L’hébergement souverain des données de santé : un sujet enfin réglé ?
Article rédigé le 4 juillet 2023 par Me Adriane Louyer
Après une première circulaire de Jean Castex publiée en juillet 2021, sur la doctrine d’utilisation de l’informatique en nuage par l’Etat, dénommée « cloud au centre », Elisabeth Borne a récemment mis à jour cette doctrine par une nouvelle circulaire mise en ligne le 1e juin 2023 au Journal officiel.
Cette circulaire concerne l’usage du cloud par l’Etat et les organismes placés sous sa tutelle qui sont soumis au décret n°2019-1088 du 25 octobre 2019 définissant le système d’information de l’Etat.
Les exigences n’ayant pas fait l’objet de modification
Pour rappel, au titre les exigences qui n’ont pas fait l’objet de modification par cette circulaire figure la recommandation que les projets numériques cloud devront être résiliant et prévoir a minima des services déployés sur plusieurs zones géographiques pour permettre la continuité des activités dans les meilleures conditions (recommandation n°5). Par ailleurs, la doctrine « cloud au centre » recommande toujours lorsque l’administration a recours à une solution de cloud commercial, c’est-à-dire un cloud qui n’est pas interne à l’Etat, que les projets devront prévoir les conditions de fin de contrat et de réversibilité soutenable pour son administration (recommandation n°4). En outre, la nouvelle circulaire rappelle également que les systèmes d’information et applications devront être conformes au RGPD (recommandation n°9).
Les nouvelles exigences de la circulaire concernent le sujet de l’extraterritorialité des données hébergées par des solutions de cloud commercial et des précisions sur les systèmes ou application amenés à traiter des données à caractère personnel d’une sensibilité particulière.
Les précisions apportées par la nouvelle circulaire
À ce titre, la circulaire publiée le 1e juin 2023 apporte les précisions suivantes :
- Sur les transferts de données en dehors de l’UE.
Une attention particulière doit être portée sur les transferts de données personnelles en dehors de l’Union européenne. La circulaire rappelle notamment que même localisées sur le territoire de l’Union européenne, les données doivent être immunisées contre toute demande d’autorité publique d’état tiers (judiciaire ou administrative) en dehors de l’existence d’un accord international en vigueur entre l’état demandeur et l’Union ou un état membre.
Il s’agit d’un rappel des exigences sur l’encadrement des transferts de données en dehors de l’Union européenne prévu par le RGPD et appliqué par la CNIL dans plusieurs de ces décisions.
- Sur la qualification SecNumCloud obligatoire
La circulaire publiée le 1e juin dernier innove sur l’exigence d’une qualification SecNumCloud des systèmes ou application comprenant des données d’une sensibilité particulière. Cette qualification n’est plus à privilégier mais doit être requise dès lors que le système ou l’application traite des données d’une sensibilité particulière et dont la violation est susceptible de présenter une atteinte à l’ordre public, à la santé et à la vie des personnes.
Par ailleurs, l’autre nouveauté de cette circulaire est la définition des données présentant une sensibilisation particulière. Ces données recouvrent :
- Les données qui relèvent d’un secret protégé par la loi dont fait partie le secret médical ;
- Les données nécessaires à l’accomplissement des missions essentielles de l’Etat et notamment la protection de la santé et de la vie des personnes.
Ainsi, les systèmes d’information et applications utilisant une solution de cloud commerciale et contenant des données protégées par le secret médical ou des données nécessaires à la protection de la santé et la vie des personnes devront recevoir la qualification « SecNumCloud » de l’ANSSI.
Sur le champ d’application de cette nouvelle circulaire
La nouvelle circulaire publiée le 1e juin 2023 prévoit une période transitoire pour son application concernant les projets déjà engagés qui pourra être accordée par le ministère dont relève le projet et ne pourra pas aller au-delà de 12 mois.
Enfin, comme mentionné précédemment cette circulaire concerne l’usage du cloud par les services de l’Etat et les organismes placés sous sa tutelle (ministère, ARS…). Le périmètre de cette circulaire peut interroger sur la possibilité pour d’autres administrations publiques et notamment les établissements publics de santé d’invoquer l’application de cette circulaire.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.