution hébergement des données de santé, deux projets récents en France marquent une étape significative dans la régulation de l’hébergement des données de santé et de l’informatique en nuage. Ces initiatives reflètent l’engagement continu du pays en matière de sécurité des données et de souveraineté numérique.
Modification du Référentiel de Certification HDS
Le premier projet concerne un arrêté proposé par la Délégation au Numérique en Santé, visant à réviser l’arrêté du 11 juin 2018. Ce projet d’arrêté a pour but de modifier le référentiel d’accréditation des organismes de certification et le référentiel de certification pour l’hébergement de données de santé à caractère personnel (HDS). Les modifications principales visent à :
- Clarifier les activités couvertes par la certification HDS, en définissant plus précisément l’administration et l’exploitation des systèmes de santé, tout en excluant les éditeurs SaaS.
- Améliorer la transparence et la lisibilité des garanties offertes par les hébergeurs de données de santé.
- Préciser les obligations contractuelles des hébergeurs.
- Intégrer les évolutions de la norme ISO 27001 dans le référentiel HDS.
En outre, le projet met un accent particulier sur la souveraineté des données et la transparence, notamment en ce qui concerne le stockage des données de santé sur le territoire de l’Espace économique européen (EEE) et l’information sur tout transfert ou accès distant aux données depuis un territoire hors EEE.
Projet de Loi SREN
Le second projet, le projet de loi “Sécuriser et réguler l’espace numérique” (SREN), inclut des dispositions importantes relatives à la protection des données stratégiques et sensibles dans le domaine de l’informatique en nuage. Bien que l’amendement initial, qui aurait imposé une certification SecNumCloud pour l’archivage numérique des données de santé, ait été écarté, le texte final maintient des exigences de souveraineté européenne et de sécurité pour les données sensibles.
Le projet de loi SREN stipule que les services d’informatique en nuage fournis par des prestataires privés doivent respecter des critères stricts de sécurité et de protection des données, en particulier pour prévenir tout accès non autorisé par des autorités publiques hors de l’Union européenne. Des dérogations pourraient être accordées pour des projets déjà engagés, sous réserve de critères spécifiques.
Enfin, le régime d’archivage électronique des données de santé sera aligné sur celui de l’hébergement, avec une obligation de certification HDS effective à une date fixée par décret, au plus tard le 1er juillet 2025.
Ces initiatives démontrent l’engagement de la France à renforcer la sécurité et la souveraineté des données dans un environnement numérique en rapide mutation. Elles soulignent également l’importance de la transparence et de la conformité réglementaire dans le secteur de l’hébergement de données de santé et de l’informatique en nuage.