Les nouvelles exigences de localisation pour la certification HDS
Article rédigé le 11 octobre 2022 par Me Adriane Louyer
La Délégation ministérielle du Numérique en Santé (DNS) a annoncé lors d’une table ronde sur l’e-santé organisée par l’Agence du Numérique en Santé (ANS) la révision en cours du référentiel de certification hébergement des données de santé (HDS). La certification HDS est encadrée par l’article L. 1111-8 du code de la santé publique ainsi que par l’actuel référentiel de certification établi par un arrêté du 11 juin 2018 du ministre de la Santé et du ministre de l’Économie. Ce référentiel comprend plusieurs exigences pour obtenir la certification HDS que nous limiterons, dans cet article, aux exigences liées à l’encadrement des transferts de données hors Union européenne.
En effet, dans le cadre de cette table ronde, la DNS a précisé les nouvelles exigences qui seront intégrées au futur référentiel de certification HDS pour encadrer ces transferts hors de l’Union européenne. Ces annonces invitent tout d’abord à replacer quelques éléments de contexte sur l’évolution de la réglementation depuis 2018 concernant les transferts de données en dehors de l’Union européenne, avant d’analyser les annonces de la DNS sur ce nouveau référentiel de certification HDS.
Les évolutions réglementaires sur le transfert de données de santé hors de l’Union européenne depuis 2018
Tout d’abord, il convient de rappeler que l’actuel référentiel de certification de 2018 impose aux hébergeurs des exigences minimes sur la localisation des données, à savoir :
- en exigence principale, l’obligation de préciser la liste des pays où les données sont hébergées, et ;
- en exigence complémentaire de permettre au client de choisir parmi la liste de ces pays, le pays d’hébergement des données.
Le référentiel de certification de 2018 n’impose donc pas une obligation d’hébergement européenne des données de santé afin de permettre l’obtention de la certification d’hébergeur de données de santé. Il convient de rappeler que l’approbation de ce référentiel par arrêté s’est faite peu de temps après l’entrée en vigueur du RGPD en 2018. Or depuis 2018, la réglementation sur les transferts de données a été précisée par le Comité européen à la protection des données et la CNIL à la suite de l’invalidation du Privacy Shield par la Cour de Justice de l’Union européenne dans son arrêt Schrems II du 16 juillet 2020.
Plus précisément s’agissant de la CNIL, cette dernière a précisé sa position sur le risque d’accès aux données, en particulier par les autorités américaines, à la suite de cet arrêt Schrems II dans une publication sur le Health Data Hub (ci-après « HDH ») en février 2021. En effet, l’accès possible aux données du HDH par les autorités américaines représente l’un des principaux enjeux de la demande d’autorisation auprès de la CNIL pour l’hébergement des données au sein du HDH (pour aller plus loin vous pouvez retrouver notre vidéo dédiée).
La CNIL a ensuite confirmer sa position dans son référentiel relatif aux traitements de données mis en œuvre à des fins de création d’entrepôts de données de santé, adopté dans le cadre d’une délibération du 7 octobre 2021, pour lequel nous avions dédié un article en février dernier à la question de la souveraineté numérique. Plus précisément, dans ce référentiel entrepôt de données de santé, la CNIL impose aux responsables de traitement qui souhaitent pouvoir bénéficier de ce référentiel que le sous-traitant relève exclusivement des juridictions de l’Union européenne et soit certifié ou agrée HDS selon les dispositions du code de la santé publique.
La difficulté est que le référentiel de certification HDS n’impose pas aujourd’hui que l’hébergeur relève exclusivement des juridictions de l’Union européenne. La DNS a déjà précisé certains éléments de ce nouveau référentiel de certification sur l’épineuse question des transferts de données en dehors de l’Union européenne.
Les annonces de la DNS sur le nouveau référentiel de certification HDS
Selon les précisions apportées par la DNS, l’encadrement des transferts de données hors de l’Union européenne dans le prochain référentiel de certification reposera sur deux nouvelles exigences, à savoir :
- l’obligation d’un hébergement sur le territoire de l’espace économique européen, ou dans un pays reconnue comme adéquat;
- l’obligation de transparence de l’hébergement vis-à-vis de ces clients sur les éventuels risques de transfert auquel l’hébergeur est soumis.
