Définition

Selon l’ASIP, l’Agence des Systèmes d’Information Partagés de santé devenue depuis l’Agence du Numérique en Santé :

« Une entité est soumise à l’obligation d’être hébergeur agréé ou certifiée dès lors qu’elle conserve des données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale. »

La CNIL nous donne aussi une définition de ce qu’est une donnée de santé selon le règlement européen (RGPD) :

« Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

La confidentialité des données de santé à caractère personnel : une exigence légale

Data protectionLe système d’information de santé est un support indispensable dans l’amélioration de la prise en charge des patients, le développement de nouveaux services et des travaux de recherche. Parmi les prérequis essentiels à la mise en oeuvre de ce support, figurent des fondamentaux de sécurité de l’information de santé dont la garantie de protection des données des patients. Le législateur a donc encadré le stockage et la manipulation de ces données sensibles afin de garantir leur pérennité et leur intégrité.

Depuis la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, l’hébergement des données de santé nécessite l’obtention de l’agrément HADS (Hébergeur Agréé de Données de Santé). Celui-ci est délivré par le Ministère de la Santé selon un processus défini par le décret du 4 janvier 2006, et sur la base du référentiel publié par l’ASIP santé.

L’article L1111-8 du Code de la Santé Publique prévoit que les professionnels de santé, les établissements de santé ou la personne concernée ne peuvent externaliser le dépôt de données de santé qu’auprès d’un hébergeur agréé ou certifié.

Le processus d’agrément

Pour obtenir l’agrément, la politique de confidentialité et de sécurité doit être particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne.

Pour prétendre à l’agrément, les hébergeurs ont à démontrer leurs ambitions et les processus mis en place pour atteindre les exigences de sécurité nécessaires à la protection des données de santé. Cette activité doit répondre aux contraintes de redondance, d’authentification et bien sûr de confidentialité des données personnelles de santé.

concepts-de-planificationL’agrément est obtenu pour trois ans et doit être renouvelé ensuite. Il impose une démarche d’audit en auto-évaluation chaque année, de la réalisation d’un audit tierce partie pour obtenir le renouvellement et peut donner lieu à des contrôles par la CNIL et l’IGAS.

Les candidats à l’agrément doivent avoir à l’esprit que l’agrément prévu par la loi n’est pas une simple déclaration d’activité, mais une démarche importante, tant sur le plan du dossier de demande qu’une fois l’agrément obtenu. Le dispositif d’hébergement en projet doit être mis en cohérence avec les exigences du décret. La formalisation et la documentation de l’existant et la construction du dossier de demande d’agrément doivent être effectuées en conformité avec le référentiel publié par l’ASIP santé.

Depuis le 1er avril 2018 il n’est plus possible de déposer des demandes d’agrément, il faut dorénavant se faire certifier avec l’aide d’un organisme de certification accrédité par le COFRAC. Les hébergeurs agréés avant cette date ont un délais poussé jusqu’à la fin de leur agrément pour se faire certifier.

La certification des Hébergeurs de Données de Santé

Depuis le 1er avril 2018, la législation encadrant l’hébergement des données de santé (HDS) impose à tout hébergeur d’être titulaire d’une certification, délivrée par un organisme accrédité, en remplacement de l’ancienne procédure d’agrément.

Le nouveau dispositif de certification du système de management de la sécurité des systèmes d’information des hébergeurs de données de santé à caractère personnel a été prévu par la loi du 26 janvier 2016 sur la modernisation du système de santé.

Le changement de procédure, une certification en remplacement de l’agrément, vise à instaurer une meilleure évaluation de la conformité, sur la base d’un référentiel, à accroître la fiabilité du contrôle des exigences grâce à des audits menés sur site, là où il se limitait auparavant à une analyse documentaire du dossier de demande d’agrément.

Toutes les données de santé à caractère personnel ne sont pas concernées par ce dispositif de certification. Seules celles hébergées par un tiers sur un support numérique et recueillies à l’occasion d’une prise en charge sanitaire ou médico-sociale, à l’occasion de consultations médicales par exemple, sont couvertes par cette obligation. Les autres données de santé relèvent quant à elles de la surveillance de la CNIL ou d’un agrément ministériel.

Ce dispositif s’applique à tout hébergeur de données de santé qui propose des services à des responsables de traitements localisés en France ou à des patients pris en charge en France. Néanmoins, il peut arriver que les données de santé soient stockées sur des serveurs localisés à l’étranger. Pour dépasser les frontières et s’aligner sur des standards partagés dans le monde entier, le référentiel de certification HDS s’appuie sur des normes internationales :

  • La norme ISO 27001 complète pour le « système de gestion de la sécurité des systèmes d’information – SMSI» ;
  • Des exigences de la norme ISO 20000-1 pour le « système de gestion de la qualité des services informatiques » ;
  • Des exigences de la norme ISO 27018 portant sur la « protection des données à caractère personnel ;
  • Et des exigences spécifiques à l’hébergement de données de santé.

Un processus de certification peut conduire à un certificat par niveaux proposés aux hébergeurs en fonction de leur activité :

  • Deux niveaux « hébergeur d’infrastructure physique », pour la mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle, habituellement nommé salle blanche ou hébergement sec :

Prestation_hébergeurs_infrastructure_physique

  • Quatre niveaux « hébergeur infogéreur », pour la mise à disposition d’infrastructure virtuelle, de plateforme logicielle, d’infogérance et de sauvegarde externalisée :

Prestation_hébergeur_infogéreur

L’hébergeur peut demander une certification sur un ou plusieurs niveaux de ces échelles de certification. Le certificat est valable trois ans, il est délivré par un organisme certificateur accrédité qui certifie le système de management de la sécurité des systèmes d’information de l’hébergeur de données de santé.

L’ASIP Santé a publié un article sur les nouveaux horizons pour les hébergeurs de données de santé qui permet de mieux comprendre ce changement en 2018.

Services de consulting

  • Assistance à la conception d’une organisation visant la certification HDS,
  • Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé ou certifié,
  • Conseil pour l’analyse de risque (EBIOS RM) avant la définition d’une Politique de Sécurité (PSSI),
  • Conseil sur a mise en oeuvre du système de management de la sécurité (SMSI),
  • Formation à la réalisation des audits d’auto-évaluation HDS,
  • Réalisation d’audit tierce partie de renouvellement HDS,
  • Audit blanc de conformité aux exigences du référentiel de certification ou de la PGSSI-S,
  • Audit d’amélioration des processus opérationnels, support de l’hébergement,
  • Exercice sur table de préparation à la continuité d’activité en cas de crise.

Exemple de prestation d’évaluation d’un référentiel HADS.

Publié par Eric Soudy

Manager équitable, passionné par les interactions humaines et les pratiques de management qui permettent de partager, de grandir, d'évoluer et de s'accomplir, ce qui m’anime au quotidien c’est de découvrir et de faire découvrir des méthodes nouvelles.

Laisser un commentaire