Vous êtes un professionnel de santé et vous vous posez des questions sur l’hébergement des données de santé ? Découvrez les règles à respecter et la certification HDS pour un hébergement informatique sécurisé et conforme de vos données de santé.
Hébergement de données de santé (HDS) – Définition
Tout d’abord, il est essentiel de comprendre de quoi on parle quand on parle de données de santé. Pour cela, on peut se référer à la CNIL (Commission Nationale de l’Informatique et des Libertés), et plus précisément au Règlement Général sur la Protection des Données (RGPD) ; entré en vigueur le 25 mai 2018.
Dans ce règlement, il est défini que les données personnelles concernant la santé sont un type de données qui se rapportent à la santé physique ou mentale, passée, présente ou future, d’une personne physique et qui révèlent des informations sur l’état de santé de cette personne.
En d’autres termes, il s’agit de données de mesure à partir desquelles il est possible de déduire des informations sur l’état de santé de la personne.
Il peut s’agir des résultats d’analyses, d’informations sur la santé par nature d’un patient, etc. L’objectif principal est alors la protection de ces données de santé publique. À savoir que le secteur de la santé n’est pas épargné par les pirates.
Qu’est-ce que la certification HDS ou Hébergement de données de santé ?
HDS, acronyme de « Hébergement de Données de Santé », est une certification française. Elle a été établie par l’Agence du Numérique en Santé (ANS), portant sur la protection de la confidentialité des données à caractère personnel ; et notamment des données de santé.
Les données de santé sont considérées comme des données sensibles et nécessitent une attention particulière de la part des organismes qui les traitent. Leur hébergement implique donc des responsabilités importantes ; notamment en ce qui concerne les fuites de données. Ainsi, il est nécessaire que ces organismes en tiennent compte dans le choix de leur prestataire. L’hébergement d’applications de santé fait partie des prestations de services essentielles pour assurer la sécurité et la confidentialité des données.
C’est dans cette optique que l’Agence du Numérique en Santé (ANS) a mis en place la certification HDS pour assurer le renforcement de la protection des données de santé à caractère personnel.
« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. » – Article L.1111-8 du code de la santé publique, modifié par la loi 2016-41 du 26 janvier 2016.
L’hébergement et la traçabilité de ces données est donc encadré par la loi (c.f. L.1111-8 du code de la santé publique). La certification HDS autorise légalement l’hébergement de données de santé, et garantit ainsi que la plateforme d’hébergement maintient une qualité et une continuité de service suffisamment élevées pour cette activité.
Comment devenir un hébergeur de données de santé certifié ?
Devenir hébergeur de données de santé s’avère plutôt compliqué au vu de l’importance de la protection de ces données. En effet, ce sont des données sensibles qui doivent faire l’objet d’une protection plus qu’importante et sans faille. C’est pour cela que pour devenir hébergeur de données de santé, il vous faudra passer une certification spéciale.
Quel est le processus de certification HDS ?
Première étape pour obtenir la certification concernant l’hébergement de données de santé
Dans un premier temps, le dossier est déposé auprès d’un organisme accrédité par le COFRAC (Comité Français d’Accréditation) ou un organisme équivalent. Le COFRAC est une association dont le rôle est de délivrer les accréditations nécessaires aux organismes intervenant dans l’évaluation de la conformité en France.
Cette procédure repose sur une évaluation par l’organisme de la conformité au référentiel de certification. Le référentiel d’hébergement des données de santé est donc un document qui définit l’ensemble des exigences pour l’obtention de la certification, l’un des prérequis étant l’obtention de la certification ISO 27001 ; ou d’un équivalent.
Deuxième étape de la certification concernant l’hébergement de données de santé
Une fois le dossier déposé, l’organisme d’accréditation procède à une phase d’audit qui se décompose en deux grandes étapes. La première est l’audit documentaire, qui consiste en une analyse détaillée par l’organisme certificateur du système d’information mis en place par l’hébergeur pour s’assurer de sa conformité à la norme HDS.
En d’autres termes, le candidat doit disposer d’un Système de Management de la Sécurité de l’Information (SMSI) au sein de son organisation. Et ce système doit être conforme aux exigences établies par la norme HDS. Le rôle de l’organisme d’accréditation dans cet audit documentaire est de s’assurer que le système d’information est conforme à la norme HDS.
