Date de l’avis : 13 juillet 2023	N° de la délibération : n° 2023-078
N° de demande d’avis : 23005896	Texte concerné : Arrêté modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel
Auteur de la saisine : Ministère de la santé et de la prévention
Thématiques : hébergement des données de santé (HDS) ; certification	Fondement de la saisine : R. 1111-10-1 du code de la santé publique

L’essentiel :

Le projet d’arrêté actualise les dispositions du référentiel de certification des hébergeurs de données de santé (HDS).

La CNIL relève le travail mené par le ministère visant à renforcer les exigences juridiques et techniques du référentiel de certification.

Elle invite le ministère à prévoir dans le référentiel deux niveaux de certification HDS : le niveau actuellement proposé dans le projet de référentiel de certification et un niveau renforcé incluant des exigences similaires à la qualification SecNumCloud (ou de mettre en place des mesures visant à garantir une immunité contre tout accès non autorisé par des autorités publiques d’État tiers), afin d’inciter dès à présent un hébergeur ou ses sous-traitants à mettre en œuvre un niveau de sécurité renforcé.

Dans une finalité pédagogique pour les acteurs concernés, certaines exigences du référentiel mériteraient d’être clarifiées ou illustrées. De plus, en vue d’harmoniser les exigences de sécurité pour l’ensemble des acteurs, certaines mesures techniques ou organisationnelles présentes dans le référentiel SecNumCloud mériteraient de figurer expressément dans le projet de référentiel de certification, et non de se déduire de l’analyse de risques telle que prévue par la norme ISO/IEC 27001.

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-4°, a) ;

Sur la proposition de M^me Valérie PEUGEOT, commissaire en son rapport, et après avoir entendu les observations de M. Damien MILIC, adjoint au commissaire du Gouvernement,

ADOPTE LA DELIBERATION SUIVANTE :

I. La saisine

A. Le contexte de la saisine

L’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement des données à caractère personnel a modifié l’article L. 1111-8 du code de la santé publique (CSP) en imposant le recours à la certification pour la prestation d’hébergement de données de santé sur support numérique, en remplacement de la procédure d’agrément. La procédure de certification des hébergeurs de données de santé (HDS) est entrée en vigueur suite à la publication du décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel.

Selon ces dispositions toute personne qui héberge des données de santé à caractère personnel (DSCP) recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même réalise cet hébergement après obtention de la certification HDS, délivrée par un organisme certificateur accrédité par le COFRAC.

Compte tenu de l’évolution des textes et des retours des acteurs concernés, le ministère de la santé et de la prévention, procède à une première révision du référentiel de certification HDS.

B. L’objet de la saisine

La CNIL a été saisie par le ministre de la santé et de la prévention d’un projet d’arrêté modifiant l’arrêté du 11 juin 2018 portant notamment approbation du référentiel de certification pour l’hébergement de données de santé à caractère personnel, mentionné à l’article R. 1111-10 du CSP.

Ces évolutions ont notamment pour objectifs de :

• améliorer la lisibilité des garanties apportées par un hébergeur certifié sur les prestations qu’il réalise pour un client donné ;
• clarifier les obligations contractuelles de l’hébergeur définies dans le code de la santé publique ;
• renforcer les exigences de protection des données personnelles au regard des transferts de données hors de l’Union européenne.

II. L’avis de la CNIL

A. Sur le projet de référentiel

La CNIL salue le travail mené par le ministère visant à renforcer les exigences juridiques et techniques du référentiel de certification. Elle prend acte de ce que le ministère précise qu’il s’agit d’une première étape, et qu’il est envisagé, dans un second temps, de renforcer les exigences portant sur les mesures de souveraineté européenne . Ces modifications auront lieu au plus tard d’ici 2027, en cohérence avec les futurs référentiels européens European Cybersecurity Certification Scheme for Cloud services (EUCS) .

Dans la continuité des efforts qui ont été menés par le ministère, la CNIL émet des observations portant, d’une part, sur les mesures encadrant les transferts de données et les risques d’accès ainsi que, d’autre part, sur les mesures de sécurité. En dernier lieu, afin de renforcer la sécurité juridique du référentiel, la CNIL propose d’en clarifier certaines exigences.

Sur les exigences relatives à la partie 7 souveraineté des données

Sur les lieux d’hébergement (exigence n° 28)

L’exigence n° 28 prévoit que le prestataire certifié HDS a l’obligation d’héberger les données de santé exclusivement au sein des pays membres de l’Espace économique européen (EEE). Cette exigence est nouvelle par rapport à l’état actuel du référentiel. La CNIL accueille favorablement ce renforcement des exigences d’hébergement.

Elle prend acte de ce que le ministère s’est engagé, au cours de l’instruction, à préciser cette exigence afin de mentionner qu’elle s’appliquera à l’hébergeur et à ses sous-traitants, uniquement pour les infrastructures techniques utilisées pour le stockage.

