Vous êtes dans : Accueil > Tribunes libres >

La directive NIS 2 : un nouveau risque juridique en matière d’hébergement de données de santé ?

Laurence Huin, JEUDI 08 JUIN 2023

L’obligation est désormais connue : les établissements publics de santé qui souhaitent faire héberger leurs données de santé par un tiers (par exemple un prestataire pour une application en SaaS) ont l’obligation de faire appel à un acteur certifié selon le référentiel HDS élaboré par l’Agence du Numérique en Santé, actuellement en cours de révision. Mais qu’en est-il dans le cas des nombreux groupements de coopération (GCS, GCSMS, GIP, GIE) dont les établissements de santé sont membres ? Cette obligation est-elle bien appliquée ? Le risque juridique est-il si important ?

Contrairement aux groupements hospitaliers de territoire (GHT), les groupements de coopération de type groupement de coopération sanitaire (GCS) ou groupement d’intérêt public (GIP) ne bénéficient d’aucune exemption, de quelque nature que ce soit, à l’obligation de recourir à des tiers certifiés Hébergeur de données de santé (HDS) pour faire héberger les données de santé traitées dans le cadre de l’activité du groupement. En effet, l’exonération fixée par l’Agence du Numérique en Santé, initialement intégrée à sa Doctrine du numérique en santé et désormais seulement reprise sur son site internet, ne bénéficie qu’aux groupements hospitaliers de territoire. Face à cette obligation de recourir à des tiers certifiés HDS, les groupements de coopération sont de plus en plus nombreux à s’engager eux-mêmes dans le processus de certification HDS.

Des sanctions rarement appliquées

L’absence de certification est, à ce jour, sanctionnée en premier lieu par le code de la santé publique, lequel prévoit une sanction qui peut aller jusqu’à 3 ans d’emprisonnement et 45 000 euros d’amende (article L. 1115-1 du code de la santé publique). L’actualité nous a offert récemment une illustration de cette sanction en matière de contentieux contractuel : les juges ont prononcé la nullité d’un contrat pour objet illicite entre une infirmière libérale et un éditeur de logiciel dont l’hébergeur n’était pas certifié HDS à la signature du contrat (CA Nîmes, 15 décembre 2022 n°21-01214). Toutefois, il convient de rappeler qu’aucune autorité administrative à l’heure actuelle n’est chargée de s’assurer spécifiquement du respect de cette obligation de certification HDS et nous sommes encore loin des actions judiciaires sur ce fondement de la part des patients.

Ainsi, bien que des sanctions existent, les établissements de santé devant recourir à un prestataire certifié HDS peuvent avoir tendance à considérer que le risque juridique reste relativement faible en l’absence de contrôle d’une quelconque autorité administrative compétente, et ce, en comparaison avec le coût d’une telle prestation opérée par des acteurs économiques tiers souvent privés.

Vers une modification de la réglementation

Ce risque juridique pourrait être renforcé prochainement puisque de nouvelles obligations en matière de cybersécurité impacteront les établissements de santé concernés par la directive européenne « concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union », dénommée « NIS 2 ». Ces nouvelles obligations impacteront nécessairement les conditions d’hébergement des données de santé dont la sécurité est assurée par la certification HDS et notamment le respect des exigences de l’ISO 27001.

Qui est concerné par NIS 2

Cette directive « NIS 2 » a pour objet de modifier la première directive NIS, adoptée en juillet 2016 par le législateur européen et transposée en droit français en février 2018. Plus précisément, la nouvelle directive « NIS 2 » entrera en application en octobre 2024 et renforcera les obligations de sécurité pour les « entités essentielles » et les « entités importantes » intervenant notamment dans le secteur de la santé, sans oublier le secteur de la recherche. Dans l’attente de la loi de transposition, il apparait d’ores et déjà à la lecture de la directive que les établissements désignés opérateur de service essentiels (OSE) du secteur de la santé seront des entités essentielles au sens de NIS 2.

Or, la qualification d’entités essentielles impliquera pour ces établissements de santé l’obligation de mettre en place des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques en tenant compte de l’état des connaissances et, s’il y a lieu, de normes existantes. On comprend donc que le non-respect à l’obligation de recourir à un tiers certifié HDS impliquera également une violation des exigences de sécurité imposées par la directive NIS 2.

Le renforcement des pouvoirs de l’ANSSI

Par ailleurs, l’autorité compétente pour s’assurer du respect de l’application de la directive NIS 2, qui, sauf retournement majeur dans la loi de transposition, devrait être l’ANSSI, disposera de pouvoirs de contrôle et de sanction renforcés. L’autorité compétente pourra notamment soumettre ces entités à des audits et des contrôles sur place ou à distance. Il convient par ailleurs de noter que l’ANSSI verra ses pouvoirs de sanction renforcés par cette nouvelle directive avec notamment la possibilité de prononcer des amendes administratives pouvant s’élever jusqu’à 10 millions d’euros en cas de violation des mesures de gestion des risques en matière de cybersécurité ; mesures qui intégreront non seulement l’état de l’art mais également les normes existantes, telles que la certification HDS.

Un risque juridique renforcé

Plus encore, les entités qui seront concernés par cette nouvelle directive devront notifier aux centres de réponse aux incidents cyber tout incident ayant un impact important sur leur fourniture des services. Cette information devra comprendre une information complète sur les circonstances de l’incident et pourrait amener l’ANSSI à contrôler l’absence de mesures de sécurité de l’hébergement des données de santé et l’existence ou non d’une certification HDS par l’hébergeur des données de santé.

Ainsi, avec le renforcement prochain des contrôles de sécurité de l’ANSSI et du développement de ses pouvoirs de sanction, le risque juridique s’accroit. Cette évolution devrait inciter les établissements de santé à s’assurer d’un hébergement conforme à l’obligation de certification HDS. Cela est également vrai pour les groupements qui sont amenés à traiter des données médicales. Ils leur appartiennent de vérifier dans quelle mesure ils doivent avoir recours à un tiers hébergeur de leurs données ou s’ils peuvent procéder autrement, eu égard à la nature de leur activité et de leurs modalités de mutualisation.

L'auteure | Laurence Huin

Forte d’une solide formation en droit des TIC, Laurence Huin a développé une expertise juridique et technique en matière de projets numériques.
Elle rejoint le Cabinet Houdart & Associés en septembre 2020 et est associée au sein du pôle Santé numérique.
Elle est ainsi régulièrement sollicitée auprès des acteurs du numérique pour les conseiller et les assister dans leurs problématiques contractuelles et pré-contentieuses (mise en conformité à la réglementation en matière de données personnelles, rédaction et négociation de contrats sur des projets, sécurisation juridique de projets, régulation des contenus et e-reputation). cabinet@houdart.org | www.houdart.org