Publié le 15 septembre 2023 par : M. Latombe, M. Balanant, M. Croizier, M. Esquenet-Goxes, Mme Folest, Mme Morel.
L’alinéa 2 du III de l’article L. 1111‑8 du code de la santé publique est ainsi complété :
« À compter du 1er juillet 2024, en cas d’archivage numérique au moyen d’un service informatique en nuage, les conditions d’agrément respectent impérativement les conditions en vigueur du « Référentiel d’exigences des prestataires de services informatiques en nuage » publié par l’Agence nationale de sécurité des systèmes d’information. »
Les données de santé sont des données personnelles d’une sensibilité particulière dont la protection doit être maximale. C’est d’ailleurs en ce sens que le Règlement Général sur les Données Personnelles leur accorde un traitement particulier. C’est aussi dans cet esprit que la Première ministre a publié le 31 mai 2023 une circulaire précisant la définition des données sensibles (dont les données de santé) et les exigences de protection adéquates, notamment en se conformant aux exigences du Référentiel en nuage dit SecNumCloud, concernant les prestataires informatiques de l’ANSSI. Cette circulaire ne concerne que l’État. Or, les données de santé hébergées par des acteurs privés (cliniques, prestataires de prise de rendez-vous ou d’aide au maintien à domicile par exemple) ou des GIP publics (la Plateforme de Donnée de Santé, autrefois appelée Health Data Hub, ou le SNDS par exemple) sont évidemment d’une sensibilité équivalente et doivent être protégées dans l’intérêt de tous nos concitoyens avec un haut niveau d’exigence.
Depuis de trop nombreux mois des attaques informatiques ciblent de manière privilégiées les données de santé de nos concitoyens parce que celles-ci sont sensibles et donc lucratives, et que dans de trop nombreux cas, la protection de ces données en cas d’archivage électronique est insatisfaisante. Nous savons de manière certaine que les Jeux Olympiques et paralympiques de Paris, de juillet à septembre 2024, vont être l’occasion pour de nombreux cybercriminels d’attaquer les infrastructures françaises, notamment celles pouvant héberger des données sensibles et lucratives. Il est donc nécessaire que les hébergeurs de données de santé, quand ils ont recours à des services infonuagiques (dit cloud), même lorsqu’ils sont de droit privé, respectent des exigences maximales de protection de ces données.
La confiance de nos concitoyens dans notre organisation et notre gestion de leurs données de santé est nécessaire. Leur protection maximale est un préalable indispensable pour obtenir cette confiance.
Tel est l’objectif du présent amendement.
Aucun commentaire n'a encore été formulé sur cet amendement.