Mars 2023
Le secteur de la santé vit la révolution numérique et la« Cloudification » de l’informatique comme tout autre secteur d’activité, mais il n’y en a pas d’autre dans lequel la préservation de la vie et la protection du secret médical a autant d’importance.
Cette révolution s’accompagne d’une crise de confiance : de nouveaux acteurs, ne partageant pas les codes du monde de la santé, deviennent partie prenante du système de santé : hébergeurs de données, fabricants de matériels médicaux connectés, développeurs d’applications. Comment faire confiance à des acteurs pour lesquels un hôpital, un laboratoire de recherche sont des clients comme les autres ? Appelé patient d’un côté, utilisateur de l’autre, la personne est au centre de la préoccupation du système de santé.
Pour pouvoir faire confiance aux acteurs de l’industrie informatique, des normes et des certifications ont été élaborées par différents organismes étatiques. Ces normes visent à établir un niveau d’exigences de sécurité minimal à respecter pour la manipulation et le traitement de données médicales.
Ce premier article parle de la norme HDS, il sera suivi d’autres articles balayant tout le panorama des normes de sécurité dans le secteur de la santé.
Certification HDS (Hébergeur de Données de Santé)
Dans le contexte d’augmentation de l’externalisation des traitements de données, en particulier dans le cloud public, la certification HDS vise à renforcer la protection des données de santé à caractère personnel, par les hébergeurs de données.
Selon l’article L.1111-8 du code de la santé publique, modifié par la loi n°2016-41 du 26 janvier 2016, le périmètre de la certification concerne uniquement la prestation d’hébergement des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social pour le compte :
- du patient lui-même ;
- du responsable de traitement de données personnelles, à condition d’en être à l’origine.
Sont donc concernés : tous les organismes qui hébergent ou exploitent un système d’information contenant des données de santé ou qui réalisent des sauvegardes pour le compte d’un établissement de santé à l’origine des données (hôpital, laboratoire, etc.), à l’exception des services d'archivages informatiques qui ne sont pas concernés par ces obligations.
Les établissements de santé qui gèrent leur propre Système d’Information de santé n’ont pas la nécessité d’être certifiés HDS, sauf lorsqu’un établissement gère les données d’un groupement hospitalier.
Les organismes n’étant pas à l’origine des données n’ont pas à exiger la certification HDS de la part de leur prestataire hébergeur de données, hormis si l’activité d’hébergement est réalisée au profit des patients eux-mêmes.
Cette certification s’avère très proche des normes ISO, tant sur le référentiel de certification HDS qui s’appuie très largement sur les référentiels ISO, que dans le processus d’obtention de la certification. Elle recouvre également une partie des exigences du RGPD.
Le référentiel de certification actuel comprend l’intégralité des exigences de la norme NF ISO 27001, une partie des exigences des normes ISO 20000-1 (système de management des services), ISO 27017(contrôles de la sécurité de l’information), ISO 27018 (protection des informations personnelles dans le nuage public), des exigences relatives à la protection des données de santé à caractère personnel et des exigences spécifiques au domaine de la santé.
La certification HDS donne lieu à l’obtention de deux types de certificats : « hébergeur d’infrastructure physique » ou «hébergeurs infogéreurs ». En pratique : soit l’hébergeur dispose d’un SMSI certifié ISO 27001 incluant les activités concernées par HDS, la certification HDS porte alors sur les exigences complémentaires à celles de l’ISO 27001; soit le processus de certification porte sur l’ensemble du référentiel HDS.
La procédure de certification repose sur une évaluation de conformité au référentiel de certification par un organisme certificateur. L’audit se déroule en 2 étapes : un audit documentaire et un audit sur l’application des exigences qui se déroule habituellement sur site. Le certificat est délivré pour trois ans, avec un audit de surveillance annuel.
L’ensemble de la documentation HDS se trouve sur le site de l’agence numérique en santé (ANS) : https://esante.gouv.fr/produits-services/hds. L’ANS a annoncé la publication courant 2023 d’une nouvelle version du référentiel ; nous vous le présenterons lorsque toutes les informations sur son contenu seront disponibles.
OWN vous accompagne dans la préparation à la certification HDS, en vous proposant une offre complète d’évaluation et de mise en conformité technique et organisationnelle.