Le référentiel HDSv2 revoit le périmètre de l’activité 5 « Administration et exploitation du SI contenant les données de santé ».
C’était l’une des prétentions majeures dudit document. C’était un chantier engagé 5 ans auparavant. Et c’est assez vraisemblablement un échec.
La hiérarchie des normes empêche la modification de l’HDS 5
Le droit est un ensemble de normes agencées de façon pyramidale. La plus élevée prime sur toutes celles de rang inférieur, qui flottent désormais sur un « droit souple » éthéré.
En l’occurrence, un référentiel HDS doit être approuvé par arrêté ministériel, tandis que le R devant le numéro R1111-9 réserve la modification des différentes activités HDS à un décret en Conseil d’Etat. Ce dernier point a d’ailleurs été rappelé par l’article 32 de la récente loi SREN.
En clair?
L’arrêté est deux niveaux en dessous. Résultat, la tentative de limiter le périmètre de l’HDS 5 au maintien en condition de sécurité et au centre de support est veine.
Vous pourriez penser que ce n’est pas grave tant que les certificateurs acceptent cette position. Mais ce n’est pas le cas.
La contractualisation comme risque majoritaire
Dans un arrêt du 13 juin 2024, la Cour d’Appel de Montpellier a validé un jugement considérant que l’éditeur d’un SaaS proposé à des professionnels de santé se devait d’être certifié HDS 5, dans la mesure où il avait nécessairement accès aux données traitées (CA Montpellier, Ch. 4, 13 juin 2024, RG 22/01303).
Et donc? Donc à l’évidence, les juges, lorsqu’ils ont statué sur ce point, ont pris en compte le décret en Conseil d’Etat. Certes, la procédure s’est déroulée alors que la révision était en cours. Mais cela importe peu, les juges n’ayant accordé aucun regard au référentiel HDSv1.
Les points du référentiel HDSv2 tentant de remédier aux difficultés du 5° de l’article R1111-9 exposent ainsi les opérateurs économiques et responsables de traitement à une insécurité majeure.
Voulez-vous tenter d’expliquer à la CNIL que l’absence de certification HDS5 est justifiée par un arrêté dont la légalité prête à discussion? Ou perdre un contrat de ce fait?
Avez-vous recours à des éditeurs certifiés HDS5? Comment gérez-vous la non-conformité éventuelle ? Partagez-vos RETEX en commentaires.
Des interrogations sur la certification HDS ? Besoin d’étudier un contrat ? N’hésitez pas à me contacter.