La France publie une norme de certification actualisée pour l’hébergement de données de santé
Le Code de la santé publique impose à certains prestataires hébergeant des données de santé de détenir une certification spécifique « HDS ». Pour obtenir cette certification, les prestataires doivent se conformer aux exigences énoncées dans le référentiel de certification « HDS ». Le 16 mai 2024, la France a officiellement publié une version actualisée de cette norme de certification « HDS ».
- Changements clés
La norme actualisée apporte quelques précisions, par exemple sur les activités pour lesquelles les hébergeurs doivent obtenir une certification (notamment l’activité « d’administration et d’exploitation de systèmes de santé »), ou encore sur les obligations contractuelles de l’hébergeur.
Il intègre également les modifications précédemment apportées à la norme ISO 27001 dans la norme de certification HDS.
Surtout, il comporte de nouvelles exigences en matière de souveraineté, notamment :
- une obligation de limiter le stockage des données de santé au territoire d’un État membre de l’EEE ; et
- des exigences de transparence vis-à-vis des clients de l’hébergeur en cas de transferts hors EEE (par exemplesous forme d’accès à distance aux données).
- Entrée en vigueur
À compter du 16 novembre 2024, les nouveaux candidats à la certification HDS seront évalués par rapport à cette nouvelle version du standard de certification HDS.
Les autorités françaises ont également souligné que les hébergeurs déjà certifiés HDS devront renouveler leur certification HDS selon la norme mise à jour dans un délai de 24 mois, c’est à direau plus tard le 16 mai 2026.