Les référentiels HDSv2 d’accréditation et de certification ont été publiés au JO du 16 mai 2024. Pour le second, il entre en vigueur au 17 novembre prochain.
Si le document s’est épaissi de 2 pages, par rapport à la version soumise à concertation, le nombre d’exigences a très faiblement diminué. La version finale passe de 32 à 31 exigences.
Des modifications à la marge, me direz-vous.
Grands dieux, non.
Déjà, exit la matrice des rôles et responsabilités.
Le projet soumis à concertation avait – disons-le délicatement – agacé les professionnels du secteur.
In fine, l’article 3.1.1 libellé « Rôle d’hébergeur » se borne à indiquer que peut être HDS toute personne proposant une des six activités HDS et intervenant en tant que sous-traitant.
Cela laissera sans doute sans voix les établissements supports de GHT qui, sans être sous-traitant de leurs membres (sauf peut-être si le GHT profite de la réforme et revendique la personnalité morale ?), ont fait les démarches de certification.
Si je me réfère à la jurisprudence en matière de dispositifs médicaux (ANSM, 12 janvier 2015, Cira), cette définition pourrait être de nature à les priver du renouvellement de leur certificat.
Ensuite, l’alignement sur SecNumCloud v3.2 a fait long feu.
J’avais eu l’occasion de souligner que la version soumise à concertation n’imposait pas une certification, mais simplement de se mettre en conformité avec le référentiel poussé par la France en tant que Schéma Européen de Cyber Sécurité (EUCS).
Dans la version finale, le texte se borne à proposer une matrice de correspondance SecNumCloud / ISO (grosso modo, il y aura donc une présomption de conformité) et, au titre de la souveraineté, à imposer un libellé différent selon l’obtention ou non de cette certification.
Pragmatiquement, cette rétrogradation ne peut que rassurer, tant les hébergeurs soulignaient la quasi-impossibilité de se mettre à niveau.
Venons-en à l’un des principaux axes de réforme, annoncé le 1er avril 2019 – oui, au Cabinet, nous avions cru à une plaisanterie –, à savoir la réforme du périmètre de l’activité HDS 5.
La structure de la version publiée du référentiel est ici… étonnante.
Les activités HDS sont définies par le décret n° 2018-137 du 26 février 2018, ce que le référentiel rappelle, en son 3.1.4.
Pourtant, les délégataires des ministres en charge de la santé et de l’économie ont approuvé un référentiel qui, en son 2.1.2, une interprétation du champ d’application du niveau 5 de l’HDS : l’administration et l’exploitation du système d’information contenant les données de santé.
Au temps pour la hiérarchie des normes, dirais-je.
Innovation… me rétorquerez-vous peut-être.
Peut-être une jurisprudence à venir, pour conclure ?
2nd point crucial, la souveraineté des données.
Si vous me lisez régulièrement, ici ou ailleurs, vous savez ce que j’en pense. En synthèse, et pour paraphraser l’article 3 de la Constitution, si elle appartient au peuple, elle est exercée par ses représentants… qui n’ont pas avancé sur le sujet.
Bien. S’il est mathématiquement plus exigeant que la version soumise à concertation, le référentiel final a, en faits comme en droit, nettement revu ses ambitions à la baisse.
Certes, les données doivent physiquement être hébergées en UE.
Mais en dehors de cela, le référentiel final se borne à prévoir le respect d’une recommandation du CEPD en matière de transfert hors UE et des obligations d’informations.
Ces deux points étonneront.
Par le mécanisme d’approbation du référentiel, cela signifie que les ministres ont donné une valeur opposable à un texte normalement « ignoré » par le droit (CE, 30 janvier 2024, Américains accidentels, n° 466115).
Mieux, cela signifie que la souveraineté des données se joue dans l’information du public et non pas dans la loi, comme le prévoit l’article 3 de la Constitution.
Sans commentaires.
Prêt pour le dernier point ?
Pour mémoire – le sujet a déjà été abordé dans ces colonnes – le Conseil d’Etat comme la CJUE ont prohibé tout renvoi « opposable » à une norme privé, comme l’ISO 27001, dans une norme juridique (CE, 28 juillet 2017, n° 402752 ; CJUE, 5 mars 2024, Public.Resource.Org Inc. Right to Know CLGc / Commission européenne, n° C‑588/21).
L’ANS a proposé aux ministres en charge de la santé et de l’économie, de ne pas tenir compte de ces arrêts.
Pour les contourner, une tactique juridique bien aléatoire a été mise en oeuvre : l’ANS paierait la norme ISO pour tout candidat à la certification : https://www.boutique.afnor.org/fr-fr/norme/nf-en-iso-iec-27001/ technologies-de-linformation-techniques-de-securite-systemes-de-management-/fa187277/59084.
Aussi piètre que vain, ce mouvement ne résout pas la question. La CJUE l’a clairement indiqué, la norme doit être publiée au JO. Et surtout, la prise en charge des frais par l’ANS reste un paiement et, surtout, pourrait constituer une aide d’Etat.