La DNS a précisé qu’à ce stade, il s’agit d’un nouveau socle d’exigences minimales de conditions d’hébergement qui ne va pas aussi loin que les exigences que peut imposer par exemple l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Par ailleurs, la DNS a évoqué les référentiels européens qui ne sont pas encore fixés et pour lesquels elle ne peut encore se référer pour imposer de nouvelles exigences. On peut penser notamment au projet de règlement européen sur l’espace européen des données de santé qui est en cours d’élaboration. Ce nouveau référentiel pourra donc faire une nouvelle fois l’objet d’évolutions ultérieures en fonction de l’adoption de divers référentiels européens.
Ce choix d’un socle minimal prévoyant deux nouvelles exigences relatives aux transferts de données en dehors de l’Union européenne appelle à plusieurs remarques puisqu’elles ne vont pas aussi loin que les exigences actuelles de la CNIL.
D’une part, il convient de rappeler que la notion de transfert de données en dehors de l’Union européenne est une notion plus large que la notion d’hébergement de données. La CNIL a précisé cette notion de transfert dans son référentiel entrepôt de données de santé comme « tout accès distant aux données depuis l’extérieur du territoire européen ». Ainsi sont considérés comme des transferts de données hors de l’Union européenne l’hébergement de données en dehors de ce territoire, mais également le simple accès aux données hébergées dans l’Union européenne par des autorités d’Etats non-membres. A ce titre, en raison des dispositions extraterritoriales du Cloud Act et d’autres réglementations relatives à la sécurité nationale américaine (FISA et l’Executive Order 12333), les sociétés américaines qui hébergent des données de santé sont particulièrement visées par ce risque d’accès aux données hébergées au sein de l’Union.
Dès lors, en ne prenant pas en compte cette définition large des transferts de données, la DNS ne s’aligne pas sur les obligations actuelles imposées par la CNIL pour les flux transfrontières des données dans le cadre d’un entrepôt de données de santé. Dès lors, un responsable de traitement qui souhaite réaliser un entrepôt de données devra s’assurer que son sous-traitant auprès de qui il héberge les données soit certifié HDS mais ne pourra toujours pas bénéficier du référentiel de l’entrepôt de données de santé si ce sous-traitant n’est pas exclusivement soumis aux juridictions de l’Union européenne, comme le prévoit le référentiel de la CNIL sur les entrepôts de données de santé.
D’autre part, s’agissant du rapport de transparence certaines sociétés américaines, telles que Google ou Microsoft, déjà confrontées à des demandes d’accès des autorités américaines, ont mis en place ce type de procédure de transparence. Google a d’ailleurs récemment fait valoir auprès des services de la CNIL que ses rapports de transparence étaient des mesures supplémentaires de protection des données mises en place par Google pour assurer la protection des données dans le cadre des transferts de données par sa solution Google Analytics vers les Etats-Unis. Sur ce point, la CNIL a considéré dans sa mise en demeure récente d’un gestionnaire de site web utilisant Google Analytics qu’« il doit être relevé que ni la notification des utilisateurs (si celle-ci est possible), ni la publication d’un rapport de
transparence ou d’une politique de gestion des demandes d’accès gouvernementales (« policy
on handling government requests ») ne permet concrètement d’empêcher ou de réduire l’accès
des services de renseignement américains ». La CNIL écarte ainsi le rapport de transparence comme mesure suffisante pour permettre de garantir un niveau de protection équivalent au droit européen. Dans le cadre d’un hébergement des données de santé, la CNIL estimera très certainement que ces rapports de transparence sont des mesures insuffisantes pour limiter le risque de transfert des données hébergées sur le territoire européen dans la mesure où ces rapports ne permettent pas d’empêcher les accès aux données par des autorités de pays non adéquats à la réglementation européenne.
La DSN a précisé qu’une consultation publique sur le nouveau projet de référentiel devrait débuter prochainement sur le site de l’ANS. Il est difficile de savoir si ces contributions permettront de modifier le projet du futur référentiel de certification HDS.
En revanche, l’avis de la CNIL sur ce futur référentiel sera certainement davantage pris en compte et pourrait conduire le ministère de la Santé à renforcer ses exigences sur l’encadrement des transferts hors de l’Union européenne dans le cadre de la certification HDS. Il semble d’ailleurs que la CNIL n’ait pas été saisi du projet d’arrêté du 11 juin 2018 approuvant l’actuel référentiel de certification HDS, puisque l’arrêté de 2018 ne mentionne pas dans son visa une saisine spécifique de la CNIL sur ce projet d’arrêté. Dès lors, l’avis de la CNIL sur le futur référentiel de certification HDS sera scrutée avec attention.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.