C’est un événement passé inaperçu au premier jour de VivaTech, mais qui marque une « étape importante pour la protection des données de santé » des Français. Mercredi 22 mai était présentée la mise à jour du référentiel « hébergeur de données de santé » ou « HDS » devant des établissements de santé et du médico-social, ainsi que des industriels et des acteurs du cloud français.
Le HDS impose aux hébergeurs un certain nombre d’exigences, dès lors que des données de santé comme des diagnostics, des traitements, des résultats sanguins ou des informations relatives au génome sont concernées. Ce type de data de santé personnelles, qu’elles soient recueillies à des fins de prévention, de soins, de suivi, ou à des fins médicosociales, « touchent à notre intimité », tout en représentant « un enjeu stratégique majeur (…) », a expliqué Marina Ferrari, la secrétaire d’État au numérique, venue clôturer ce qui est vu comme une étape importante pour « garantir notre autonomie stratégique ».
Il faut « construire des garde-fous clairs en France et en Europe pour que nos concitoyens et nos acteurs de la santé puissent avoir confiance en ceux qui hébergent aujourd’hui leurs données », a poursuivi la responsable politique. Parmi ces garde-fous se trouve justement le référentiel HDS.
« Une approche pragmatique »
Créé en 2018, l’objectif de l’HDS est d’imposer un certain nombre de règles aux fournisseurs de cloud (informatique en nuage), à chaque fois qu’ils traitent des données de santé, des data considérées comme particulièrement sensibles. Si ces derniers remplissent les conditions de l’HDS, ils obtiennent pour trois ans ce précieux certificat, gage de garanties qu’ils suivent à la lettre les exigences du label. Point important : ce référentiel a trait au management du risque, et non à la cybersécurité.
« Le HDS est basé sur l’ISO 27001 qui est une norme qui spécifie un système de management de la sécurité de l’information », explique Emmanuel Meyrieux, responsable sécurité clients chez OVHcloud, interrogé le lendemain par 01net.com. Pour trouver des exigences en termes de chiffrement ou « de configurations des machines mises en œuvre en conformité avec les prescriptions de l’ANSSI », il faut plutôt se diriger vers la norme SecNumCloud, le plus haut label de cybersécurité français, a rappelé ce dernier. Aujourd’hui, on compte près de 302 hébergeurs estampillés HDS.
Conçu avant le grand texte européen sur les données personnelles, le RGPD, il était question de le mettre à jour depuis 2022. La révision a suivi un long périple avant de devenir effective : repoussée, elle a fait l’objet d’une consultation publique, puis d’une notification à la Commission européenne, avant d’être finalement l’objet d’un arrêté, le 16 mai dernier.
Et dans cette révision, « on a essayé d’avoir une approche qui soit pragmatique, c’est-à-dire qui continue d’accompagner les 300 et quelques hébergeurs déjà certifiés et qui, en même temps, montre une voie vers plus de souveraineté », a précisé Hela Ghariani, déléguée au numérique en santé, pendant l’événement. L’objectif ? Que la France et l’Europe atteigne « une autonomie stratégique sur la gestion de nos données, qui sont, entre guillemets, les plus intimes, les plus personnelles, mais aussi qui ont un intérêt économique et stratégique particulièrement important », a-t-elle ajouté.
La mise à jour renforce progressivement la souveraineté des données
Principal changement de cette seconde version du référentiel : le HDS « renforce de manière progressive la souveraineté des données », avec de nouvelles exigences :
- le stockage des données de santé doit se faire en Europe (dans l’Espace économique européen) ;
- L’hébergeur devra répondre à une nouvelle obligation de transparence, qui consiste à informer le client des risques associés aux législations extraterritoriales. Il devra aussi expliquer « les mesures techniques et juridiques mises en œuvre pour les limiter » ;
- L’hébergeur devra aussi « rendre public, sur son site internet, une cartographie des éventuels transferts des données qu’il héberge vers un pays n’appartenant pas à l’espace économique européen ».
En d’autres termes, « il y a une obligation de transparence grand public sur, finalement, l’état des risques que l’hébergeur fait courir, entre guillemets, aux données au regard de l’extranéité hors Union européenne », résume Émilie Passemard, responsable du pôle Régulation et conformité de la Délégation au numérique en santé (DNS), pendant le lancement.
Concrètement, si une loi extraterritoriale d’un pays tiers à l’espace économique européen s’applique à tel hébergeur :
- ce dernier devra la mentionner, et citer le pays concerné. Il faudra qu’il précise les législations extraterritoriales concernées – si c’est par exemple une filiale d’une société américaine, il faudra évoquer la loi FISA, le cloud act etc.
