Skip to content
Retour
RETOUR

Mise à jour du référentiel HDS – Ce qui change - Mai 2024

Le référentiel de certification pour l’hébergement de données de santé à caractère personnel (HDS) défini par arrêté du 11 juin 2018 prévoit les exigences de sécurité notamment applicables aux prestations d’hébergement de données. Est paru au journal officiel du 16 mai 2024 la nouvelle version du référentiel, par arrêté du 26 avril 2024.  

Pour rappel, cette certification est obligatoire pour « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. » (Article L.1111-8 du Code de la santé publique)

Cette nouvelle version du référentiel précise notamment les activités d’hébergement, propose une matrice de correspondance SecNumCloud, clarifie les rôles des acteurs dans l’hébergement… et surtout : l’exigence d’héberger les données au sein de l’Espace Economique Européen (EEE). Cette exigence de territorialité n’existait pas précédemment ; jusqu’à présent, seul le référentiel SNDS imposait cette exigence (exigence 3.2 du référentiel SNDS). Désormais, le référentiel HDS prévoit que seuls des accès à distance pourront être réalisés depuis des pays en dehors de l’EEE, à condition de prévoir les garanties appropriées (décision d’adéquation, ou à défaut clauses contractuelles types, BCR, arrangement administratif, etc).

Par ailleurs, outre la souveraineté des données, cette nouvelle version renforce les exigences de transparence de l’hébergeur sur ce sujet. En effet, désormais l’hébergeur a la charge de lister à son client, tant les législations extra-européennes qui pourraient exiger un accès non autorisé par le droit de l’Union aux données hébergées, que les mesures mises en œuvre pour pallier ce risque, et les risques résiduels. En sus, une information publique sur ce sujet devra figurer sur le site internet de l’hébergeur, et sera reprise par l’ANSSI dans la liste des hébergeurs certifiés.  

Cette nouvelle version renforce également les exigences contractuelles à la charge de l’hébergeur, notamment des exigences relatives à la protection des données. Il est ainsi conseillé de se référer aux clauses contractuelles types de la commission européenne s’agissant de la sous-traitance, et aux recommandations du Comité européen de la protection des données concernant les mesures de sécurité.

  • Arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au Système national des données de santé
  • Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)
  • Recommandations 01/2020 du Comité européen de la protection des données sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE

CGA | Politique de confidentialité

Contactez-nous...

Ce formulaire de contact est uniquement disponible pour les comptes enregistrés.

Contactez-nous




    La gestion de vos données et vos droits par Le Coin du DPO

    Recevez nos actualités

    Abonnez-vous à notre newsletter

    Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.