Hébergement de données de santé, décryptage des récentes évolutions
Skip to main content
Demande de renseignements sur le site web : France (FR)
Insight

Hébergement de données de santé, décryptage des récentes évolutions

Marguerite Brac de La Perrière
19/03/2025
A woman's profile is digitally overlaid with binary code (0s and 1s), data particles, and a glowing sphere, creating a futuristic and technologically advanced aesthetic. The image blends human and digital elements in a high-tech conceptual design.

Locations

France

Le régime relatif à l'hébergement de données de santé évolue régulièrement depuis 2009, date à laquelle le régime - créé par la Loi Kouchner de 2002 - est réellement entré en vigueur. Pour mémoire, le régime impose une certification à "toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même".

Particularisme national français à l'origine, plusieurs pays européens ont adopté de nouvelles exigences similaires ces dernières années, à commencer par l'Allemagne.

Evolution des textes

Par arrêté du 26 avril 2024, ont été adoptés les référentiels V.2 de certification et d'accréditation, modifiant les référentiels V.1.

Les nouveaux candidats à la certification HDS sont évalués depuis le 16 novembre 2024 par rapport à cette nouvelle version du référentiel HDS, quand les hébergeurs de données de santé déjà certifiés HDS doivent obtenir leur certification conformément au nouveau référentiel au plus tard le 16 mai 2026.

Le référentiel précise le champ d'application du référentiel, rappelant notamment qu'il s'applique à toute personne (i) fournissant l'une ou l'autre des 6 activités d'hébergement et (ii) qui a la qualité de sous-traitant au sens de l’article 28 du RGPD.

Par ailleurs, le référentiel présente une définition de la fameuse activité 5 d'hébergement de données de santé "administration et exploitation du système d’information contenant les données de santé", apportant ainsi des réponses quant au périmètre de l'activité, mais aussi de nouvelles questions.

Enfin, le référentiel de certification introduit des évolutions visant à :

  • Améliorer la lisibilité des garanties apportées par un Hébergeur certifié sur les prestations qu’il réalise pour un client donné, c’est-à-dire la transparence à l'égard des clients,
  • Clarifier les obligations contractuelles de l’Hébergeur définies dans le code de la santé publique, notamment leur articulation avec les obligations au titre du RGPD, ou apporter des précisions (ex : conditions de réversibilité)
  • Renforcer les exigences de protection des données personnelles au regard des transferts de données hors de l’Union européenne.

En matière de souveraineté des données, une nouvelle exigence impose le stockage des données de santé exclusivement au sein de l'Espace Economique Européen (EEE) ; sans préjudice des cas d’accès à distance depuis un pays en dehors de l'EEE, dans le respect de garanties appropriées, et avec la plus grande transparence à l'égard du client, notamment sur les mesures de sécurité destinées à atténuer les risques d'accès en vertu de lois d'application extra territoriales, et les risques résiduels.

Dans le même sens, la Loi SREN du 21 mai 2024 a soumis les administrations de l'Etat et ses opérateurs à l'obligation (sauf projet déjà engagé et demande de dérogation), lorsqu'ils ont recours à un service d'informatique en nuage fourni par un prestataire privé, de veiller à la mise en œuvre de critères de sécurité et de protection des données écartant tout risque d'accès par des autorités publiques d'Etats tiers non autorisés par le droit de l'UE ou d'un Etat membre.

Interprétation des textes

L'Agence du Numérique en Santé est récemment venue apporter des précisions sur l'interprétation des dispositions légales et réglementaires relatives à l'hébergement de données de santé, au moyen de sa FAQ, d'abord le 12 février 2025 mais sans le sujet exemption des GHT, puis en la complétant avec cette exemption et ses conditions d'application, le 4 mars suivant.

A ce titre, les GHT peuvent toujours prétendre à l'exemption de l'obligation de certification si (i) la convention du GHT prévoit la délégation d'hébergement à un établissement membre, (ii) un accord de responsabilité conjointe est conclu entre l'ensemble des membres, et (iii) le respect du palier de sécurité dit « hébergement de données de santé » défini dans le dispositif de certification.

En dehors de cette exemption, de nombreuses précisions éclairent le régime, par le périmètre de la prévention visée par l'art. L1111-8, celui de l'activité 5 à nouveau, l'obligation pour l'hébergeur d'être certifié sur toutes les activités de son offre même confiées à un sous-traitant certifié…

Mais le champ d'application du régime HDS reste un sujet inépuisable, avec encore de nombreuses zones grises notamment dans le contexte de l'IA…

Domaines d'expertise

Numérique