La certification HDS a pour vocation de renforcer la protection des données de santé des Français et de construire un environnement de confiance autour de l’eSanté et du suivi des patients. Elle vise toutes les entités publiques ou privées qui hébergent, exploitent ou réalisent des sauvegardes des données de santé. Face à la montée de la menace cyber, l’Agence du Numérique en Santé a lancé en 2023 une refonte du référentiel HDS en sollicitant les utilisateurs et offreurs de services. Le nouveau texte introduit ainsi des critères plus exigeants de souveraineté et de transparence.
Marguerite Brac de la Perrière, avocate spécialiste numérique et santé et partenaire de Numeum, et Giuliano Ippoliti, directeur de la cybersécurité de Cloud Temple, apportent leur éclairage sur les changements apportés par le nouveau référentiel dans cet entretien croisé.
Pourquoi était-il temps de mettre en œuvre une nouvelle version du référentiel HDS ?
Marguerite : Le précédent référentiel HDS datait de 2018. Il avait un petit peu vieilli, notamment parce que la norme ISO 27 001 avait été mise à jour entre temps.
Il y avait aussi un certain nombre de sujets qui posaient des difficultés aux acteurs, en particulier en lien avec l’application des lois extraterritoriales et avec la définition de l’activité 5 du référentiel, définie par le décret de 2018 relatif à l’administration et l’exploitation des systèmes d’information de santé.
Cette activité était donc un peu à la frontière des activités d’un hébergeur et d’un éditeur. Cela peut donc poser des difficultés quant à l’interprétation, par exemple savoir qui doit être certifié, en fonction des activités qui sont réalisées in concreto. L’ambition de ce nouveau référentiel était notamment de clarifier ces différents éléments.
Quelles sont les principales différences entre l’ancien référentiel et cette nouvelle version ?
Marguerite : Ce qui est intéressant dans ce nouveau référentiel, ce sont les éclairages, même s’ils restent imparfaits sur la fameuse activité 5.
Il y a également des nouvelles garanties et obligations de transparence en lien avec les sujets d’application des lois extraterritoriales. Cela permet de savoir quelles sont les obligations à la charge des hébergeurs pour informer correctement leurs clients sur les risques éventuels d’application des lois extraterritoriales et notamment sur l’obligation d’héberger les données sur le territoire de l’Espace Européen Économique (EEE), qui est peu plus large que l’UE.
Giuliano : C’est effectivement l’évolution la plus significative dans le référentiel : la transparence. Cette introduction du nouveau référentiel n’est pas une révolution. Il y a des choses qui ne changent pas. Par exemple, ISO 27 001 reste le socle du référentiel, même si la nouvelle version 2022 est désormais la version de référence. Les six activités du référentiel ont été conservées, mais leur formulation a été améliorée. Il y a notamment eu une inversion entre les activités 3 et 4. Il y a de nouvelles exigences qui tournent autour de trois axes : la souveraineté, la transparence et la conformité au RGPD.
Sur les aspects liés à la souveraineté, il y a une obligation de prendre en compte les risques liés à l’exposition aux lois extraterritoriales. Il y a effectivement cette exigence d’héberger les données dans l’Espace Économique Européen.
Ce qui est également intéressant, c’est que ce nouveau référentiel pousse vraiment assez loin la transparence et oblige les fournisseurs de services certifiés HDS à publier la liste de leurs sous-traitants, ce qui est vraiment important, notamment pour ceux qui pourraient être soumis à des lois à protection territoriale établis en dehors de l’Espace Économique Européen.
Qu’est-ce qui vous interpelle dans l’activité 5 établie par le référentiel HDS ?
Pour rappel, il y en a six. La première porte sur l’hébergement physique. La deuxième concerne la gestion de l’infrastructure, la troisième la gestion de l’infrastructure de virtualisation. La quatrième se concentre sur la gestion de l’OS et du middleware et la cinquième sur l’infogérance, les actions de l’administration. Enfin, la sixième éclaircit ce qui concerne la sauvegarde externalisée.
Marguerite : On est sur un sujet qui est un serpent de mer depuis 2017. À partir du moment où on a eu connaissance d’un projet de décret sur l’hébergement de données de santé en 2018, cela a suscité beaucoup de réactions.
L’activité 5 qui est l’administration et l’exploitation d’un système d’information de santé est un peu à la frontière des activités d’un hébergeur et d’un éditeur. Il s’est donc posé la question de savoir si les éditeurs devaient être également certifiés sur cette activité.
Depuis, on se rend compte qu’il y a de nombreux éditeurs qui ont décidé d’aller chercher cette certification.
À l’inverse, des éditeurs et des hébergeurs se sont fait certifier alors qu’ils n’étaient pas supposés intervenir sur le côté applicatif métier des systèmes d’information, mais uniquement du côté infrastructure d’hébergement.
La définition des périmètres d’intervention respectifs des éditeurs et des hébergeurs faisait qu’on avait du mal à circonscrire le périmètre de cette activité 5.
Pendant un temps il a été question de la supprimer par la voie d’un décret. Finalement, cela n’a pas été retenu comme solution. Ce nouveau référentiel apporte des précisions et permet aux acteurs de déterminer qui doit être certifié en fonction des différentes activités.
On constate que les chaînes contractuelles sont parfois tellement complexes qu’il est difficile de déterminer si ce sont uniquement les ressources ou les interventions sur ces ressources fournies par l’hébergeur qui nécessitent une certification de niveau 5. En réalité, il peut s’agir également de ressources mises à disposition par d’autres hébergeurs ou même de certaines activités des éditeurs. Ces éléments peuvent constituer des failles de sécurité dans les environnements hébergés, ce qui implique qu’ils devraient également être certifiés.
Une remontée fréquente, c’est qu’un certain nombre d’acteurs établissements de santé se voient imposer par les hébergeurs d’être eux-mêmes certifiés sur l’activités 5, sans quoi, l’hébergeur refuse de fournir ses services. On arrive finalement sur des excès qui ne sont pas alignés avec l’esprit du texte. Il y a donc eu des remontées terrain pour l’ANS (Agence du Numérique en Santé), qui ont permis la mise en place d’une FAQ. Cela permet de mieux déterminer les actions discriminantes, notamment en lien avec la gestion des accès aux environnements et aux données de santé, que ce soit du côté de l’éditeur ou de l’hébergeur.
Giuliano : C’est peut-être l’occasion de rappeler comment Cloud Temple a appréhendé cette complexité. Cloud Temple a commencé par être certifié sur les activités d’hébergement et de sauvegarde, c’est-à-dire les activités 1, 2, 3, 4 et 6. Nous avions exclu au début l’activité 5.
Ensuite, nous avons élargi le périmètre de notre certification ISO 27 001 à nos activités de services managés (infogérance). Une fois que cette expression de périmètre au niveau d’ISO 27001 a été validée, nous avons présenté l’activité 5 à l’audit de certification HDS.
Pour Cloud Temple, il était relativement simple de faire la distinction entre les activités d’hébergement et celles d’infogérance. Mais pour des éditeurs de logiciels qui sont dans une position plus complexe, avec la nécessité d’implémenter des activités de contrôle d’accès, de chiffrement, ce n’est pas forcément le cas.
Propos recueillis lors des Talks Cloud & Santé organisés par Cloud Temple à SantExpo 2024