- L’hébergeur devra ensuite présenter une décision d’adéquation – un accord de la Commission européenne qui reconnaît que les Européens bénéficient des garanties équivalentes, dans le pays en question, à celles auxquelles ils ont droit en Europe.
« À défaut, il y a des garanties appropriées qui doivent être prises, bien sûr, pour assurer le respect du RGPD, et qui sont portées à la connaissance du client », ajoute Émilie Passemard. La Commission nationale de l’informatique et des libertés (CNIL) sera l’organisme qui vérifiera cette exigence juridique, et non l’organisme certificateur, précise-t-elle.
À lire aussi : Nos données de santé sont-elles en danger ? Notre nouvelle émission Clic Droit décrypte l’EHDS
6 mois pour les organismes certificateurs, 24 mois pour les hébergeurs
Les organismes certificateurs ont six mois jusqu’au 16 novembre 2024 pour être en capacité de certifier conformément au nouveau référentiel les candidatures. Et pour les hébergeurs déjà certifiés, eux, ils ont un délai de certification de 24 mois.
Bien qu’à peine effectif, le référentiel devra à nouveau être mis à jour une fois qu’un accord sera trouvé au niveau de son équivalent européen, le futur référentiel de cybersécurité du cloud (EUCS). Bien que l’on parle de localisation des données en Europe, et que l’on contraigne à davantage d’informations sur la question des lois extraterritoriales, le HDS modifié n’implique pas une immunité aux lois extraterritoriales.
À lire aussi : EUCS : les critères de souveraineté sont-ils mis au placard ? Le vote est reporté au mois de juin
Pas de critère d’immunité aux règles extraterritoriales et non européennes
Un point regrettable pour le député Philippe Latombe, qui s’exprimait en ouverture du lancement. Si l’élu Modem reconnaît « un premier pas », il faut aller plus loin, rapporte-t-il. Le parlementaire déplore deux manques : « l’absence de souveraineté des données et de l’hébergement, et l’absence de critères de cybersécurité supplémentaires », en particulier « dans le contexte actuel géopolitique instable avec des attaques cyber de plus en plus importantes en nombre, en profondeur ».
« Dans le référentiel HDS », poursuit-il, « il y a un critère de localisation des données, mais pas un critère d’immunité aux règles extraterritoriales et non européennes » : une gageure au moment où le président américain Joe Biden, dans un executive order, explique en clair que les données sensibles des Américains ne doivent pas être détenues par des cloud providers non américains, souligne le député.
« Et donc si les Américains disent que les données de santé des Américains sont extraordinairement sensibles, que l’anonymisation en l’état actuel (…) n’est plus assurée et qu’il faut les protéger des règles extraterritoriales non américaines, pourquoi ne ferions-nous pas la même chose ? », questionne l’élu.
Pour ce dernier, l’exigence de localisation des données en Europe n’est pas suffisante pour protéger les data de santé, en écho à une lettre ouverte publiée le même jour et signée par OVHCloud, Cloud Temple, Docaposte, Outscale et Drive. Dans ce texte, les clouders français signataires reconnaissent que la révision est « un premier pas positif », « mais qui doit en précéder d’autres : la prochaine révision du référentiel, déjà prévue pour 2027, devra garantir une véritable souveraineté des données de santé, en exigeant une immunité aux lois extraterritoriales », plaident-ils.
Pour preuve : l’accord passé entre le président chinois Xi Jinping, et la Hongrie pour mettre en place un cloud hybride, l’équivalent d’un Bleu ou d’un S3NS dans ce pays, souligne le député Latombe. La future infrastructure en nuage permettra aux entreprises chinoises de pouvoir avoir des données hébergées, localisées en Europe, mais accessibles aux entreprises chinoises… De quoi constituer une brèche dans l’objectif de sacro-sainte souveraineté prôné par l’exécutif français et européen.
Note de la rédaction : Contrairement à ce que nous avions retranscrit suite à l’entretien d’Emmanuel Meyrieux, responsable sécurité clients chez OVHcloud, le HDS est basé sur l’ISO 27001 et non l’ISO 2020 – une erreur de retranscription qui a été corrigée ce lundi 27 mai.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Tant que nos serveurs de données fonctionneront avec des matériels et logiciels américaines , nos données de santé et personnels ne seront pas en sécurité, même si les serveurs sont en france ; toutes ces promesses, ces normes ne sont que de la poudre aux yeux de la part des politiques qui en grande majorité ne savent même pas planté un clou dans un mur.
ISO 2020??? Câbles en acier souples préformés pour commandes d’aéronefs?????
Bonjour,
En effet, il s’agit d’une erreur : la norme ISO concernée est la norme ISO 27001. La correction a été faite, merci à vous !
Cela n’a jamais été une question de sécurité mais de dictature numérique