La certification HDS a pour objectif de renforcer la sécurité des données de santé des citoyens français et de favoriser un climat de confiance autour de l’eSanté et du suivi médical des patients. Elle s’applique à toutes les organisations, publiques ou privées, qui hébergent, utilisent ou sauvegardent des données de santé. En réponse à l’augmentation des menaces cyber, l’Agence du Numérique en Santé a lancé en 2023 une révision du référentiel HDS, en collaboration avec les utilisateurs et prestataires de services. Cette nouvelle version introduit des exigences accrues en matière de souveraineté et de transparence.
Nous avons demandé à Marguerite Brac de la Perrière, avocate spécialiste numérique et santé et partenaire de Numeum, et Giuliano Ippoliti, directeur de la cybersécurité de Cloud Temple, d’apporter un éclairage sur le nouveau référentiel dans cet entretien croisé réalisé à SantExpo 2024.
Où se situe le référentiel HDS par rapport à SecNumCloud ?
Giuliano : La conformité HDS se situe entre la conformité ISO 27 001 et la conformité SecNumCloud en termes d’exigence et de complexité, mais la marche à franchir pour passer d’ISO 27 001 à HDS est plus petite que la marche à franchir pour passer de HDS à SecNumCloud.
La différence principale entre HDS et SecNumCloud porte sur le fameux chapitre 19.6 de SecNumCloud qui introduit des exigences très fortes autour de la souveraineté, notamment des clauses autour de l’actionnariat des organismes qui se présentent à la qualification qui doit se situer majoritairement en France.
D’autre part, HDS est bâti sur le même socle de conformité qu’ISO 27 001. Il faut avoir l’esprit qu’ISO 27 001 est une norme de sécurité inspirée du monde de la qualité, mais qui n’oblige pas les entités certifiées à avoir un niveau de sécurité forcément à l’état de l’art.
Dans la déclaration d’applicabilité d’ISO 27 001, il est possible de mentionner des mesures qui sont en cours d’implémentation ou qui sont prévues pour une implémentation future. SecNumCloud, de son côté, pose la barre plus haut en exigeant la conformité avec des normes techniques de l’ANSSI.
Je n’ai pas l’impression que le référentiel HDS va assez loin.
Marguerite : C’est vrai qu’on reproche beaucoup à ce référentiel des difficultés d’interprétation par les organismes certificateurs qui ont du mal à avoir une évaluation harmonisée entre eux. On se retrouve avec des hébergeurs qui, finalement, ont des niveaux de maturité qui ne sont pas forcément identiques.
Giuliano : C’est exactement le point. ISO 27 001 donne des leviers, des marges de manœuvre qui sont relativement importantes. Pour être conforme ISO 27 001, il faut démontrer que le niveau de sécurité qu’on a atteint est cohérent avec les objectifs de sécurité du senior management (la direction générale). Or, le senior management est souverain pour un niveau et un objectif de sécurité qui est cohérent avec sa propre activité. Ce niveau de sécurité ne sera pas le même pour une centrale nucléaire ou pour un éditeur de logiciel. La seule conformité ISO 27 001 ne permet pas de rassurer complètement sur l’atteinte d’un niveau de sécurité très élevé. HDS permet d’aller plus loin, notamment grâce aux exigences de transparence, de souveraineté et de respect des données à caractère personnel. Mais clairement, il reste un grand pas derrière les exigences de SecNumCloud.
Que penser de l’articulation entre les règlementations française et européenne ?
Marguerite : Sur le volet plus Européen, on a toujours eu en France des référentiels sectoriels particuliers que nous sommes seuls à maîtriser et à connaître, mais que nous imposons aux acteurs qui interviennent sur notre territoire.
On peut donc se demander si on va arriver sur un alignement avec notamment l’EUCS.
Giuliano : La France fait office de pionnier sur la question de cybersécurité, notamment autour du cloud et du référentiel SecNumCloud qui est très ambitieux en termes d’exigences de sécurité et de souveraineté.
Du point de vue d’un fournisseur cloud tel que Cloud Temple, l’harmonisation européenne est quelque chose qui est extrêmement souhaitable. Cela donnerait la possibilité de nous présenter au marché européen avec des garanties de sécurité qui parlent à tous les États membres.
Nous suivons de très près les travaux autour de la validation du référentiel EUCS qui a pour objectif d’apporter cette harmonisation en Europe. Nous espérons que la position défendue par la France autour d’une exigence de souveraineté forte soit retenue.
