L’Agence du Numérique en Santé (ANS) a récemment publié une version révisée du référentiel Hébergeur de Données de Santé (HDS).
Bien que cette mise à jour marque une avancée notable dans la sécurisation des données de santé, elle reste insuffisante en matière de souveraineté et de protection contre les lois extraterritoriales.
Cet article explore les principales avancées de ce référentiel, leurs implications pour les acteurs du numérique, et les perspectives futures, en insistant sur l’importance d’une immunité totale aux lois extraterritoriales pour les données sensibles de santé.
Contexte et Importance du Référentiel HDS
Le référentiel HDS est un cadre de certification destiné à garantir que les données de santé sont hébergées en toute sécurité.
Ce cadre est crucial pour protéger les informations sensibles des patients contre les accès non autorisés et les cyberattaques.
Depuis sa création, il s’appuie sur des normes internationales comme ISO 27001 et est régulièrement mis à jour pour répondre aux évolutions technologiques et législatives.
La dernière mise à jour, effectuée en 2024, inclut des exigences renforcées en matière de souveraineté et de transparence.
Elle s’inscrit dans une démarche plus large de régulation de l’espace numérique, telle que définie par la loi SREN promulguée le 21 mai 2024.
Certification HDS : la garantie de la sécurité des données
Découvrez les exigences réglementaires qui encadrent le traitement des données de santé.
Les Nouvelles Exigences du Référentiel HDS
Souveraineté des Données
L’une des nouveautés majeures de cette révision est l’introduction de mesures strictes concernant la souveraineté des données.
Désormais, les données de santé doivent être hébergées exclusivement au sein de l’Espace Économique Européen (EEE).
Cette mesure vise à prévenir les risques d’accès non autorisés par des États tiers, notamment en réponse à des législations extraterritoriales comme le Foreign Intelligence Surveillance Act (FISA) aux États-Unis.
Cependant, cette exigence de localisation ne suffit pas à garantir une véritable immunité contre ces lois.
Transparence et Information des Utilisateurs
Le référentiel révisé impose également une transparence accrue. Les hébergeurs doivent désormais publier une cartographie des transferts de données vers des pays tiers et détailler les risques associés.
Cette obligation permet aux utilisateurs de mieux comprendre où et comment leurs données sont traitées, renforçant ainsi la confiance dans les services de santé numériques.
Engagement de l’Industrie Numérique Française
Les acteurs français du numérique, dont Oodrive, se sont fortement engagés pour soutenir cette révision.
Le lancement du Comité Stratégique de Filière « Solutions numériques de confiance » en mai 2023 témoigne de cette volonté collective.
Ce comité vise à développer des solutions innovantes et sûres, répondant aux attentes des utilisateurs et renforçant l’autonomie numérique de la France et de l’Europe.
Oodrive, déjà certifié HDS et SecNumCloud, s’engage pleinement dans cette démarche. La certification HDS atteste de la capacité de l’entreprise à assurer une protection robuste des données de santé, tandis que la certification SecNumCloud garantit un niveau de sécurité encore plus élevé, en conformité avec les normes de l’ANSSI.
Besoin d’une Immunité Totale aux Lois Extraterritoriales
Bien que la révision du référentiel HDS représente un pas en avant, elle ne va pas assez loin pour garantir une véritable souveraineté des données de santé.
Une immunité totale aux lois extraterritoriales est primordiale pour protéger les données sensibles contre tout accès non autorisé par des États tiers.
Cela exclut implicitement les solutions américaines qui, en vertu de lois comme le FISA, peuvent être contraintes de fournir un accès aux données sans notification aux utilisateurs.
L’immunité extraterritoriale est une exigence essentielle pour éviter que les données hébergées en Europe ne soient accessibles par des autorités étrangères sans le consentement des utilisateurs. Cette immunité devrait être une priorité dans la future révision du référentiel HDS prévue pour 2027.
Alignement avec le Référentiel SecNumCloud
Pour atteindre un niveau de sécurité et de souveraineté optimal, il est essentiel de calquer le référentiel HDS sur le référentiel SecNumCloud, reconnu comme une référence en matière de sécurisation des données sensibles.
Les critères du SecNumCloud 3.2 de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) offrent des garanties robustes pour la confidentialité et la maîtrise des données, bien au-delà de la simple localisation des données dans l’EEE.
Perspectives Futures et Prochaines Étapes
Le rapport Marchand-Arvier de janvier 2024 souligne le potentiel inexploité des données de santé en France, freiné par des processus complexes et un manque de coopération.
Pour remédier à cela, une nouvelle révision du référentiel HDS est prévue pour 2027. Cette future version devra aller encore plus loin en matière de souveraineté, notamment en s’alignant sur les critères du référentiel SecNumCloud 3.2.
Oodrive milite pour que la future révision HDS garantisse une véritable souveraineté des données, notamment en exigeant une immunité aux lois extraterritoriales. Cela implique de renforcer les exigences de transparence et de sécurité, et de s’assurer que les données de santé ne puissent être accédées par des États tiers sans autorisation.
La publication de la version révisée du référentiel HDS par l’ANS est une avancée significative pour la protection des données de santé en France et en Europe. Toutefois, pour garantir une véritable souveraineté et sécurité des données, il est crucial d’aller plus loin.
Oodrive, en tant que leader et acteur engagé, soutient fermement ces évolutions et milite pour une protection optimale des données de santé, en alignement avec les normes les plus strictes du SecNumCloud.
Nous appelons à une révision ambitieuse du référentiel HDS en 2027, qui inclura des mesures robustes d’immunité extraterritoriale et de transparence, assurant ainsi une protection complète et souveraine des données de santé pour les citoyens européens.