Prestataires certifiés HDS : vos donnés patients sécurisés

Temps de lecture estimé : 20 minutes

Les données de santé sont des informations particulièrement critiques par leur nature et leur nombre ne cesse d'augmenter. Elles peuvent donc devenir une cible de choix pour les cybercriminels.

Dans ce contexte, les professionnels de santé ont la responsabilité de s'assurer de la sécurité informatique concernant les fichiers patients qu'ils conservent. Dans le cas où ils souhaitent confier leur hébergement à un tiers, il est obligatoire de choisir un partenaire possédant la certification ou l'agrément HDS (Hébergement des Données de Santé).

01. Que peuvent contenir les fichiers patients ?
02. L'hébergement des données de santé par un prestataire certifié HDS
03. Les règles relatives au partage et à l'échange d'informations entre professionnels

01. Que peuvent contenir les fichiers patients ?

Définition des données de santé

Les données de santé entrent dans le cadre du Règlement Général sur la Protection des Données Personnelles (RGPD). Il s'agit de toutes les informations concernant la santé physique ou mentale d'une personne. La notion de donnée de santé englobe également les informations concernant les prestations de services de santé délivrées à une personne donnée ainsi que les données relatives à la situation sociale et/ou familiale des personnes.

Qu'est-ce qu'un fichier de données de santé

Il correspond au regroupement structuré de données de santé et permet plusieurs types d'opérations sur ces données : recherche, regroupement, tri, etc. Il doit respecter les règles définies par le RGPD :

• son existence correspond à un but précis ;
• la collecte des données ne comprend que les informations réellement nécessaires à la finalité définie initialement ;
• la durée de conservation est limitée ;
• la confidentialité des données est assurée par des mesures adéquates.

Où conserver les données de santé ?

Les professionnels de santé peuvent conserver eux-mêmes ces données ou confier leur hébergement à des tiers.

Dans le cas d'une conservation en interne, le professionnel est dans l'obligation de s'assurer que seules les personnes autorisées en vertu de leurs missions et dans le respect des dispositions légales peuvent accéder à ce fichier.

Si un intervenant extérieur est requis pour assurer la maintenance ou le dépannage du logiciel gérant les données de santé, il doit limiter son rôle à une intervention technique, sans accès aux données de santé qui devraient être cryptées.

Concernant l'hébergement de données de santé par une entreprise sous-traitante, une réglementation spécifique s'applique : l'hébergeur doit être certifié HDS.

02. L'hébergement des données de santé par un prestataire certifié HDS

Les différents hébergeurs de données de santé

C'est le Code de la santé publique (article L.1111-8) qui définit la notion d'hébergeurs de données de santé. Ils répondent à plusieurs critères :

• ce sont des personnes physiques ou morales ;
• elles conservent les données de santé pour le compte des personnes concernées par ces informations ou à la demande d'autres personnes physiques ou morales qui sont à l'origine de la production ou du recueil des informations ;
• elles doivent posséder l'agrément ou la certification HDS ;
• les données stockées peuvent avoir été récupérées lors d'activités de suivi social, médico-social ou suite à des prestations de soin, de diagnostic ou de prévention.

Les modalités d'hébergement

La conservation des données de santé, indépendamment du support choisi, ne peut être réalisée qu'après avoir obtenu l'accord préalable des personnes concernées. Cette responsabilité d'information incombe à l'hébergeur.

Les hébergeurs de données de santé sont classifiés en 2 catégories :

• les hébergeurs pratiquant l'infogérance ;
• ceux hébergeant les infrastructures physiques.

L'infogérance regroupe plusieurs prestations :

• sauvegarder en externe les données de santé ;
• administrer et exploiter le système d'information gérant les données de santé ;
• mettre à disposition et maintenir en conditions opérationnelles l'infrastructure virtuelle ou la plateforme contenant les applications du système d'information traitant les données de santé.

Les prestations des hébergeurs d'infrastructures physiques consistent en la mise à disposition et au maintien en conditions opérationnelles de l'infrastructure matérielle du système d'information servant au traitement des données de santé ou des sites hébergeant cette infrastructure.

