Nouvelle-Calédonie: Traitement de données de santé, les conditions

Temps de lecture estimé : 17 minutes

Tous les professionnels de santé génèrent une masse croissante de données médicales. Afin d'optimiser leur traitement, leur hébergement et leur partage, certains d'entre vous décident de sous-traiter ces tâches à des sociétés spécialisées mais comment choisir un prestataire fiable ? Légalement, vous devez passer un contrat avec une société agréée HADS (Hébergeur Agréé de Données de Santé) ou certifiée HDS (Hébergeur de Santé).

Cette obligation a pour objectif de vous assurer que vos données de santé seront conservées en toute sécurité, dans le respect du droit des patients concernés. Apprenez-en plus sur les avantages de la certification HDS par rapport à l'agrément HADS, qui sera bientôt obsolète. De plus, avant de faire votre choix, pensez à vérifier quelles sont la localisation et la nationalité de l'hébergeur HDS. En effet, une société française installée en Nouvelle-Calédonie vous offre de nombreux avantages par rapport à un prestataire d'un autre pays, même européen.

01. Pourquoi préférer un hébergeur certifié plutôt qu'agréé ?
02. Les avantages d'un hébergeur implanté en Nouvelle-Calédonie

01. Pourquoi préférer un hébergeur certifié plutôt qu'agréé ?

La procédure d'obtention de l'agrément HADS

Afin d'obtenir l'agrément HADS, les sociétés devaient remplir un dossier contenant les éléments suivants :

• volet administratif et financier : informations d'identification du demandeur, comptes prévisionnels, présentation des éventuels sous-traitants, etc.
• volet technique concernant la politique de sécurité et de confidentialité : garantie du respect des droits des personnes concernées par les informations hébergées, garantie de la sécurité des accès aux données, garantie de la pérennité des données, procédures de contrôle en interne, etc.
• modèles de contrats ;
• organisation du service après-vente et de l'information fournie aux patients et aux professionnels de santé.

Ce dossier était ensuite envoyé à la Mission pour l'informatisation des systèmes de santé qui le transmettait à la CNIL pour examen puis à un comité d'agrément spécifique.

La décision finale revenait au ministre de la Santé qui pouvait attribuer ou non l'agrément.

La période de transition entre agrément et certification

L'agrément HDAS d'une société est valide 3 ans. Il peut éventuellement être suspendu ou retiré. Depuis mars 2018, aucun dossier de demande d'agrément ne peut plus être déposé car la certification HDS a remplacé l'agrément HADS. Cependant, cette nouvelle certification n'invalide pas les agréments en cours. Les hébergeurs agréés HADS peuvent donc continuer leurs activités jusqu'à expiration de leur agrément. Toutefois, il est conseillé de faire héberger vos données de santé par une entreprise certifiée plutôt qu'agréée.

En effet, votre prestataire agréé devra impérativement passer la certification HDS sous peu. Or, le processus de certification est bien plus complexe que la procédure d'obtention de l'agrément. Il est donc possible qu'un hébergeur agréé ait des difficultés à obtenir la certification. En choisissant directement un sous-traitant certifié, vous évitez le risque d'avoir à changer de prestataire pour un problème de certificat non obtenu.

Les spécificités et avantages de la certification HDS

Depuis mars 2018, c'est donc la certification HDS qui doit être obtenue par les nouveaux hébergeurs de données de santé. Cette nouvelle norme a été mise en place pour assurer encore plus de sécurité dans la conservation, le traitement et le partage des données de santé.

En effet, l'agrément HADS était une procédure uniquement française qui se fondait sur une base déclarative. La certification HDS est une norme reconnue au niveau international. Elle est attribuée après l'intervention d'un organisme certificateur qui a été habilité par l'État afin de vérifier que les hébergeurs répondent précisément aux différents critères définis par plusieurs normes internationales toutes relatives à l'informatique et la sécurité des données : ISO 20000:2011, ISO 27001 et ISO 27018 :2014.

En plus de ces référentiels internationaux, des exigences ont été ajoutées concernant spécifiquement les données de santé.

La procédure de certification HDS

La certification HDS est attribuée après le passage de deux audits. Le premier consiste en une revue documentaire ; le second est réalisé par des auditeurs qui viennent dans les locaux du candidat. Il peut arriver que des différences soient relevées entre la réalité et les attentes normatives. Dans ce cas, des non-conformités sont signalées. Le candidat hébergeur doit les corriger puis les faire auditer à nouveau.

Une fois qu'il n'y a plus de non-conformités, le certificat peut être délivré. Il est valable pendant 3 ans. Cependant, des audits de suivi sont aussi réalisés chaque année pour s'assurer que l'entreprise certifiée continue à tenir ses engagements.

Dans le cas contraire, les organismes certificateurs ont la possibilité de suspendre voire de retirer le certificat HDS. Cet ensemble de règles est là pour vous assurer que vos données de santé sont hébergées en toute sécurité du moment que vous faites appel à une entreprise certifiée HDS.

La liste des entreprises certifiées

Chaque mois, les organismes certificateurs fournissent au Gouvernement un état des lieux des certificats : nouvelles sociétés certifiées, certificats suspendus ou retirés.

Ainsi, l'Agence du Numérique en Santé (ANS) met à la disposition de toute la liste à jour des hébergeurs certifiés avec notamment l'intitulé de leur agrément. Vous pouvez donc facilement connaître la liste des entreprises françaises certifiées pour le traitement et l'hébergement de vos données de santé.

02. Les avantages d'un hébergeur implanté en Nouvelle-Calédonie

Lors du choix de votre hébergeur de données de santé, sa localisation n'est pas anodine.

Même si, dans le domaine informatique, la dématérialisation des flux facilite les échanges sur de longues distances, il ne faut pas négliger les bénéfices apportés par un partenaire implanté en Nouvelle-Calédonie :

• vous bénéficiez d'un accès de qualité à vos fichiers : un hébergeur installé comme vous en Nouvelle-Calédonie, que ce soit dans la Province sud ou nord, vous garantit d'accéder à vos données de santé avec un temps de latence minime, les serveurs où sont entreposées vos informations étant physiquement proches de vous.
• vos informations risquent moins d'être perdues ou corrompues du fait de la faible distance séparant les sites où elles sont conservées et le lieu où elles sont utilisées.
• vos droits sont plus faciles à faire respecter : en établissant un contrat de droit français avec votre hébergeur, vous n'avez pas à vous préoccuper des potentiels impacts de la nationalité de votre prestataire, spécialement en cas de litige.
• vos données de santé restent sous la protection du RGPD qui s'applique uniquement dans l'Union Européenne : il est important de savoir que les entreprises américaines, par exemple, peuvent se voir contraintes par les agences d'enquêtes et/ou de renseignements nationales à fournir les données qu'elles hébergent en vertu du « Cloud Act ». Ainsi, même si ces informations critiques sont conservées pour des clients français et conservées sur des serveurs localisés en Europe, elles tombent sous le coup de la loi américaine.
• votre hébergeur est installé près de chez vous : en ayant votre sous-traitant informatique implanté en Nouvelle-Calédonie, vous avez la possibilité de le rencontrer en tête-à-tête et pas uniquement en visioconférence, par téléphone ou en envoyant des courriels. De plus, ses heures de travail sont les mêmes que les vôtres et vous n'avez donc pas à subir les éventuels inconvénients de discuter avec des interlocuteurs en plein décalage horaire par rapport à vous. Quant au service d'assistance 24h/24 et 7j/7, lorsque l'hébergeur est situé sur le territoire néo-calédonien, il peut être organisé soit avec des collaborateurs en astreinte en Nouvelle-Calédonie ou avec des établissements en France métropolitaine qui prennent le relais la nuit. Dans tous les cas, vous avez un interlocuteur parlant la même langue maternelle que vous, un vrai atout en cas d'urgence informatique.

La loi, pour des raisons de sécurité, vous oblige à faire héberger vos données de santé par des sociétés agréées ou certifiées.

Avant de choisir qui sera votre sous-traitant, n'oubliez pas que l'agrément sera bientôt obsolète et qu'il vaut donc mieux opter pour un partenaire certifié HDS. De plus, prêtez attention à la localisation de l'hébergeur : l'idéal en matière de services est de trouver une entreprise localisée en Nouvelle-Calédonie, comme vous.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.