Le blog Exodata

Comment bien choisir son hébergeur de données de santé ?

Rédigé par Gauthier THOMAS | Oct 19, 2020 8:00:00 PM

Temps de lecture estimé : 17 minutes

Vous avez décidé de confier vos données de santé à un hébergeur spécialisé mais vous vous demandez comment choisir le meilleur prestataire ? Vous avez entendu parler de sociétés agréées et d'autres certifiées HDS. Cependant, vous ne connaissez pas les différences entre les deux.

Apprenez-en plus sur l'agrément HADS et le certificat HDS afin de sélectionner en toute connaissance de cause votre futur sous-traitant.

01. Les hébergeurs agréés HADS
02. Les hébergeurs certifiés HDS
03. Les critères pour choisir un hébergeur de données de santé

01. Les hébergeurs agréés HADS

L'origine de l'agrément HADS

Les sociétés possédant l'agrément HADS (Hébergeur Agréé de Données de Santé) sont habilitées à héberger des données de santé à caractère personnel (DSCP). Cet agrément a été créé en France par l'ASIP (Agence des systèmes d'information). Les DSCP sont des informations particulièrement sensibles, c'est pourquoi le Gouvernement français a jugé utile de définir des règles spécifiques pour assurer que les sociétés les hébergeant offrent un maximum de garanties à leurs clients :

  • disponibilité constante des données ;
  • traçabilité des modifications ;
  • mesures de sécurité assurant l'intégrité et la confidentialité des informations.

L'ASIP a ainsi défini des modèles organisationnels et techniques à suivre pour assurer des prestations sûres et de qualité : crypter les flux d'informations, créer des habilitations spécifiques, surveiller les accès, fiabiliser les procédures d'identification, etc.

La procédure d'agrément HADS

Afin d'obtenir cet agrément, les hébergeurs devaient remplir un dossier dont le contenu avait été défini par l'ASIP. Ce dossier était ensuite étudié par plusieurs organismes qui donnaient leur avis : le Comité d'agrément des hébergeurs et la Commission nationale de l'informatique et des libertés (CNIL).

Une fois cette étape passée, le dossier était transmis au Ministère de la Santé, la décision finale d'approbation ou de rejet de la demande incombant au ministre. Lorsque l'agrément était accordé, au terme d'une procédure durant généralement 8 mois, l'hébergeur agréé HADS était habilité à conserver des DSCP pendant 36 mois. Son agrément était annoncé dans le bulletin officiel du ministère de la Santé.

La cohabitation entre l'agrément et la certification

Les dossiers de demande d'agrément HADS déposés jusqu'au 31 mars 2018 ont été instruits en suivant la procédure habituelle. À partir de cette date, une nouvelle norme est entrée en vigueur : la certification HDS (Hébergeur de Données de Santé).

Cette nouvelle certification ne rend pas l'agrément caduc. Pendant 3 ans à compter de l'obtention de son agrément, un hébergeur HADS peut toujours conserver les DSCP de ses clients. Cependant, en termes de sécurité et de fiabilité, il est certain que les standards imposés par la certification HDS sont supérieurs à ceux de l'agrément HADS.

02. Les hébergeurs certifiés HDS

Comment sont certifiés ces prestataires ?

La certification HDS est une norme internationale, contrairement à l'agrément HADS. Elle n'est pas attribuée sur simple revue d'un dossier mais en faisant intervenir un organisme certificateur indépendant qui a été accrédité par l'État.

L'attribution de la certification nécessite de passer par deux audits, un documentaire et un, réalisé sur site. Les exigences de cette certification reposent notamment sur les normes ISO 27001, ISO 20000:2011 et ISO 27018 :2014.

D'autres critères spécifiques au domaine de la santé sont également pris en compte. Comme pour toute certification internationale, les audits peuvent amener à détecter des non-conformités qui doivent être corrigées puis à nouveau auditées. En l'absence de non-conformités ou si elles ont été corrigées, le certificat est attribué pour une durée de 3 ans. Chaque année, un audit de suivi est réalisé chez les entreprises certifiées.

Comment savoir qui sont les hébergeurs certifiés HDS ?

Les organismes certificateurs ont l'obligation d'informer de manière mensuelle les institutions françaises de l'évolution des certificats : nouveaux, suspendus et retirés.

