Un décret renforce les obligations prévues par le référentiel HDS vis-à-vis des risques que font peser les législations non-européennes.

L'article 32 de la loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique, dite loi Sren modifie le IV de l'art.L.1111-8 du code de la santé sur l'hébergement des données de santé à caractère personnel. Face aux risques que font peser les législations non-européennes, il inscrit au niveau législatif les dispositions introduites par le gouvernement dans la nouvelle version du référentiel de certification applicable aux hébergeurs de données de santé (HDS) visant à garantir la sécurité et la confidentialité des données de santé hébergées en France. Ce référentiel s'applique aux hébergeurs et aux prestataires de services cloud qui traitent ce type de données sensibles.

Un décret du 24 mars précise la portée des nouvelles obligations :

- obligation de stocker les données dans l'UE + nouvelles stipulations dans le contrat conclu entre l'hébergeur et son client face aux risques de transfert de données à caractère personnel ou d'accès non autorisé ;

- obligation de certification HDS pour un hébergeur qui conserve des données dans le cadre d'un service d'archivage électronique.

- face aux risques que font peser les législations non-européennes.

A noter : l'Agence du numérique en santé a organisé le 18 mars un webinaire pour faire le point sur la certification HDS et son avancement vers sa nouvelle version v2 ainsi que les impacts du décret Sren.