Pour autant, la CNIL estime que le référentiel devrait imposer le recours à un hébergeur et à des sous-traitants qui, ayant accès aux données respectent la qualification SecNumCloud et sont immunisés contre tout accès non autorisé par des autorités publiques d’État tiers.

Aussi, la CNIL s’est interrogée sur les raisons ayant conduit le ministère à ne pas exiger une qualification SecNumCloud ou équivalente, proscrivant tout accès non autorisé à ces bases de données par des autorités publiques d’Etat tiers. Le ministère a fait valoir que trop peu d’acteurs du secteur seraient en capacité de fournir les prestations d’hébergement de données de santé conformes à ces exigences, et qu’une telle exigence ne permettrait pas d’assurer la continuité du service public. Il résulte en effet des pièces du dossier qu’un seul hébergeur HDS présente aujourd’hui la qualification SecNumCloud version 3.2, qui comporte l’exigence relative à l’immunité extra-européenne.

La CNIL relève par ailleurs que le référentiel prévoit dans la partie 8 intitulée Représentation des garanties davantage de transparence de la part de l’hébergeur vis-à-vis de ses clients, dans le cadre de la prestation de service d’hébergement proposée, concernant les acteurs qui participent au traitement des DSCP. Ces exigences de transparence renforcées permettent notamment de lister les transferts de données mis en œuvre dans le cadre de la prestation d’hébergement, vers des pays tiers à l’EEE et les risques d’accès aux données qui seraient imposés par la législation d’un pays tiers à l’EEE.

Suite aux échanges avec le ministère, la CNIL accueille favorablement l’engagement du ministère de préciser ces modalités de transparence dans le référentiel, en distinguant notamment, d’une part, les exigences de transparence relatives aux transferts de données et, d’autre part, celles portant sur les risques d’accès.

La CNIL invite le ministère, en premier lieu, à officialiser son projet d’exiger une qualification SecNumCloud ou équivalente au plus tard en 2027, afin que les acteurs puissent s’y préparer ; en second lieu, elle estime important que les hébergeurs qui assureront d’ores et déjà une immunité aux lois extra-européennes puissent être distingués par la certification. De ce fait, elle incite ainsi le ministère à prévoir dans le référentiel deux niveaux de certification HDS :

• le niveau actuellement proposé dans le projet de référentiel de certification ;
• un niveau renforcé mais optionnel, similaire à la qualification SecNumCloud (ou imposant la mise en place des mesures visant à proscrire tout accès non autorisé des bases de données aux autorités publiques d’État tiers) pour les hébergeurs et leurs sous-traitants qui le souhaitent ou ceux dont les clients sont soumis à la circulaire n° 6404/SG du 31 mai 2023 sur la doctrine d’utilisation de l’informatique en nuage par l’Etat ( cloud au centre ).

La CNIL prend note de ce que le ministère prévoit d’intégrer ces propositions aux travaux qui seront menés à partir de septembre 2023 par l’Agence du numérique en santé (ANS), visant à définir plus précisément la trajectoire d’évolution du référentiel de certification HDS.

Sur les exigences juridiques relatives à l’encadrement des transferts de données et des risques d’accès

Dans la mesure où l’hébergeur ou les sous-traitants peuvent être soumis à des législations extra-européennes, les exigences n° 29 et n° 30 visent à prévoir des garanties concernant l’encadrement des transferts de données hors EEE et les risques d’accès non autorisés par le droit de l’Union.

La CNIL prend acte de ce que le ministère s’est engagé à modifier l’exigence n° 29 afin d’encadrer les éventuels accès à distance de l’hébergeur ou de l’un de ses sous-traitants, prévus pour les besoins de l’activité d’hébergement. Ces accès à distance donnant lieu à des transferts de données hors EEE devront obligatoirement être mis en œuvre sur la base d’une décision d’adéquation ou, à défaut, sur l’un des instruments prévus par l’article 46 du Règlement général sur la protection des données (RGPD), complété le cas échéant par des mesures supplémentaires destinées à garantir le respect du niveau de protection des données à caractère personnel de l’UE (recommandations 01/2020 du Comité européen de la protection des données sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE).

La CNIL prend acte de ce que le ministère s’est engagé à modifier l’exigence n°30 afin de clarifier qu’elle vise l’hypothèse prévue à l’article 48 du RGPD, pour prévenir le risque d’accès non autorisé par le droit de l’Union aux DSCP et les conséquences de la survenance d’un tel risque. Ainsi, l’hébergeur potentiellement exposé à ce risque (localisation, localisation du siège social, filiale d’une société mère de droit hors UE, etc.) doit documenter les mesures prévues pour prévenir ce risque, d’une part, et les risques résiduels contre lesquels ces mesures restent inefficaces, d’autre part.

La CNIL estime que ces modifications sont de nature à clarifier les situations visées par ces exigences, par ailleurs conformes aux dispositions du Chapitre V du RGPD.

