Les certifications sont des sortes d'accréditation dont doivent justifier certains professionnels pour exercer légalement leurs activités. Ainsi, les professionnels qui hébergent des données de santé identifiables et personnelles sont tenus de disposer de la certification HDS (hébergeur de données de santé). Que représente cette certification ? À qui est-elle destinée ? Quel en est le référentiel ? Dans cet article, nous apporterons des éléments de réponses à ces problématiques.
Plan de l'article
La certification HDS : les fondamentaux
La certification HDS présente des caractéristiques propres et vise des objectifs précis.
A lire également : Protégez vos données personnelles sur le web : Les bonnes pratiques à adopter
Certification HDS : définition et caractéristiques
La certification HDS est un sésame obligatoire pour tout professionnel qui héberge et manipule des données de santé personnelles ou identifiables. Ainsi, toute entreprise proposant l'hébergement et l'infogérance de données de santé doit impérativement justifier de cette certification. Dans la veine de la norme internationale ISO 27001, HDS vient renforcer les mesures de sécurité déjà mises en place afin de protéger les données de santé des clients de ces entreprises d'hébergement.
En l'absence de certification HDS, vous ne pouvez héberger des données sanitaires. S'agissant de la procédure d'obtention de cette accréditation, elle se base en fait sur une évaluation de conformité au référentiel associé à l'hébergement de données de santé. En tant qu'hébergeur aspirant à la certification HDS, vous devez travailler avec un organisme certificateur.
Lire également : Comment faire pour protéger nos données ?
La mission de cette entité sera d'auditer vos processus et votre mode de fonctionnement, afin d'en attester la conformité vis-à-vis du référentiel HDS. À la faveur de cette certification, l'hébergeur assure la sécurité, la disponibilité et la confidentialité des données de santé. Vous êtes un professionnel de santé désireux de stocker des données ? Vous pouvez vous rendre sur ce site pour recourir aux services d'un hébergeur certifié HDS.
Les objectifs de la certification HDS
HDS vise plusieurs objectifs :
- S'assurer du respect de la vie privée et du secret médical associé à l'état de santé des patients dont les données sont stockées et manipulées ;
- Mesurer l'incidence de l'activité de l'hébergeur de données de santé sur la protection des données ;
- Se conformer aux prescriptions de l'ANSSI et des normes ISO;
- Respecter les critères de sécurité, de disponibilité, de traçabilité, de confidentialité et d'intégrité des données de santé.
Le processus d'obtention de la certification HDS
La certification HDS s'obtient en plusieurs étapes :
- Dépôt de dossier auprès d'un organisme certificateur accrédité COFRAC ;
- Préaudit de mise en situation sur le système ;
- Audit de certification sur site ;
- Examen du rapport d'audit en commission ;
- Réponse de l'organisme certificateur.
Il faut préciser que la certification HDS est délivrée en même temps que la certification ISO 27001.
Les entités et activités concernées par la certification HDS
La certification HDS s'impose pour certaines entités et activités liées à l'hébergement de données de santé.
Les établissements concernés par HDS
Officialisée depuis le 1er avril 2018, la certification HDS s'adresse aux hébergeurs qui souhaitent collaborer avec des établissements médicaux et médico-sociaux dans le but de stocker et de sécuriser les données santé de leur patientèle. Sont donc tenus à cette accréditation tous les professionnels proposant l'hébergement et le stockage de données en ligne (article L.1111-8 du Code de la santé publique).
Entre autres acteurs de l'hébergement concernés, on peut citer :
- Les datacenters hébergeant des données de santé ;
- Les éditeurs qui assurent l'exploitation et le maintien du SI de santé de leurs clients ;
- Les sous-traitants qui travaillent avec des éditeurs et exploitants de données de santé.
À noter que les établissements de santé qui disposent de leur propre système d'information et en assurent eux-mêmes la gestion ne sont pas tenus d'avoir la certification HDS ; à moins d'opérer dans le cadre d'un groupement hospitalier. Outre ce cas, certains acteurs de la santé sont tenus de faire héberger leurs données de santé par les organismes certifiés HDS. Il s'agit des professionnels de santé d'un point de vue global, des assureurs et mutuelles, des pharmaciens, des start-ups de biotechnologie, etc.
Les activités concernées par HDS
Factuellement, HDS s'applique à diverses activités. C'est dire qu'en réalité, les hébergeurs peuvent être agréés pour l'une ou l'autre de ces activités, ou pour plusieurs à la fois. Ainsi, certains hébergeurs peuvent être certifiés sur le périmètre de certaines activités et d'autres non.
On recense en tout 6 activités certifiées HDS :
- La mise à disposition et le maintien en situation opérationnelle de l'infrastructure matérielle du système d'information (SI) devant traiter les données de santé ;
- La mise à disposition et le maintien en situation opérationnelle des sites physiques d'hébergement de l'infrastructure matérielle du SI destiné au traitement des données ;
- La disponibilité et l'opérationnalité de l'infrastructure virtuelle du SI exploité pour traiter les données sanitaires ;
- La disponibilité et l'opérationnalité de la plateforme d'hébergement d'application du SI ;
- L'administration et l'exploitation du SI contenant des données de santé ;
- La sauvegarde des données stockées.
La certification HDS se décline en deux parties, selon les activités susmentionnées. Ainsi, la certification « Hébergeur d'infrastructure physique » regroupe les deux premières activités que nous venons de citer. De l'autre, la certification « Hébergeur infogéreur » compte les 4 dernières activités.
Les exigences auxquelles sont tenus les hébergeurs de données de santé
Nous parlions en amont de l'obligation de conformité vis-à-vis du référentiel HDS qui incombe aux hébergeurs de données de santé. Ce référentiel répertorie en fait les exigences auxquelles doivent se plier les organismes qui stockent et traitent des données à caractère sanitaire.
Ainsi, un hébergeur de données de santé sérieux doit respecter :
- Les exigences de la norme ISO 27001 relatives au système de gestion de la sécurité des systèmes d'information ;
- Les exigences de la norme ISO 2000 sur le système de gestion de la qualité des services ;
- Les prescriptions de la norme ISO 27018 sur la protection des données de santé à caractère personnel ;
- Les obligations d'information à l'endroit des responsables de traitement sur la réglementation et la localisation des données ;
- Les obligations propres au domaine de la santé et relatives à la conformité à la PGSSI.
En dehors de ces exigences, il est aussi important de s'assurer que ce service que proposera l'hébergeur n'affectera pas les performances globales du système hébergé au point de faire baisser son niveau de sécurité. De même, il faudra veiller à la continuité de service.