Ensuite, la deuxième partie de la phase d’audit est déclenchée ; elle consistera en un audit sur site lié aux exigences de la norme HDS. Cet audit est réalisé directement sur le site de travail par l’auditeur et a pour objectif de vérifier que l’entreprise et ses pratiques sont conformes à la norme.
A l’issue de l’audit, un délai de 3 mois est accordé à l’entreprise d’accueil pour corriger les éventuelles non-conformités et faire auditer ses corrections.
Le périmètre de l’agrément d’hébergement de données de santé
La certification HDS (Hébergement de données de santé) comporte une notion de périmètre qui sera définie en fonction du type d’activité que l’hébergeur exerce. Dans le cadre de la certification, il existe deux types d’hébergeurs de données de santé : les hébergeurs d’infrastructure physique et les hébergeurs d’infrastructure.
Quelles sont les différences ?
La catégorie des hébergeurs d’infrastructures physiques sera déterminée par deux activités principales qui sont les suivantes :
- La mise à disposition ou le maintien en condition opérationnelle de locaux pour héberger l’infrastructure physique du système d’information sur la santé.
- La fourniture ou le maintien en condition opérationnelle de l’infrastructure physique du système d’information de santé.
Les sociétés d’hébergement, quant à elles, sont déterminées par les activités suivantes
- La fourniture ou le maintien en condition opérationnelle de la plate-forme logicielle (systèmes d’exploitation, middlewares, base de données) du système d’information sur la santé.
- La fourniture ou le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information sur la santé.
- L’externalisation de l’exploitation du système d’information sur la santé.
- L’externalisation de la sauvegarde des données de santé.
Ainsi, selon le type d’hébergeur, le périmètre de certification sera différent, et la certification HDS pourra ne couvrir qu’un domaine spécifique. A noter : le certificat délivré est valable trois ans et un audit de surveillance annuel est réalisé par l’organisme de certification.
En conclusion
Comme vous pouvez le constater à la lecture de cet article, la certification HDS atteste d’un niveau de sécurité de l’information permettant l’hébergement et le traitement de données de santé considérées comme des informations sensibles.
La certification assure donc qu’un hébergeur respecte les exigences de sécurité du référentiel HDS établi par l’Agence française de santé numérique. Les organismes certificateurs accrédités par le COFRAC délivrent la certification. Ils s’assurent également que les hébergeurs continuent à prendre les mesures nécessaires pour se conformer à cette norme.
En cas de manquement concernant les mesures de sécurité, les sanctions peuvent être lourdes pour les centre d’hébergement de données de santé.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !
FAQ sur l’hébergement HDS
Qui peut héberger des données de santé ?
Les données de santé peuvent être hébergées par diverses organisations, notamment les établissements de santé tels que les hôpitaux, les cabinets médicaux ou encore les centres de recherche. Dans certains cas, des entreprises et des fournisseurs de services de santé peuvent également être autorisés à héberger des données de santé. Il est important que ces organismes disposent des bonnes mesures de sécurité et de confidentialité pour assurer la sécurité des données.
Il faudra également passer le processus de certification concernant l'hébergement de données de santé pour pouvoir prétendre héberger ce type de données sensibles.
Qu'est-ce qu'un hébergeur de données de santé à caractère personnel ?
Un hébergeur de données de santé à caractère personnel (HDSCP) est une entreprise ou une organisation qui stocke et gère des données de santé à caractère personnel pour un ou plusieurs clients. Les HDSCP offrent des services variés, principalement avec le stockage sécurisé des données. Mais également la mise à disposition des données aux professionnels de la santé et aux patients, et l'accès à des outils d'analyse et de gestion des données.
Comment obtenir l'accréditation pour l'hébergement de données de santé dans le cloud en Europe ?
L'accréditation pour l'hébergement de données de santé dans le cloud en Europe exige que les fournisseurs de services de cloud soient conformes aux règlementations et aux législations européennes sur la santé. Pour obtenir l'accréditation, ils doivent notamment prouver qu'ils ont mis en place des mesures de sécurité et de confidentialité adéquates pour protéger les données de santé des utilisateurs.
L'hébergeur sélectionne un organisme certificateur qui doit être accrédité par le COFRAC, ou un équivalent au niveau européen, afin de garantir la certification complète.
Droit : Quelle est la loi concernant l'hébergement de données de santé ?
La loi relative à l'hébergement de données de santé est la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui établit un cadre juridique pour la protection des données à caractère personnel. Cette loi est complétée par le règleUE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, qui établit un cadre juridique pour le traitement des données à caractère personnel.