Pourquoi choisir un hébergeur certifié HDS pour ses données de santé ?

Temps de lecture estimé : 16 minutes

En tant que professionnel de santé ou DSI d'un organisme médical, vous avez décidé de confier le stockage de vos données de santé à caractère personnel (DSCP) à un prestataire externe. Cependant, vous savez combien ces informations sont critiques et vous vous demandez peut-être comment trouver un hébergeur vous faisant bénéficier de toutes les conditions de sécurité requises.

Hébergeur agréé ou certifié : y a-t-il des différences ? Découvrez quelles sont vos obligations légales et comment trouver votre futur hébergeur de DSCP.

01. La fiabilité d'une certification attribuée par un organisme indépendant
02. La transparence avec un suivi des hébergeurs certifiés
03. La proximité grâce à un hébergeur certifié français

01. La fiabilité d'une certification attribuée par un organisme indépendant

L'ancien agrément HDAS

En 2006, l'Agence des systèmes d'information partagés (ASIP) a mis en place l'agrément HADS (Hébergeur agréé de donnés de santé). L'objectif de cet agrément était d'assurer aux clients des hébergeurs de DSCP que leurs informations étaient constamment disponibles, conservées en toute intégrité et confidentialité et que toute modification était tracée de manière automatique. Pour ce faire, différentes procédures organisationnelles et techniques étaient instaurées. Il s'agissait par exemple de chiffrer les données, d'instaurer des processus d'authentification poussés, de gérer les accès et les habilitations, de créer des plans pour la reprise et la continuité d'activité, etc.

La procédure pour être agréé HDAS

Obtenir l'agrément HDAS nécessitait la constitution d'un dossier spécifique qui était d'abord étudié par l'ASIP. La CNIL (Commission nationale de l'informatique et des libertés) et le Comité d'agrément des hébergeurs donnaient ensuite leur avis sur cette documentation. La décision finale revenait enfin au ministre de la Santé. Cette procédure durait environ 8 mois. Une fois l'agrément attribué, une publication était faite au BO (bulletin officiel) du Ministère de la Santé. L'hébergeur agréé HDAS pouvait exercer ses fonctions pendant une durée de 3 ans.

La transition de l'agrément à la certification

Depuis mars 2018, les agréments HDAS ne peuvent plus être renouvelés vu qu'ils ont été remplacés par les certificats HDS. Cependant, ils ne sont pas invalidés pour autant. Ils conservent leur validité jusqu'à la date d'expiration, à moins qu'ils ne soient suspendus ou retirés entre-temps. Avant la fin de validité de leur agrément, les hébergeurs doivent démarrer une procédure de certification HDS. En fonction de leur avancement en matière de sécurité informatique, ce processus peut être plus ou moins long. Il y a 3 cas de figure :

• l'hébergeur n'a pas de certification : il doit d'abord obtenir la certification ISO 27001 puis postuler pour obtenir la certification HDS. Il sera alors audité sur les normes ISO 27018 et ISO 20000 ainsi que sur des critères spécifiques à la santé ;
• l'hébergeur est certifié ISO 27001 : l'organisme certificateur procédera à des vérifications sur cette norme et réalisera des audits sur les normes ISO 20000, ISO 27017 ainsi que sur des critères relatifs à la santé ;
• l'hébergeur possède les certifications ISO 27001 et ISO 20000 : il sera l'objet de vérifications concernant ces 2 certifications et il sera audité sur la norme ISO 27018 ainsi que sur des points spécifiques liés à la santé ;

Les avantages de la certification par rapport à l'agrément

L'implémentation de la certification HDS a pour but de sécuriser encore plus l'hébergement des données de santé. En effet, cette certification se différencie de l'agrément par plusieurs points :

• la certification HDS est reconnue au niveau international alors que l'agrément HADS était uniquement français ;
• la méthode de vérification pour la certification passe par plusieurs audits alors que l'agrément HADS était donné sur la base d'un dossier rempli par le candidat ;
• la certification HDS a pour base des normes internationales comme l'ISO 27001 qui sont plus exigeantes que le dossier à remplir pour obtenir l'agrément HDAS.

