[...] Le projet de décret, pris en application des dispositions de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique et de l’article L. 1111-8 du code de la santé publique, [...] Le contexte La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique ("loi SREN") contient diverses dispositions visant à assurer la protection des données stratégiques et sensibles [...]
N° de demande d’avis : 25013418 | Thématiques : hébergement de données de santé ; territorialité ; transferts |
Organisme(s) à l’origine de la saisine :Ministère du Travail, de la Santé, des Solidarités et des Familles | Fondement de la saisine :article L. 1111-8 du code de la santé publique |
L’essentiel :
1. Le projet de décret, pris en application des dispositions de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique et de l’article L. 1111-8 du code de la santé publique, précise les obligations pesant sur les hébergeurs de données de santé en matière de souveraineté.
2. La CNIL accueille favorablement le renforcement des exigences prévues par l'arrêté du 11 juin 2018 portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel.
3.En outre, elle estime que l’actualisation des exigences réglementaires quant aux mentions du contrat d’hébergement constitue un apport bienvenu dans la perspective d’une plus grande transparence à l’égard des personnes concernées.
___________________
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés") ;
Vu le code de la santé publique, notamment son article L. 1111-8 ;
Sur la proposition de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. La saisine
A. Le contexte
La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique ("loi SREN") contient diverses dispositions visant à assurer la protection des données stratégiques et sensibles sur le marché de l'informatique en nuage.
En particulier, l’article 32 de la loi SREN modifie le IV de l’article L. 1111-8 du code de la santé publique, relatif aux conditions de l’hébergement des données de santé à caractère personnel, pour y intégrer des obligations en matière de souveraineté.
Ainsi, cet article prévoit des obligations pour l’hébergeur de données de santé quant à la territorialité de l’hébergement et quant au contenu du contrat d’hébergement, en particulier concernant les mesures prises face aux risques de transfert de ces données ou d'accès non autorisé à celles-ci par des Etats n’appartenant pas à l'Union européenne ou à l'Espace économique européen (ci-après "Etat tiers").
B. L’objet de la saisine
Le projet de décret soumis à la CNIL pour avis par le ministère du travail, de la santé, des solidarités et des familles (Délégation au numérique en santé) précise la portée des nouvelles obligations pesant sur les hébergeurs de données de santé.
A cette fin, le projet de décret prévoit :
II. L’avis de la CNIL
A. Sur les apports du projet de décret par rapport à la réglementation en vigueur
De manière générale, le projet de décret reprend les exigences déjà prévues par l’arrêté du 11 juin 2018 tel que modifié par l’arrêté du 26 avril 2024 (ci-après "référentiel HDS"), en particulier les exigences n°28 à 31, qu’il complète en exigeant expressément l’insertion de certains éléments dans le contrat d’hébergement.
La CNIL accueille très favorablement ce renforcement des obligations prévues par le référentiel HDS, qui apparaît de nature à accroître la transparence vis-à-vis des personnes concernées ainsi qu’à renforcer la maîtrise des données de santé par les parties au contrat d’hébergement vis-à-vis du risque d’accès extra-européen.
B. Sur les dispositions relatives à la territorialité de l’hébergement des données de santé et au risque d’accès à distance
Le 2° de l’article 1er du projet de décret précise la portée des exigences de l’article L. 1111-8 du code de la santé publique relative à la territorialité de l’hébergement des données de santé. Ainsi, lorsque l’activité d’hébergement de données de santé implique leur stockage, il doit intervenir exclusivement sur le territoire d'un Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen, sans préjudice des cas d’accès à distance depuis un Etat tiers.
Le ministère a précisé que cette obligation n’a pas pour objet d’obliger les responsables de traitement de données de santé à caractère personnel d’héberger leurs traitements exclusivement sur des offres issues d’acteurs économiques européens, mais vise à les orienter vers des offres immunes de tout risque d’accès extra-européen.
Cet article prévoit également que, dans l'hypothèse où la prestation proposée par l’hébergeur ou l’un de ses sous-traitants impliquerait un accès à distance à ces données depuis un Etat tiers, cet accès doit nécessairement être fondé sur une décision d’adéquation de la Commission européenne ou, à défaut, sur l’une des garanties appropriées prévues par l’article 46 du RGPD.
La CNIL accueille favorablement ces obligations en ce qu’elles ont pour objet d’assurer une protection renforcée des données de santé vis-à-vis d’acteurs extra-européens, tant dans le cadre de la prestation principale de stockage des données que dans le cadre des accès nécessaires à cette prestation.
Concernant les exigences de souveraineté et d’immunité des données de santé par rapport aux lois extra-européennes, la CNIL réitère son soutien à l’objectif annoncé par le ministère de faire converger les exigences de la certification HDS avec celles prévues par la qualification SecNumCloud.
C. Sur les mentions devant figurer dans le contrat d’hébergement relatives à la souveraineté des données
Le 2° ainsi que les b) et c) du 3° de l’article 1er du projet de décret prévoient que le contrat d’hébergement de données de santé doit comporter :
La CNIL accueille favorablement ces nouvelles mentions qui complètent et renforcent les exigences du référentiel HDS quant au contenu du contrat d’hébergement et permettent ainsi de garantir la maîtrise, par les parties au contrat, des différentes situations susceptibles de porter atteinte à la souveraineté des données.
D. Sur les droits des personnes
Le a) du 3° de l’article 1er du projet de décret prévoit que le contrat d’hébergement doit mentionner les modalités d’exercice des droits d’accès, de rectification, d’effacement et de portabilité des données, ainsi que de limitation du traitement et d’opposition au traitement lorsque ceux-ci sont applicables.
La CNIL accueille favorablement cette modification qui contribue à l’effectivité de l’exercice de leurs droits par les personnes concernées, en garantissant que les parties à la prestation d’hébergement des données de santé ont bien prévu les mesures appropriées pour permettre cet exercice.
Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.
La présidente,
M.-L. Denis