Sur les exigences techniques

Tout d’abord, la CNIL accueille très favorablement l’intégration de la dernière version de la norme ISO/IEC 27001 dans le référentiel de certification pour l’hébergement de DSCP, et notamment du catalogue mis à jour des mesures de sécurité techniques et organisationnelles associé à cette norme internationale.

Ensuite, le ministère a précisé que l’activité d’administration et exploitation du système d’information, à la section 2.1.2 du référentiel de certification :

• consiste en la maîtrise des interventions sur les ressources mises à la disposition du client de l’hébergeur , comme indiqué dans la section 2.1.2 ;
• et comprend l’intégralité des activités annexes citées dans cette section, plus spécifiquement la définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires, la sécurisation de la procédure d’accès, la collecte et la conservation des traces des accès effectués et de leurs motifs et la validation préalable des interventions (plan d’intervention, processus d’intervention) .

La CNIL invite le ministère à mentionner expressément ce dernier point dans le référentiel.

Concernant l’articulation entre le référentiel de certification et le référentiel SecNumCloud dans sa version 3.2, un tableau de correspondance entre les exigences de ces deux référentiels figure dans l’annexe 1 du référentiel de certification. Néanmoins, la CNIL relève que ce tableau n’est mentionné qu’à titre informatif, et est avant tout destiné aux candidats déjà titulaires de la certification SecNumCloud afin de faciliter leur analyse des exigences du présent référentiel de certification.

La CNIL estime que certaines mesures techniques ou organisationnelles présentes dans le référentiel SecNumCloud devraient figurer expressément dans le référentiel, et non se déduire de l’analyse de risques telle que prévue par la norme ISO/IEC 27001. Par exemple, l’ajout de mesures explicites concernant le chiffrement au repos des supports de stockage, ainsi que le chiffrement des flux de communication interne et externe permettraient d’harmoniser des exigences pour l’ensemble des acteurs. A la suite d’échanges sur ce sujet, le ministère a précisé que l’existence d’une politique de chiffrement adaptée relève bien des attendus de la certification et que des exemples de règles techniques seront ajoutés dans la foire aux questions (FAQ) de la certification qui sera disponible sur le site web de l’ANS.

La CNIL recommande en outre de mentionner explicitement certains exemples de mesures supplémentaires adéquates, telles que le chiffrement au repos des sauvegardes par des clés conservées sous le contrôle exclusif des clients des hébergeurs, permettant une protection contre les risques d’accès aux données par des autorités publiques d’Etats tiers.

Sur les clarifications textuelles

Sur les définitions

Le ministère s’est engagé à préciser les éléments suivants :

• dans la FAQ accompagnant le référentiel les définitions du client de l’hébergeur mentionnée au 2.1.3, ainsi que du responsable de traitement mentionné au 2.1.6, par des cas d’usage concrets ;
• dans le référentiel, la notion de prestataire , mentionné au 3.1.1, notamment sur le fait qu’il s’agisse ou non d’un sous-traitant au sens du RGPD.

Sur l’intitulé de la partie 7 souveraineté des données

Ces exigences s’inscrivent dans un chapeau intitulé Souveraineté des données incluant l’exigence n° 28. Or, cet intitulé ne reflète pas de manière exacte la situation de ces données puisque, même si les infrastructures techniques utilisées par réaliser le stockage des DSCP doivent être situées exclusivement au sein de l’EEE, il n’existe aucune exigence relative à l’établissement de l’hébergeur ni de ses sous-traitants dans l’EEE ni sur leur soumission exclusivement au droit de l’Union.

Sur le point de contact et le professionnel de santé accédant aux données (exigence n° 11)

La CNIL invite le ministère à préciser dans le référentiel le fait que les habilitations des professionnels de santé accédant aux DSCP doivent être déterminées dans le respect des dispositions des articles L. 1110-4 et L. 1110-12 du CSP.

Sur le recours à la sous-traitance (exigence n° 22)

Le ministère s’est engagé à ajouter les dispositions de l’article 28.4 du RGPD concernant l’éventuel recours à la sous-traitance ultérieure par l’hébergeur, afin de clarifier les exigences à respecter s’agissant du contenu des conventions.

B. Sur les modalités d’entrée en vigueur du référentiel

L’article 2 du projet d’arrêté précise que le référentiel de certification révisé entre en vigueur dans un délai de six mois à compter de la publication de l’arrêté. Ces modalités sont applicables aux demandes de certificat de conformité et aux demandes de renouvellement présentées à un organisme de certification à compter de cette date.

La CNIL estime que les candidats qui ne détiennent pas de certificat de conformité à la date d’entrée en vigueur de l’arrêté ne devraient pas pouvoir effectuer une demande de certification sur le fondement de l’ancien référentiel de certification et que l’arrêté devrait être modifié en conséquence.

Les autres dispositions du projet n’appellent pas d’observations.

La Présidente

M. L. DENIS