Points clés
- L'échange d'informations médicales est encadré par un ensemble de textes réglementaires dont la maîtrise est indispensable pour tout expert des SI de santé.
- Le RGPD, la loi Informatique et Libertés, le référentiel HDS, et les référentiels d'interopérabilité nationaux (CI-SIS) forment le socle réglementaire applicable en France.
- Les obligations ne se limitent pas à la conformité documentaire : elles imposent des mesures techniques précises dont la mise en œuvre doit être démontrée.
- L'évolution rapide du cadre réglementaire (EHDS, DORA appliqué aux établissements, extension de NIS2) impose une veille réglementaire active.
Le RGPD et la protection des données de santé
L'article 9 du RGPD classe les données de santé parmi les données sensibles dont le traitement est, en principe, interdit — sauf exceptions. Les traitements justifiés (soins, recherche médicale, santé publique) doivent respecter des exigences renforcées : base légale claire, mesures de sécurité appropriées, analyse d'impact (AIPD) obligatoire pour les traitements présentant des risques élevés, et désignation d'un DPO pour les responsables de traitement traitant des données de santé à grande échelle. Les échanges inter-établissements doivent être couverts par des conventions de partage conformes à l'article 26 (coresponsabilité) ou aux articles 28-29 (sous-traitance).
Le référentiel HDS : obligation d'hébergement
En France, tout acteur qui héberge des données de santé à caractère personnel pour le compte de tiers doit être certifié HDS (Hébergeur de Données de Santé). Cette certification impose des exigences d'organisation, de gouvernance et de sécurité technique précises, vérifiées par un organisme de certification accrédité. Les acteurs qui sous-traitent l'hébergement à un tiers non certifié HDS sont en non-conformité — même si le tiers est certifié ISO 27001 ou dispose d'une certification équivalente non reconnue comme substituable à la certification HDS.
Le CI-SIS et les référentiels d'interopérabilité
Le Cadre d'Interopérabilité des Systèmes d'Information de Santé (CI-SIS) publié par l'ANS (Agence du Numérique en Santé) définit les standards et les profils d'implémentation applicables aux échanges de données de santé en France. Il impose l'usage de FHIR R4 pour les nouveaux développements d'échange, définit les profils de ressources FHIR applicables aux contextes français (profils FR Core), et précise les exigences d'authentification et de sécurité des échanges. La conformité au CI-SIS est une condition d'accès à certains services nationaux (INS, DMP, Pro Santé Connect).
L'Espace Européen des Données de Santé (EHDS)
Le règlement EHDS, adopté en 2024, introduit de nouvelles obligations pour les organisations de santé européennes. Il impose des standards d'interopérabilité communs pour l'accès aux données de santé par les patients (utilisation secondaire), des exigences de qualité et de sécurité des données, et des mécanismes d'accès sécurisé pour la recherche médicale. Les SI de santé devront être adaptés pour respecter ces nouvelles exigences dans les délais prévus par les actes d'implémentation de la Commission européenne.
NIS2 et la sécurité des opérateurs de santé
La directive NIS2, transposée en droit national à partir d'octobre 2024, élargit significativement le périmètre des entités soumises à des obligations de cybersécurité renforcées. Les hôpitaux et établissements de santé font partie des « entités essentielles » ou « entités importantes » selon leur taille. Leurs obligations incluent la mise en place de mesures de gestion des risques cybersécurité, la notification d'incidents dans des délais précis, et la démonstration de la conformité lors d'audits. Les dirigeants sont personnellement responsables du respect de ces obligations.