Le 14 décembre dernier a été publié sur le site du gouvernement dédié à l’e-santé la feuille de route du numérique en santé pour 2023 à 2027. Cette feuille propose entre autres de renforcer la souveraineté en changeant le cadre réglementaire de l’hébergement des données de santé. Cela affectera notamment la certification « hébergement des données de santé » (HDS).
Tout d’abord, définissons les données de santé. D’après la CNIL[1], il s’agit de « toutes données à caractère personnel concernant la santé :
- Les données relatives à la santé physique ou mentale
- Passée, présente ou future
- D’une personne physique
Qui révèlent des informations sur l’état de santé de cette personne ».
En France, l’article 1111-8 du code la santé publique s’applique concernant l’hébergement des données de santé . Cet article spécifie que « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. ». Cet article distingue ensuite les trois types d’hébergement des données de santé :
- L’hébergement de données de santé sur support informatique : un certificat de conformité est délivré par un organisme de certification accrédité par le COFRAC (Comité français d’accréditation).
- L’hébergement de données de santé dans le cadre d’un service d’archivage électronique : un agrément est délivré par le ministère chargé de la culture.
- L’hébergement de données de santé sur support papier : il s’agit ici aussi d’un agrément délivré par le ministère chargé de la culture.
La feuille de route publiée dans un communiqué de presse le 14 décembre 2022 sur le site du gouvernement dédié à l’e-santé, esante.gouv.fr, concerne notamment l’hébergement de données de santé sur support informatique. La certification délivrée par un organisme de certification accrédité par le COFRAC est appelée la certification hébergement de données de santé (ou HDS). Celle-ci est prévue par le décret n°2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel et précisé par l’arrêté du 11 juin 2018.
Cette certification HDS est fondée sur un référentiel utilisant des normes ISO ainsi que des exigences spécifiques à l’hébergement de données de santé. Il est précisé sur le site esanté que l’hébergeur souhaitant obtenir la certification doit s’adresser à un organisme certificateur qui devra être accrédité par le COFRAC, comme par exemple l’Afnor. Cet organisme réalise alors deux audits, un premier audit documentaire et ensuite un audit sur site. À la suite des audits et en cas de conformité, l’hébergeur recevra un certificat pour une durée de trois ans. Il sera néanmoins nécessaire de continuer de faire appel à un organisme certificateur pour réaliser un audit de surveillance chaque année. Au jour d’écriture de cet article, d’après la liste disponible sur le esanté.gouv, 237 hébergeurs sont certifiés.
La feuille de route veut donc renforcer cette certification dans un objectif de renforcement de la souveraineté. Elle propose pour cela de renforcer le cadre réglementaire sur l’hébergement. Notamment « la certification “hébergement de données de santé” (HDS) évoluera en 2023 pour intégrer un hébergement systématique des données de santé dans l’Espace économique européen (ou dans un pays offrant un niveau de protection adéquat au sens du RGPD) avec des mesures juridiques ou techniques de réduction du risque de transfert extraterritorial des données »[2]. Il est rajouté que « dès qu’une offre suffisamment large sera disponible, les acteurs devront systématiquement opter puis migrer vers des solutions qui ne dépendent pas de droits et capitaux extra-européens ».
Il s’agirait donc d’imposer un hébergement dans l’Espace économique européen ou dans des pays jugés comme adéquats au regard du RGPD. Sur le site de la CNIL[3] sont recensés ces différents pays, actuellement 49 pays sont considérés adéquats (parmi eux les pays de l’Union Européenne et l’Espace Économique Européen). Or, les plus grands hébergeurs certifiés actuellement ne sont pas situés dans des pays classés comme adéquats. Par exemple Microsoft, hébergeur officiel du Health Data Hub, une plateforme d’échange de données de santé française, se situe dans un pays non-adéquat, les Etats-Unis. Il a été déjà été demandé que cette plateforme change d’hébergeur, mais Stéphanie Combes, la directrice de la plateforme, a déclaré que “la migration ne semble pas envisageable avant 2025”[4].
Cette nouvelle direction de la feuille de route priverait donc plusieurs hébergeurs importants de la liste d’hébergeurs certifiés de la certification HDS à l’avenir. Cela se répercutera sans doute sur ceux voulant hébergés leurs données de santé de façon sécurisée tels que les établissements hospitaliers. La feuille de route tempère ceci puisqu’elle dit spécifie bien que la migration forcée ne sera faite qu’une fois qu’une offre suffisamment large sera disponible, mais au vu de la situation actuelle et comme l’a exprimé Stéphane Combes, cette migration prendra des années. La mise en place d’un hébergement des données de santé souverain semble encore être un rêve lointain.
[1] https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
[2]https://esante.gouv.fr/sites/default/files/media_entity/documents/projet_feuillederoutenumensante_2023_2027.pdf
[3] https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
[4] https://www.usine-digitale.fr/article/microsoft-restera-l-hebergeur-du-health-data-hub-jusqu-en-2025.N2043032