La procédure de certification HDS

La certification HDS est attribuée par des organismes certificateurs indépendants. Ces derniers sont habilités par la Cofrac (Comité Français d'Accréditation), l'organisme national reconnaissant les compétences et l'impartialité des organismes certificateurs. La procédure se déroule en 2 phases. La première est un audit documentaire et la seconde un audit sur site. Suite à cet audit, le certificat peut être délivré pour 3 ans à condition que des non-conformités n'aient pas été trouvées. Dans ce cas, l'hébergeur a 3 mois pour les corriger et les faire à nouveau auditer, faute de quoi l'ensemble de l'audit sur site devra être effectué à nouveau.

02. La transparence avec un suivi des hébergeurs certifiés

Les organismes certificateurs chargés d'attribuer les certificats HDS ont l'obligation légale d'informer au minimum une fois par mois les autorités compétentes françaises de l'état des certificats. Ils doivent ainsi fournir un rapport qui détaille la liste de toutes les entreprises concernées, leur périmètre de certification, la date de leur certification ainsi que l'état de leur certificat : valide, retiré ou suspendu.

En plus de ce rapport, les organismes certificateurs doivent également produire un répertoire annuel des hébergeurs HDS ainsi que des documents spécifiques pour chaque retrait ou chaque suspension de certificat. C'est pourquoi il vous est facile d'accéder à la liste à jour des entreprises certifiées HDS sur le site de l'Agence de Numérique en Santé (ANS). Que vous recherchiez un prestataire pour héberger vos données de santé ou que vous souhaitiez vous assurer que le vôtre est toujours en règle, vous pouvez consulter cette liste à tout moment.

03. La proximité grâce à un hébergeur certifié français

Confier vos données de santé à un prestataire est un changement important dans l'organisation de votre structure. Pour faciliter cette transition, il est recommandé de privilégier un hébergeur certifié qui soit installé en France, dans l'hexagone si vous y êtes ou outre-mer si vous êtes installés là-bas. Cette proximité physique vous apporte plusieurs avantages :

• une même base légale : dès l'établissement du contrat entre votre hébergeur et vous, il est plus simple de procéder lorsque les deux entreprises dépendent d'une même loi. Il n'est alors pas nécessaire de réfléchir à d'éventuelles clauses permettant de définir quelle juridiction aura la priorité en cas de litige. Votre hébergeur et vous-même êtes protégés par les lois françaises et européennes.
• une facilité de communication : à l'heure de la banalisation des échanges par visioconférence, il est toujours appréciable de savoir qu'il est possible, si besoin, de rencontrer un interlocuteur en face à face.
• une même langue de travail : que vous ayez l'habitude ou non de travailler avec une autre langue que le français, vous apprécierez de pouvoir exprimer vos attentes en matière de sécurité dans votre langue maternelle. Sur des sujets critiques, parler la même langue est tout de même une sécurité supplémentaire, l'assurance d'une compréhension mutuelle.
• des horaires de travail semblables : avec un prestataire dans le même pays, vous savez que vous aurez forcément un interlocuteur pendant la journée, en plus évidemment du service d'assistance d'urgence en cas de problème en dehors des plages horaires de travail.
• des accès optimisés aux fichiers : la proximité physique implique des temps de latence réduits car les informations ne parcourent pas des milliers de kilomètres pour arriver chez vous.

Passer par un hébergeur certifié HDS pour vos données de santé est tout d'abord une obligation légale. Cependant, cette certification a pour objectif premier d'accroître la sécurité des informations sensibles qui sont ainsi hébergées. Elle est donc bénéfique pour vous comme pour vos patients. Avec ce nouveau système de certification qui combine exigence et transparence, vous pouvez externaliser l'hébergement de vos données en toute confiance, et trouver facilement un sous-traitant français avec qui collaborer.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.