Le référentiel HDS s'imprègne de SecNumCloud

Mis à jour, le référentiel de certification HDS inclut une partie des exigences de souveraineté inscrites dans SecNumCloud.

Trop tôt pour aligner le référentiel HDS sur les exigences de SecNumCloud 3.2 en matière d’immunité extraterritoriale ?

Ce point sera réévalué à la lumière des discussions sur le schéma EUCS et au plus en 2027, affirme-t-on au Gouvernement.

Toile de fond à cet engagement : la publication d’une nouvelle version du référentiel HDS. La précédente datait de 2018.

La démarche de révision avait démarré début 2022. Elle s’est notamment nourrie des débats qui ont abouti à la SREN (loi visant à réguler l’espace numérique). Promulgué le 21 mai 2024, le texte donne, en son article 32, une « accroche législative » aux orientations du référentiel HDS, pour reprendre les termes du ministère de la Santé.

Souveraineté : les exigences de SecNumCloud intégrées… en partie

Ledit article modifie effectivement le Code de la santé publique pour y faire mention explicite d’obligations de souveraineté. D’une part, en matière de stockage des données sur le territoire d’un État membre de l’Espace économique européen (UE + Islande, Liechtenstein et Norvège). De l’autre, sur les mesures prises face aux risques de transfert de données ou d’accès non autorisé à celles-ci par des États tiers à l’EEE.

La version 2024 du référentiel HDS entérine les exigences à ce sujet. Dans les grandes lignes :

> L’hébergeur ou ses sous-traitants doivent stocker les données de santé exclusivement au sein de l’EEE.

> En cas d’accès à distance depuis des pays tiers, une décision d’adéquation de la Commission européenne est nécessaire. Ou, à défaut, une garantie appropriée liste à l’article 46 du RGPD (voir, à ce propos, notre focus « cloud et clauses contractuelles types »).

Lire aussi : Stockage: HDS (Hitachi ) annonce USP V avec ‘thin provisioning’

> L’hébergeur doit, si lui ou un sous-traitant est soumis à la législation d’un pays tiers n’assurant pas un niveau de protection adéquat au sens du RGPD, indiquer dans le contrat la liste des réglementations qui permettraient un accès que le droit de l’UE n’autorise pas.

> L’hébergeur doit publier une cartographie des transferts vers les pays tiers ; y compris les éventuels accès distants. Il doit aussi publier la description des risques d’accès non autorisés qu’induisent des réglementations extra-européennes.

Une définition pour l’activité d’administration et d’exploitation SI

Nouveauté 2024 au référentiel HDS : la présence d’une annexe. Elle consiste en une matrice de correspondance entre les mesures de l’annexe A de la norme ISO 27001 et les exigences de SecNumCloud. Objectif : faciliter la candidature à la certification HDS pour les hébergeurs déjà qualifiés SecNumCloud.

Autre nouveauté : une définition, pour une activité sur laquelle de nombreux acteurs s’interrogeaient. En l’occurrence, « administration et exploitation du système d’information contenant les données de santé ».
Consistant en la « maîtrise des interventions sur les ressources mise à disposition du client de l’hébergeur », elle comprend :

– Définition d’un processus d’attribution et de revue annuelle des droits d’accès
– Sécurisation de la procédure d’accès
– Collecte et conservation des traces
– Validation préalable des interventions (soit a priori pour celles que le client pourrait effectuer en autonomie, soit lors de la demande)

Ces activités sont intrinsèques aux activités 1 à 4 du référentiel HDS. Un hébergeur n’est ainsi tenu de se certifier que s’il exerce exclusivement l’activité 5.

Illustration