Il parait que la France est minoritaire dans le soutien de cette position très ferme sur la souveraineté. Donc, il est possible que le référentiel EUCS prévoie que le niveau de sécurité le plus élevé soit cohérent avec des offres d’acteurs soumis à des droits extra européens mais établis en Europe.
Marguerite : C’est vrai que le sujet est complexe. Il y a quand même eu une décision d’adéquation de la Commission européenne le 10 juillet 2023 sur les garanties qui lui sont présentées par les Etats-Unis en matière de traitement de données, même si l’histoire a déjà invalidé plusieurs fois les accords qui avaient pu être établis.
Le sujet reste fragile et il convient de mettre en œuvre des mesures pour contrer l’application des lois extraterritoriales en Europe. Sur le sujet de la souveraineté, c’est un terme qui vient avant tout de la France et puis après de l’Europe. Mais quand on parle de souveraineté, par exemple aux États-Unis, on ne pense pas à la défense des données et des acteurs européens, mais davantage à des notions de défense militaire.
On a retenu des notions qui sont, on va dire un peu « nationalistes » ou « européanistes », faute de meilleur terme. Il est intéressant de relever qu’on a une forme de protectionnisme en Europe mais que ce protectionnisme, par capillarité, touche tous les acteurs.
On voit bien que par exemple, avec notre loi informatique et libertés en France, nous avions inspiré le RGPD qui est intervenu après 40 ans de réflexion (1978 à 2018).
On voit donc que par capillarité, les acteurs européens se conforment à nos référentiels. Peut-être que SecNumCloud influencera aussi d’une manière ou d’une autre les débats sur l’adoption de EUCS. En tout cas, on l’espère.
Sur le sujet du RGPD, il y a eu une harmonisation sur les mentions et clauses obligatoire à faire figurer sur le contrat. Pouvez-vous détailler ?
Giuliano : Il y a effectivement l’obligation de mentionner dans le contrat la base juridique des transferts de données extra européennes. Cela va revenir à s’assurer qu’il y ait des clauses contractuelles formalisées avec ses sous-traitants établis hors Union européenne. Ensuite, il y a l’obligation de prendre en compte les droits qui ont été validés à travers le RGPD : droits d’accès aux données, droit de correction, rectification, oubli, etc. C’est certainement lié au fait que l’ancienne version du référentiel datait d’avant l’entrée en application du RGPD. Cette intégration explicite la conformité au RGPD et comble effectivement une lacune qui était propre à l’ancien référentiel.
Marguerite : Le référentiel a essayé de prendre en compte l’ensemble des sujets et des mentions qui doivent figurer obligatoirement dans les contrats. Les organismes de certification ont pu se retrouver en difficulté pour sanctionner, dans les dossiers qui leur étaient soumis, le fait qu’il manquait des clauses au titre du RGPD, bien que ce ne soit ni à eux, ni au référentiel, de déterminer cela puisqu’il s’agit d’un règlement d’application européenne. C’est donc intéressant pour guider les acteurs sur la façon de construire les contrats avec leurs clients.
Pouvez-vous apporter un éclairage sur PAMS (Prestataires d’Administration et de Maintenance Sécurisées) ?
Giuliano : Le référentiel SecNumCloud couvre les activités d’hébergement, c’est-à-dire la mise à disposition de services de type IaaS, PaaS ou SaaS. Il ne couvre pas du tout les activités d’infogérance. Techniquement, il n’est pas interdit de déployer des infrastructures sur un cloud qualifié SecNumCloud et de les faire gérer par un centre offshore, en dehors de l’Europe, ou avec des pratiques d’administration qui sont en dessous des normes de sécurité générales.
Le référentiel PAMS comble ce vide. Il va être l’équivalent de SecNumCloud pour les activités d’infogérance. La combinaison de SecNumCloud avec PAMS, que Cloud Temple vise, permettra d’apporter un niveau de confiance supérieur à la conformité sur l’intégralité du référentiel HDS. Avec l’arrivée de PAMS, on pourrait se demander si le maintien du référentiel HDS, qui reste un peu au milieu entre ISO 27 001 et SecNumCloud, sera nécessaire.
Propos recueillis lors des Talks Cloud & Santé organisés par Cloud Temple à SantExpo 2024.
Découvrez l’autre partie de cet échange dans cet article : ce qui change dans le nouveau référentiel HDS