Le référentiel HDS : l’évolution

Découvrez les changements clés dans le référentiel HDS, assurant la sécurité des données de santé en France.

Le décret n° 2018-137 du 26 février 2018 sur l’hébergement de données de santé à caractère personnel a introduit la certification HDS pour assurer la sécurité de ces données en France, un pilier clé de la régulation numérique dans le domaine de la santé.  

Cette certification à rencontré un succès certain mais aussi quelques critiques

Cette certification, alignée avec les normes internationales de sécurité des systèmes d’information ISO 27001, a renforcé la confiance des patients et des professionnels, avec 284 entités certifiées à ce jour. Neuf organismes, accrédités par le COFRAC, sont responsables d’assurer ces certifications. 

Cinq ans après son lancement, la Délégation du Numérique en Santé et l’Agence du Numérique en Santé ont initié en début 2022 une révision du référentiel HDS. Cette révision a impliqué la CNIL, le HFDS du ministère de la santé, ainsi que divers acteurs industriels et organismes certificateurs. Après une consultation publique fin 2022 et plus de 250 contributions analysées, la CNIL a approuvé le projet de référentiel révisé le 13 juillet 2023. 

C’est donc le top départ pour la mise en œuvre des évolutions pour conserver la certification HDS. On vous guide pour anticiper les changements… 

Quelles sont les évolutions majeures de la certification HDS 

Accéder au lien vers le nouveau référentiel 


La nouvelle version du référentiel de certification HDS inclut des changements importants qui vont devoir être pris en compte par les 284 acteurs certifiés : 

  1. Amélioration progressives de la souveraineté des données : Cette mise à jour introduit de nouvelles exigences pour augmenter la protection des données  
  1. Définition plus claire des catégories d’activités d’hébergement : Elle spécifie notamment l’activité “5”, qui est liée à l’administration et à l’exploitation, et qui était auparavant source de confusion. Un accord général a été atteint sur ce point. De plus, les hébergeurs doivent désormais être plus transparents sur les catégories d’activités pour lesquelles ils sont certifiés. 
  1. Harmonisation avec la certification SecNumCloud de l’ANSSI : La nouvelle version précise comment les exigences de la certification HDS s’alignent avec celles de la certification SecNumCloud. 
  1. Intégration des mises à jour de la norme ISO 27001 : Le référentiel de certification HDS intègre désormais certaines évolutions récentes de la norme ISO 27001 

Dans le cadre de ce dernier point les entreprises certifiées 27001 dans le cadre de HDS ont souvent déjà planifié la transition vers le nouveau 27001. 

La souveraineté des données 

La souveraineté des données a fait l’objet d’une attention particulière, beaucoup d’acteur ont frôlée l’obligation de SecNumCloud : plus de peur que de mal cependant il est nécessaire de renforcer la sécurité en s’approchant des meilleurs référentiels. 

La révision du référentiel HDS introduit donc quatre nouvelles exigences concernant la souveraineté des données qui devront faire l’objet d’une mise à jour chez la pluspart des entreprises certifiées : 

  1. Exigence 28 : Localisation des données de santé – Désormais, les données de santé doivent être physiquement hébergées uniquement dans un pays membre de l’Espace Économique Européen (EEE), incluant l’Union Européenne (UE), la Norvège, l’Islande, et le Liechtenstein. Cette exigence, qui n’était pas présente auparavant, offre des garanties significatives en matière de protection des données et augmente la confiance dans le numérique de santé. 
  1. Exigences 29 et 30 : Accès distant et législation extra-européenne – Si l’accès aux données se fait depuis un pays hors UE, que ce soit par l’hébergeur ou un sous-traitant, ou si ces derniers sont soumis à une législation extra-européenne ne fournissant pas un niveau de protection adéquat selon l’article 45 du RGPD, l’hébergeur doit en informer ses clients dans le contrat. Il doit également préciser les risques associés et les mesures techniques et juridiques prises pour les limiter. 
  1. Exigence 31 : Publication des transferts de données – Les hébergeurs doivent publier sur leur site internet une cartographie des transferts de données vers des pays hors de l’EEE. 

Il est surprenant que cette version révisée du référentiel ne s’aligne pas encore sur les exigences d’immunité extraterritoriale particulièrement contraignantes définies dans le référentiel SecNumCloud V3.2. Lorsque ce débat sera tranché dans le cadre des futurs référentiels européens (EUCS) Ce volet sera évoqué mais pas avant 2027 ! 

Cette question sera réévaluée après les discussions sur les futurs référentiels européens (EUCS) et au plus tard en 2027. Les prochaines révisions du référentiel prendront également en compte l’évolution de la maturité des acteurs du marché. 

Quel calendrier pour la transition du référentiel HDS ? 

Le projet de décret validant les normes mises à jour a été soumis à la Commission européenne. Après une période d’attente de trois mois, ce décret sera annoncé officiellement dans le Journal officiel. 

Dès la publication de l’arrêté, prévue pour le premier trimestre de 2024, les organismes de certification auront six mois pour mettre à jour leurs processus de certification selon la nouvelle certification HDS. 

Les entités pourront donc passer la certification au nouveau référentiel à partir de septembre 2024 

Ce standard révisé sera obligatoire pour toutes les nouvelles demandes de certification et les renouvellements soumis aux entités de certification six mois après la publication du décret, soit au début du deuxième semestre de 2024. Passé ce délai de six mois, les entités de certification ne pourront plus émettre que des certificats conformes au nouveau standard. 

Bien entendu ce calendrier est estimatif et risque potentiellement de glisser vers janvier 2025.  

Si vous avez besoin d’une estimation des changements plus concret veillez à nous contacter

Tout notre contenu en replay sur notre chaîne Youtube.

Visionner notre dernier CyberZone.

Thomas De Mota
Thomas De Mota
Thomas De Mota, CEO de Feel Agile, avec plus de 15 ans d'expérience dans le domaine de la cybersécurité.

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie