Hébergeur HDS: les bénéfices d'externaliser vos données de santé

Temps de lecture estimé : 16 minutes

Comme les données de santé sont des informations critiques, les différents traitements dont elles sont l'objet, comme le stockage, l'échange, la gestion, sont encadrés par des réglementations spécifiques.

C'est pourquoi, si vous envisagez de confier à un prestataire la conservation des données de santé à caractère personnel (DSCP) de vos patients, vous êtes dans l'obligation de choisir un hébergeur certifié HDS (Hébergeur de Données de Santé). Découvrez les avantages de cette solution en matière de sécurité et de conformité aux lois en vigueur.

01. Les réglementations relatives au traitement des données de santé
02. Qui sont les hébergeurs de données de santé ?
03. Faire appel à un hébergeur : quels sont les avantages ?

01. Les réglementations relatives au traitement des données de santé

En tant que détenteur de DSCP, les professionnels de santé ont plusieurs types d'obligations dont le but ultime est de concilier les droits des personnes concernées et la sécurité de ces données.

Les nouvelles obligations suite au RGPD

Depuis la mise en place du RGPD (Règlement Général sur la Protection des Données) au printemps 2018, des nouvelles formalités sont à suivre et remplacent les précédentes obligations définies par la Loi Informatique et Libertés et la CNIL (Commission Nationale de l'Informatique et des Libertés). La personne définie comme responsable des traitements doit :

• lister les différents traitements ;
• établir une cartographie de ces traitements ;
• être en mesure de prouver leur conformité avec le RGPD.

De plus, une analyse d'impact est parfois nécessaire. C'est le cas lorsque les traitements peuvent engendrer des risques élevés ou quand ils sont effectués à grande échelle.

L'obligation de déclaration à la CNIL disparaît à condition que le traitement remplisse un de ces critères :

• les personnes concernées ont donné leur consentement exprès ;
• le traitement a pour but la sauvegarde de la vie humaine ;
• le traitement est réalisé pour de la « recherche en interne » au sein d'établissement de santé ;
• le traitement est requis à des fins de médecine préventive, pour l'administration de traitements, pour la réalisation de soins, pour l'établissement de diagnostics médicaux ou pour la gestion de services de santé et il est mis en œuvre par une personne soumise au secret professionnel de par ses fonctions ou par un professionnel de santé ;
• le traitement est effectué dans le cadre du Plan de Médicalisation des Systèmes d'Information (PMSI), par des organismes chargés de mission de service public par arrêté ministériel, par les Agences Régionales de Santé (ARS), par l'État ou la personne publique.

La sécurité des traitements et des données

Le responsable du traitement des données est obligé d'assurer la sécurité des DSCP. Pour cela, il se doit de mettre en œuvre des mesures protégeant ces informations critiques contre la destruction, la divulgation et la modification, que ce soit suite à une action malveillante ou un accident. Pour respecter cette obligation de moyen, et pas de résultat, il est nécessaire d'instaurer des mesures organisationnelles comme techniques.

Différentes mesures organisationnelles sont possibles :

• définir et limiter l'accès aux données à certaines personnes ;
• restreindre la durée de conservation des informations ;
• installer des serveurs redondants ;
• planifier des sauvegardes très régulières ;
• etc.

Concernant les mesures techniques, les plus courantes sont :

• la mise à jour des logiciels et des systèmes d'exploitation sur les serveurs ;
• le chiffrement des flux ;
• l'installation d'antivirus sur les serveurs ;
• la journalisation des accès ;
• la gestion d'accès avec des mots de passe très sécurisés ;
• etc.

Cet ensemble de mesures peut être complexe à mettre en œuvre, notamment pour de petites structures. C'est pourquoi il peut être utile de se tourner vers des prestataires spécialisés afin de leur confier le traitement de vos données de santé, c'est-à-dire la gestion du stockage, des échanges et du management de ces informations.

Le suivi des règles pour le transfert d'informations sensibles hors UE

Le RGPD s'appliquant dans toute l'Union européenne, les transferts entre pays membres ne sont pas problématiques. Par contre, hors de l'UE, seule la garantie d'une protection équivalente à celle fournie par le droit européen permet de réaliser des transferts. Les professionnels de santé doivent donc vérifier que toutes les mesures de protection requises par l'UE sont assurées par le pays vers lequel ils souhaiteraient transférer des RGPD sous peine de poursuites légales.

Dans ce cadre juridique, il est donc fortement recommandé de choisir un prestataire HDS situé au moins dans l'UE et, si possible, en France. En effet, il est toujours plus simple de communiquer sur des sujets aussi sensibles avec des personnes qui ont la même langue maternelle et travaillent sur les mêmes plages horaires. Quant au volet légal et contractuel de la sous-traitance, il est également simplifié lorsque l'hébergeur est soumis à la même loi que le professionnel de santé lui confiant ses DSCP.

02. Qui sont les hébergeurs de données de santé ?

De l'agrément à la certification

Depuis 2018, afin de pouvoir héberger des DSCP, les sociétés spécialisées sont dans l'obligation d'obtenir la certification HDS. Auparavant, en France, un agrément HADS (Hébergeurs Agréé des Données de Santé) était requis. Toutes les entreprises ayant un agrément HADS valide peuvent encore exercer leurs activités. Cependant, lorsqu'il aura expiré, elles devront passer le processus de certification HDS.

Une certification internationalement reconnue

Obtenir le certificat HDS est un processus exigeant qui se base sur des normes internationales existantes telles que l'ISO 27001 (concernant les systèmes d'information), l'ISO 27018 (relative à la sécurité des DSCP dans le Cloud) et l'ISO 20000 (relative à la gestion des systèmes informatiques). La certification HDS inclut également des critères spécifiques aux données de santé et à leur traitement.

Un processus transparent

La certification HDS est délivrée par un organisme certificateur indépendant alors que l'agrément HDS était donné suite à l'étude de documents fournis par le candidat lui-même. Après la réalisation de deux audits (documentaire et sur site) et en l'absence de non-conformités, le certificat HDS est attribué pour une durée de 3 ans. Les organismes certificateurs doivent informer au moins une fois par mois les autorités compétentes des éventuelles évolutions de l'état des certificats : nouvelles émissions, suspensions et retraits. Le site de l'Agence du Numérique en Santé (ANS) met à disposition de tous la liste à jour des entreprises certifiées HDS ainsi que le détail du périmètre couvert par la certification.

03. Faire appel à un hébergeur : quels sont les avantages ?

En confiant l'hébergement de vos données de santé à un prestataire certifié HDS, vous bénéficiez de plusieurs avantages :

• vous accédez aux informations avec une sécurité maximale grâce à un profil et un mot de passe qui répondent à des normes d'authentification élevées. Votre mot de passe doit également être changé très régulièrement, ce qui permet de réduire les risques de piratage.
• vous êtes assurés que vos DSCP sont conservées de manière sécurisée sur des serveurs distants les uns des autres, ce qui permet d'éviter qu'un événement imprévisible, par exemple une catastrophe naturelle, affecte l'intégrité de ces données.
• vous consultez les informations quand vous voulez puisqu'elles sont systématiquement conservées sur deux serveurs au minimum et ce, de manière simultanée.
• vos DSCP ne sont pas accessibles à des tiers sauf autorisation spécifique car elles sont chiffrées. Ainsi, à moins d'être en possession de la clé de déchiffrement, leur lecture est impossible. Chez votre hébergeur, seulement quelques personnes identifiées peuvent accéder aux informations conservées tout en les voyant que de manière chiffrée. .

Sous-traiter l'hébergement des DSCP à une société certifiée HDS est donc non seulement une obligation légale mais aussi la meilleure manière de vous assurer que ces informations critiques sont traitées et conservées de manière sécurisée tout en respectant les droits de vos patients.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.