En se basant sur ces informations, une liste des hébergeurs certifiés HDS est disponible sur le site de l'Agence du Numérique en Santé. Elle est ainsi mise à jour régulièrement et précise sur quels périmètres précis les sociétés sont certifiées : en tant qu'hébergeur d'infrastructure ou en tant qu'hébergeur infogéreur.

03. Les critères pour choisir un hébergeur de données de santé

Préférer un prestataire certifié ou agréé ?

Même si les hébergeurs agréés HADS sont légalement aptes à conserver des DSCP, il est indéniable que la certification HDS impose plus de règles que l'agrément. Par conséquent, vous auriez tout intérêt à choisir dès maintenant un partenaire certifié.

De plus, si vous optez pour un hébergeur agréé, il vous faudra vous assurer qu'à la fin de la validité de son agrément, il obtient effectivement sa certification. Sinon, vous devrez changer de sous-traitant.

Choisir une structure française ou étrangère ?

La question de la localisation du siège social de votre futur hébergeur de données de santé n'est pas anodine. En effet, privilégier un partenaire français présente plusieurs avantages :

  • accéder aux informations rapidement : comme votre prestataire et/ou ses serveurs sont relativement proches de vous, le temps de latence est optimisé. Si les informations sont conservées dans un autre pays, voire un autre continent, elles doivent parcourir des milliers de kilomètres pour arriver dans vos locaux.
  • parler la même langue de travail : rien de mieux pour être certain d'être compris que d'avoir la même langue maternelle que vos interlocuteurs, spécialement quand le sujet concerne des informations critiques.
  • avoir des horaires de travail semblables : tous les prestataires proposent évidemment un service client disponible pendant vos heures d'ouverture et également en cas d'urgence, la nuit et le week-end. Cependant, si l'hébergeur est installé dans un autre fuseau horaire que le vôtre, il se peut que ce soient des collaborateurs travaillant la nuit qui vous répondront lorsque vous les contacterez pendant vos heures de travail. Avec un partenaire français, vous évitez ce décalage horaire, ce qui ne peut que vous être bénéfique.
  • suivre les mêmes lois : une législation commune entre votre sous-traitant et vous facilite la rédaction du contrat mais pas seulement. Tout d'abord, en cas de différend, il suffit de se référer à la loi française sans avoir besoin de définir si c'est une autre juridiction qui est compétente. Ensuite, certains pays ont des lois vraiment différentes de celles de la France et de l'Union européenne. Par exemple, aux États-Unis, sous certaines conditions, les institutions d'enquête ou de renseignement ont le droit de forcer toute société américaine à leur communiquer des données, indépendamment de leur lieu physique d'hébergement et de la nationalité des personnes concernées par ces informations.

Privilégier une plateforme de type SaaS ?

Utiliser un Logiciel en tant que service (ou SaaS : Software as a Service) signifie que vous accédez par internet aux applications qui sont hébergées par un fournisseur. Si votre hébergeur HDS propose des services en mode Saas, vous n'avez plus à acquérir les licences relatives aux logiciels qui vous serviront à accéder et traiter les informations.

Il vous suffit de souscrire un abonnement, généralement annuel ou mensuel, dont le prix englobe l'usage des logiciels, la conservation des informations, la maintenance du système et sa sécurisation. Ainsi, pour accéder à vos fichiers et les gérer selon vos besoins, il est avantageux de passer par une plateforme SaaS de votre hébergeur certifié HDS car :

  • vous accédez à vos données de santé par internet sans avoir à paramétrer tous les postes de travail de vos collaborateurs ;
  • vous n'avez pas à vous soucier de la mise à jour des logiciels ;
  • tous vos collaborateurs utilisent forcément les dernières versions des logiciels et leurs travaux sont donc toujours compatibles :
  • vous vous déchargez de la gestion et de la maintenance des serveurs ;
  • vous accédez aux données n'importe quand ;
  • vos DSCP étant conservées sur les serveurs sécurisés de l'hébergeur, elles sont à l'abri d'un potentiel incident informatique survenant dans votre structure.

Afin de simplifier la conservation de vos données de santé, il est donc recommandé de choisir un hébergeur certifié HDS, plutôt qu'agréé HADS. Pour vous simplifier l'accès et le traitement de vos informations, privilégiez les offres de services incluant une plateforme SaaS.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS !

Voir l'article complet