Un hébergeur agréé pour protéger vos données médicales : Pourquoi ?
Article écrit par
Hannah DecaestekerTemps de lecture estimé : 17 minutes
En tant que professionnel de santé, vous recherchez peut-être une solution sécurisée pour héberger en externe vos données médicales. La France a déjà mis en place un stockage des informations de santé au niveau national via le SNDS (Système National de Données de Santé) et le Health Data Hub.
Cependant, cette énorme masse d'informations est utile à des fins de recherche mais n'est pas nécessaire pour la plupart des professions médicales. Afin d'héberger les informations de vos patients en toute légalité et sécurité, il est obligatoire de les confier à des prestataires spécifiques, agréés HADS ou certifiés HDS.
01. Le SNDS et le Health Data Hub
Vous avez sans doute entendu parle de la mise en place du Health Data Hub ou Plateforme des Données de Santé (PDS) fin 2019.
Cette plateforme a pour but de donner accès aux informations contenues dans le Système National de Données de Santé (SNDS).
Le SNDS, regroupement de données médico-administratives
Créé en 2016, le SNDS est une gigantesque base de données concernant l'ensemble de la population française et contenant toutes les informations relatives aux soins ayant fait l'objet de remboursements.
Elle combine ainsi les données médicales provenant de l'assurance maladie, des hôpitaux, de certains organismes complémentaires, de la Caisse nationale pour la solidarité et l'autonomie (CNSA) et du Centre d'épidémiologie sur les causes médicales de décès (CépiDC).
Dans le SNDS, sont comptabilisés plus de 3000 variables et un flux annuel atteignant approximativement 1,2 milliard de feuilles de soins.
Certaines informations médicales ne sont pas conservées dans le SNDC comme par exemple :
- les motifs de consultation ;
- les médicaments délivrés lors des séjours hospitaliers ;
- les résultats des examens cliniques tels que les radiographies, les analyses de sang, etc. ;
- la notion de facteur de risque comme le tabac, le type de nutrition, l'alcool, etc.
De plus, le SNDC contient très peu de données sociales. La confidentialité des données est assurée par l'attribution d'un pseudonyme à chaque patient. Les informations sont cryptées et conservées pendant 20 ans avec un archivage durant 10 ans.
L'objectif du Health Data Hub ou PDS
La PDS a pour but de mettre ces informations médicales à disposition des professionnels de santé désirant effectuer des évaluations, des recherches ou des études reconnues d'intérêt public et dont la finalité correspond à un de ces cas :
- évaluer les politiques et/ou les dépenses de santé ;
- informer sur la santé et l'offre de soins ;
- réaliser de la veille sanitaire ;
- informer les professionnels de santé sur leur activité ;
- assurer la sécurité sanitaire ;
- produire des travaux de recherche, des études et des évaluations concernant la santé et l'innovation dans le domaine de la santé.
La conservation des données médicales de la PDS
Les informations choisies pour figurer dans la PDS sont conservées sur des serveurs qui sont répliqués et mis à jour régulièrement. Concrètement, c'est la société Microsoft, certifiée HDS, qui a été choisie par le gouvernement français pour devenir l'hébergeur de ces données médicales. Cette nomination a conduit des parlementaires, des entreprises informatiques ainsi que la CNIL (Commission nationale de l'informatique et des libertés) à émettre des réserves sur l'impact que pourrait avoir la nationalité de l'hébergeur sur la sécurité des informations.
En effet, en tant qu'entreprise américaine, Microsoft se doit de suivre la loi de son pays. Or, les réglementations américaines, françaises et européennes ne sont pas identiques concernant la protection des informations médicales personnelles. Par exemple, les services d'enquêtes ou de renseignements des États-Unis peuvent forcer une société américaine à leur fournir des informations en vertu du « Cloud Act », même si elles sont conservées sur des serveurs en Europe et qu'elles ne concernent pas des citoyens américains.
