Le référentiel HDSv2 n’est applicable que depuis un an, et pourtant, les lignes vont déjà bouger.
Les semaines à venir promettent d’être riches en péripétie.
Au niveau législatif, l’adaptation à EEDS soulève des questions
La loi n’exige de certification qu’en matière d’utilisation primaire des données de santé et, plus précisément, pour les « activités de production de soins« .
La généralisation de l’utilisation secondaire, à partir de mars 2027, interroge : faut-il une extension du champ d’application de l’article L1111-8?
La révision du « Décret Hébergeur« , c’est quasiment sûr
La CNIL était ainsi saisie, le 16 octobre dernier, d’une demande d’avis sur un projet de réforme.
Sens et teneur de l’avis restent inconnus, à cette heure.
Guettez donc la consultation publique si la Commission devait se voir notifier le texte.
Quid du référentiel lui-même?
La version 2 du référentiel est truffée :
1️⃣ d’incongruences (prenez la représentation des garanties)
2️⃣ d’assertions dont la portée reste incertaine (la fameuse antienne de l’activité HDS-5).
Faudra-t-il un nouvel arrêté ou l’audace limitera-t-elle les évolutions à une modification de la FAQ?
Au niveau jurisprudentiel, enfin.
Le juge des référés du TJ Amiens a ordonné une expertise pour déterminer si les engagements ISO27001 / HDS d’un prestataire avaient été respectés.
Cas isolé? Pas vraiment.
La « certification« , qui repose sur une logique d’échantillonnage, va ici se heurter à une logique de revue intégrale de la conformité de la pratique aux engagements de l’hébergeur.
Pire, alors qu’elle est souvent menée par des non-juristes, elle va subir ici un examen de licéité complet.
🗣️ Qu’en pensez-vous ?
Le dispositif doit-il être repensé de fond en comble ?
Ou quelques ajustements suffiraient-ils ?
Partagez vos retours en commentaires.
Sources:
TJ Amiens, ord., 14 mai 2025, RG n° 25-00089