Temps de lecture estimé : 16 minutes
Lorsque les professionnels de santé souhaitent faire héberger leurs données par un prestataire externe, ils ne savent pas forcément vers quelle société se tourner afin d'assurer une sécurité optimale pour ces informations critiques tout en respectant la loi.
Jusqu'en janvier 2019, seule une société agréée HADS pouvait héberger des données de santé. Depuis lors, ce sont les entreprises certifiées HDS qui sont habilitées à conserver ces informations de santé. Cette nouvelle certification, basée en partie sur la norme ISO 27001, permet un niveau de sécurité accru, notamment grâce à l'intervention d'un organisme certificateur indépendant.
01. L'agrément HDAS
02. La norme ISO 27001
03. La certification HDS
Depuis 2006, la procédure d'agrément pour l'Hébergement Agréé des Données de Santé (HADS) à caractère personnel sur support électronique a été mise en place. À partir de mars 2018, il n'est plus possible de procéder à une demande de renouvellement de l'agrément car l'agrément HADS a été remplacé par une certification HDS. Cependant, cette nouvelle procédure n'invalide pas les précédents agréments. Sauf s'ils ont été retirés ou suspendus, les agréments HDS restent valides jusqu'à leur date d'échéance initiale. Avant expiration de l'agrément, les hébergeurs concernés devront procéder à une demande de certification HDS afin de pouvoir continuer leurs activités en toute légalité.
La durée de la procédure d'agrément était au minimum de 8 mois. Le dossier constitué était instruit par l'Agence des Systèmes d'Information Partagés (ASIP) puis transmis pour avis à la Commission Nationale de l'Informatique et des Libertés (CNIL) et au Comité d'agrément des hébergeurs.
Au final, le Ministre de la Santé donnait sa décision. Lorsqu'elle était favorable, l'agrément était donné pour une durée de 3 ans et faisait l'objet d'une publication dans le Bulletin Officiel (BO) du ministère de la Santé.
Le but de cet agrément HADS était d'assurer la traçabilité, la disponibilité, la confidentialité et l'intégrité des données de santé à caractère personnel (DSCP). Des normes organisationnelles et techniques étaient définies comme notamment le chiffrage des informations, des contraintes en matière d'authentification, de gestion des habilitations et de suivi des accès, la mise en place de plans de reprise et de continuité d'activité, etc.
Plusieurs améliorations sont apportées par la certification HDS :
Cette norme internationale, nommée auparavant ISO/IEC 27001:2005, concerne le Système de Management de la Sécurité de l'Information (SMSI).
Le SMSI regroupe des procédures et des règles concernant les contrôles (techniques, physiques et juridiques) relatifs aux processus de gestion des risques relatifs aux informations détenues par une société.
L'objectif de cette norme est donc bien d'établir une sécurité globale, dite à 360°, des données de l'entreprise. Les systèmes d'information ainsi que les collaborateurs concernés par la protection des données entrent aussi dans le périmètre du SMSI.
Une des principales faiblesses de cette norme réside dans le fait que le SMSI est élaboré et pensé à partir d'une analyse de risques faite entièrement en interne.
Ainsi, dans le pire des cas, il est possible de satisfaire aux exigences de la norme tout en n'ayant pas évalué correctement les bons risques. Le SMSI serait dans ce cas pourtant conforme car il répondrait aux risques définis par la société.
Le principal objectif de cette nouvelle certification est d'accroître la sécurité des DSCP en faisant intervenir un organisme certificateur indépendant qui est lui-même accrédité par une structure officielle nationale telle que la COFRAC (Comité FRançais d'Accréditation). Ainsi, pour être certifié HDS, un hébergeur doit :
La mise en œuvre de cette nouvelle certification date de janvier 2019.
L'obtention de la certification HDS se passe en plusieurs étapes. Un premier audit documentaire est réalisé. Il est suivi par un audit sur site. À l'issue de ce second audit, de possibles non-conformités peuvent être relevées. Si c'est le cas, l'hébergeur dispose de 3 mois pour procéder aux corrections et les faire auditer.
Ce délai expiré, si aucune action n'a été réalisée, l'ensemble de l'audit sur site doit être à nouveau réalisé. Si les non-conformités ont été levées ou s'il n'y en avait aucune, le certificat, valable pendant 36 mois, peut être délivré par l'organisme certificateur. Pendant ces 3 ans, l'hébergeur est audité chaque année pour une vérification du suivi de normes définies par la certification.
Trois cas de figure peuvent se présenter pour une entreprise souhaitant être certifiée HDS :
La certification HDS concerne deux métiers d'hébergements différents.
Le premier métier est « hébergeur d'infrastructure physique ». Il correspond à deux types de services de mise à disposition et maintien en conditions opérationnelles :
Le second métier concerne les activités d'« hébergeur infogéreur ». Cela correspond à 4 sortes de prestations :
Sur le site de l'ANS (Agence du Numérique en Santé), vous pouvez trouver la liste des hébergeurs dont la certification est en cours de validité, avec pour chacun d'eux, le détail des services certifiés.
Vous savez maintenant que ni la certification ISO 27001 ni l'agrément HADS ne sont valides pour donner le droit à une société d'héberger des données de santé. Seules les entreprises certifiées HDS sont légalement autorisées à se voir confier la conservation des informations de santé. Cette nouvelle certification est un gage de sécurité afin d'assurer aux patients que les informations personnelles les concernant sont conservées dans les meilleures conditions possibles.
Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.