02. Confier vos données médicales à un hébergeur agréé : les avantages
Seuls certains professionnels ont besoin d'accéder à des informations de santé en grande quantité, comme le permet la PDS. Pour la majorité des autres métiers médicaux, la problématique consiste à conserver voire traiter leurs propres DSCP (Données de Santé à Caractère Personnel) tout en étant certain qu'elles seront bien protégées, vu leur caractère hautement sensible.
Pourquoi passer par un hébergeur spécialisé ?
Confier vos données médicales à une entreprise certifiée HDS est une solution combinant des avantages pratiques et sécuritaires :
- conservation des informations médicales sur des serveurs sécurisés en termes de prévention et de parade contre d'éventuelles attaques virales ou des tentatives de vol ;
- accès limité aux DSCP car seules les personnes ayant la clé de déchiffrement peuvent les lire ;
- consultation des informations à tout moment puisqu'elles sont dupliquées sur au moins deux serveurs;
- définition de profils et de mots de passe hautement sécurisés pour accéder aux DSCP.
Pourquoi certaines entreprises sont agréées et d'autres certifiées ?
La France avait créé un agrément HADS (Hébergeur Agréé de Données d Santé) qui était obligatoire pour les entreprises souhaitant héberger des DSCP. Pour obtenir cet agrément, l'ASIP (Agence des Systèmes d'Information Partagés), devenue depuis l'Agence du Numérique en Santé (ANS), avait défini une série de documents à remplir par les candidats hébergeurs.
Une fois le dossier rempli, il était transmis pour avis consultatif à la CNIL et au Comité d'agrément des hébergeurs. Ensuite, la décision finale incombait au ministre de la Santé. Si l'agrément était attribué, l'annonce était faite dans le bulletin officiel du ministère de la Santé. La totalité de la procédure prenait environ 8 mois. La validité de l'agrément était de 3 ans.
Depuis fin mars 2018, aucune nouvelle procédure d'agrément ne peut être commencée. En effet, une nouvelle certification nommée HDS (Hébergeur de Données de Santé) a remplacé l'agrément HADS. Cependant, une période de transition permet aux entreprises agréées HADS de continuer à opérer tant que leur agrément n'a pas expiré ou n'a pas été suspendu ni retiré. Cependant, ces sociétés sont dans l'obligation d'obtenir le certificat HDS si elles veulent héberger des DSCP lorsque leur agrément ne sera plus valide.
La procédure de certification HDS
Cette certification est reconnue au niveau international car elle se base, en plus d'exigences spécifiques à la santé et aux traitements des DSCP, sur des normes existantes comme :
- ISO 27001 (relative aux systèmes d'information) ;
- ISO 20000 (concernant la gestion des systèmes informatiques) ;
- ISO 27018 (traitant de la sécurité des DSCP dans le Cloud).
Pour obtenir le certificat HDS, deux audits sont nécessaires : un documentaire et un sur-site. L'ensemble du processus est réalisé par un organisme certificateur qui a lui-même été agréé par le Comité français d'accréditation (COFRAC). Durant l'audit sur site, de possibles non-conformités peuvent être soulevées.
L'entreprise auditée a 3 mois pour corriger puis faire auditer ces non-conformités. Passé ce délai, l'audit sur site devra avoir lieu de nouveau. Une fois l'audit sur site réussi, le certificat est émis, avec une durée de validité de 3 ans. Chaque mois, les organismes certificateurs informent les autorités compétentes de l’évolution des certificats : nouvelles attributions, suspensions et retraits. Ainsi, l'ANS met en ligne la liste à jour des entreprises certifiées HDS.
Afin de conserver en externe les données médicales de vos patients en toute sécurité, il est nécessaire de choisir une entreprise agréée HADS ou certifiées HDS. Il est néanmoins important de se rappeler toutes les sociétés agréées HADS devront bientôt passer le certificat HDS.
Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.
Ces articles pourraient vous intéresser
26/10/2020
Recueil de données de santé : quelles sont les règles RGPD ?
Découvrir
09/12/2020
Héberger des données sensibles à La Réunion, 5 critères avant de choisir
Découvrir