Pour gérer vos consentements :
Categories: Régulations

Le référentiel HDS s’imprègne de SecNumCloud

Trop tôt pour aligner le référentiel HDS sur les exigences de SecNumCloud 3.2 en matière d’immunité extraterritoriale ?

Ce point sera réévalué à la lumière des discussions sur le schéma EUCS et au plus en 2027, affirme-t-on au Gouvernement.

Toile de fond à cet engagement : la publication d’une nouvelle version du référentiel HDS. La précédente datait de 2018.

La démarche de révision avait démarré début 2022. Elle s’est notamment nourrie des débats qui ont abouti à la SREN (loi visant à réguler l’espace numérique). Promulgué le 21 mai 2024, le texte donne, en son article 32, une « accroche législative » aux orientations du référentiel HDS, pour reprendre les termes du ministère de la Santé.

Souveraineté : les exigences de SecNumCloud intégrées… en partie

Ledit article modifie effectivement le Code de la santé publique pour y faire mention explicite d’obligations de souveraineté. D’une part, en matière de stockage des données sur le territoire d’un État membre de l’Espace économique européen (UE + Islande, Liechtenstein et Norvège). De l’autre, sur les mesures prises face aux risques de transfert de données ou d’accès non autorisé à celles-ci par des États tiers à l’EEE.

La version 2024 du référentiel HDS entérine les exigences à ce sujet. Dans les grandes lignes :

> L’hébergeur ou ses sous-traitants doivent stocker les données de santé exclusivement au sein de l’EEE.

> En cas d’accès à distance depuis des pays tiers, une décision d’adéquation de la Commission européenne est nécessaire. Ou, à défaut, une garantie appropriée liste à l’article 46 du RGPD (voir, à ce propos, notre focus « cloud et clauses contractuelles types »).

> L’hébergeur doit, si lui ou un sous-traitant est soumis à la législation d’un pays tiers n’assurant pas un niveau de protection adéquat au sens du RGPD, indiquer dans le contrat la liste des réglementations qui permettraient un accès que le droit de l’UE n’autorise pas.

> L’hébergeur doit publier une cartographie des transferts vers les pays tiers ; y compris les éventuels accès distants. Il doit aussi publier la description des risques d’accès non autorisés qu’induisent des réglementations extra-européennes.

Une définition pour l’activité d’administration et d’exploitation SI

Nouveauté 2024 au référentiel HDS : la présence d’une annexe. Elle consiste en une matrice de correspondance entre les mesures de l’annexe A de la norme ISO 27001 et les exigences de SecNumCloud. Objectif : faciliter la candidature à la certification HDS pour les hébergeurs déjà qualifiés SecNumCloud.

Autre nouveauté : une définition, pour une activité sur laquelle de nombreux acteurs s’interrogeaient. En l’occurrence, « administration et exploitation du système d’information contenant les données de santé ».
Consistant en la « maîtrise des interventions sur les ressources mise à disposition du client de l’hébergeur », elle comprend :

– Définition d’un processus d’attribution et de revue annuelle des droits d’accès
– Sécurisation de la procédure d’accès
– Collecte et conservation des traces
– Validation préalable des interventions (soit a priori pour celles que le client pourrait effectuer en autonomie, soit lors de la demande)

Ces activités sont intrinsèques aux activités 1 à 4 du référentiel HDS. Un hébergeur n’est ainsi tenu de se certifier que s’il exerce exclusivement l’activité 5.

Illustration

Recent Posts

IA et communs numériques : 7 projets français à suivre

L'appel à projets « Communs numériques pour l'intelligence artificielle générative » a ses premiers lauréats.…

1 jour ago

Snowflake et Databricks rivalisent aussi sur l’open source

Snowflake et Databricks viennent d'officialiser l'un et l'autre une démarche de mise en open source…

1 jour ago

Recall : le rendez-vous raté de Microsoft sur les PC Copilot+

Fonctionnalité phare des PC Copilot+, Recall ne sera finalement pas disponible à leur lancement.

1 jour ago

Conformité RGPD : l’autoévaluation BCR en 50 questions

La CNIL a produit un outil d'évaluation de maturité pour les projets de BCR. On…

2 jours ago

Comment Accor a basculé son système de réservation sur AWS

La plateforme de réservation du groupe Accor, TARS, est exploitée sur AWS.depuis fin 2023. Une…

2 jours ago

VMware by Broadcom : les frais de fonctionnement réduits, les revenus aussi

Sous l'ère Broadcom, VMware coûte moins... et rapporte moins. Coup d'œil sur sa contribution actuelle…

2 jours ago