Les informations contractuelles

Lorsque vous établissez un contrat pour l'hébergement des données de santé par un prestataire, certains points doivent être spécifiés concernant les actions de ce sous-traitant :

• il doit s'assurer que son personnel a signé des engagements de confidentialité ;
• il ne peut procéder à aucun traitement des données sans instruction de votre part ;
• il doit obtenir votre accord écrit avant de faire appel à des sous-traitants pour toute action relative aux données de santé que vous lui avez confiées ;
• il s'assure de prendre toutes les mesures de sécurité relatives à la protection des données en sa possession ;
• il détruit ou renvoie toutes les données lorsque sa prestation est achevée ;
• il collabore pleinement si des audits sont réalisés ;
• il coopère avec vous afin que les droits des personnes concernées par les données soient respectés par exemple dans le cas de demandes de destruction de ces informations.

La certification HDS

Seuls les prestataires certifiés HDS (ou possédant l'ancien agrément HDS) sont habilités à procéder à l'hébergement des données de santé. La certification est attribuée par un organisme certificateur désigné par l'État tel que la COFRAC (COmité FRançais d'ACcréditation) à l'issue d'un audit se déroulant en 2 étapes :

• phase documentaire : évaluation de la conformité des documents vis-à-vis du référentiel documentaire de la norme ;
• phase sur site : récupération des preuves nécessaires à l'audit.

Après l'audit sur site, si des non-conformités ont été relevées, l'hébergeur a 3 mois maximum pour les corriger et les faire auditer à nouveau. S'il ne le fait pas, l'audit sur site est à recommencer.

Si l'entreprise auditée possède la certification ISO/IEC 20000 relative aux systèmes d'information ou celle ISO 27001, concernant la gestion des risques liés à la sécurité de l'information, il peut y avoir des équivalences. L'organisme certificateur étudie alors les possibles équivalences.

Après l'achèvement favorable des 2 audits, la certification HDS est délivrée. Elle est valable 9 mois. L'hébergeur certifié fera également l'objet d'audits annuels de surveillance pendant cette période de 36 mois.

Afin de faciliter la recherche d'un hébergeur certifié, le gouvernement a mis à la disposition du public la liste des sociétés certifiées ainsi que le détail des services qu'elles proposent sur le site de l'Agence du Numérique en Santé (ANS).

03. Les règles relatives au partage et à l'échange d'informations entre professionnels

Les informations communiquées avec des professionnels du domaine social ou médico-social

Les données de santé peuvent être échangées et partagées en respectant une double limitation :

• Seules les informations strictement nécessaires pour la prévention, la continuité des soins, la coordination, le suivi médico-social ou social sont susceptibles d'être échangées ou partagées.
• Les personnes concernées par ces communications de données doivent être au préalable informées à la fois de la nature des informations partagées et du/des destinataires.

La communication entre professionnels de santé

Elle peut se faire entre :

• professionnels d'une même équipe de soins ;
• hors équipe de soins, moyennant une autorisation préalable de la personne concernée ;
• médecins qui participent à la continuité de soins après accord préalable de la personne.

Il est important de savoir que la personne dont les données ont été collectées peut s'opposer à tout moment à leur échange ou leur partage.

Les professionnels exclus de la communication de données

Il existe des cas particuliers pour lesquels le partage d'information de santé est exclu :

• Avec le médecin du travail : le patient doit décider s'il veut ou non transmettre des données le concernant au médecin du travail. S'il le souhaite, son médecin doit lui remettre en mains propres les documents nécessaires et il les communiquera alors lui-même au médecin du travail.
• Avec un médecin expert judiciaire : même s'il est mandaté par la Justice, ce médecin n'a pas un accès automatique aux informations couvertes par le secret médical. Le médecin traitant peut donner au patient, s'il le demande, des documents. Le patient les transmettra ensuite au médecin expert judiciaire. Sinon, le médecin traitant peut demander au patient une autorisation écrite pour permettre la communication au médecin expert judiciaire des pièces nécessaires.
• Avec le médecin d'une compagnie d'assurances : le processus est identique à celui mis en place avec le médecin du travail.

Si vous souhaitez confier l'hébergement des données de santé à une société spécialisée, vous savez maintenant qu'il est obligatoire de choisir un prestataire certifié ou agréé HDS non seulement pour répondre aux obligations légales mais aussi pour être assuré de la sécurité de ces informations personnelles et sensibles.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.