Agrément pour l’hébergement de données de santé à caractère personnel

Définition

« Une entité est soumise à l’obligation d’être hébergeur agréé dès lors qu’elle conserve des données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale. »

La confidentialité des données de santé à caractère personnel : une exigence légale

Data protectionLe système d’information de santé est un support indispensable dans l’amélioration de la prise en charge des patients, le développement de nouveaux services et des travaux de recherche. Parmi les prérequis essentiels à la mise en oeuvre de ce support, figurent des fondamentaux de sécurité de l’information de santé dont la garantie de protection des données des patients. Le législateur a donc encadré le stockage et la manipulation de ces données sensibles afin de garantir leur pérennité et leur intégrité.

Depuis la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, l’hébergement des données de santé nécessite l’obtention de l’agrément HADS (Hébergeur Agréé de Données de Santé). Celui-ci est délivré par le Ministère de la Santé selon un processus défini par le décret du 4 janvier 2006, et sur la base du référentiel publié par l’ASIP santé.

L’article L1111-8 du Code de la Santé Publique prévoit que les professionnels de santé, les établissements de santé ou la personne concernée ne peuvent externaliser le dépôt de données de santé qu’auprès d’un hébergeur agréé.

Le processus d’agrément

Pour obtenir l’agrément, la politique de confidentialité et de sécurité doit être particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne.

Pour prétendre à l’agrément, les hébergeurs ont à démontrer leurs ambitions et les processus mis en place pour atteindre les exigences de sécurité nécessaires à la protection des données de santé. Cette activité doit répondre aux contraintes de redondance, d’authentification et bien sûr de confidentialité des données personnelles de santé.

concepts-de-planificationL’agrément est obtenu pour trois ans et doit être renouvelé ensuite. Il impose une démarche d’audit en auto-évaluation chaque année, de la réalisation d’un audit tierce partie pour obtenir le renouvellement et peut donner lieu à des contrôles par la CNIL et l’IGAS.

Les candidats à l’agrément doivent avoir à l’esprit que l’agrément prévu par la loi n’est pas une simple déclaration d’activité, mais une démarche importante, tant sur le plan du dossier de demande qu’une fois l’agrément obtenu. Le dispositif d’hébergement en projet doit être mis en cohérence avec les exigences du décret. La formalisation et la documentation de l’existant et la construction du dossier de demande d’agrément doivent être effectuées en conformité avec le référentiel publié par l’ASIP santé.

Services de consulting

  • Assistance à la conception du dossier d’agrément,
  • Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé,
  • Conseil pour l’analyse de risque avant la définition d’une Politique de Sécurité (PSSI),
  • Conseil sur a mise en oeuvre du système de management de la sécurité (SMSI),
  • Formation à la réalisation des audits d’auto-évaluation HADS,
  • Réalisation d’audit tierce partie de renouvellement HADS,
  • Audit de conformité aux exigences du référentiel d’agrément, de la PGSSI-S,
  • Audit d’amélioration des processus support de l’hébergement.

Exemple de prestation d’évaluation d’un référentiel HADS.

Publicités

L’hébergement agréé de données de santé

sante-data-healthLe métier d’hébergeur de données de santé est de construire, en tant que responsable de traitement ou en support essentiel de celui-ci, les conditions de la sécurité et de la licéité des traitements de données de santé à caractère personnel.

Il faut pour cela appréhender l’application de gestion des données de santé, les conditions d’usage, les types d’utilisateurs, imaginer des solutions techniques, organisationnelles, contractuelles permettant de faciliter le travail coopératif des professionnels de santé au bénéfice du patient, sans jamais transiger sur les droits et la protection de ce dernier. La matérialisation par des ressources n’est que le fruit de ce processus dans lequel réside la véritable valeur ajoutée de l’hébergeur agréé.

La régulation est en ce domaine essentielle, car la protection des données personnelles de santé est un impératif et on ne peut admettre que l’essor des nouveaux services et usages du numérique, en particulier du Cloud ou du Quantified-Self, se fasse au détriment du respect de l’intimité de la vie privée de chacun.

Les Hébergeurs Agréés de Données de Santé (HADS) sont des industriels des TIC acceptant des ambitions de sécurité et de confidentialité spécifiques aux données de santé et s’inscrivant dans une démarche structurante d’agrément par le ministère de la Santé.

L’hébergement de données de santé à caractère personnel relève d’un régime spécifique exigeant, précisé par un décret du 4 janvier 2006. Ce décret s’impose à toute personne physique ou morale souhaitant assurer l’hébergement de données de santé à caractère personnel mentionné à l’article L. 1111-8 du Code de la Santé. Le décret précise les conditions à remplir pour obtenir cet agrément.

La politique de confidentialité et de sécurité (PSSI) de l’hébergeur sera particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne. L’hébergeur de données de santé relève d’un agrément du ministre de la Santé.

Cette présentation est extraite du livre blanc de l’AFHADS auquel j’ai contribué et qui est publié sur le site de la revue DSIH.

Si vous souhaitez consulter un exemple de PSSI à mettre en oeuvre pour ce type d’hébergement, voici un document que j’ai publié avec l’AFCDP pour montrer le périmètre d’une politique de sécurité opérationnelle dans ce cadre.

Si vous souhaitez avoir une présentation plus détaillée sur le référentiel d’agrément et les contraintes réglementaires, ou sur la structure de gouvernance et de processus à mettre en place, n’hésitez pas à me contacter via le formulaire de contact.

Les récentes évolutions légales de l’hébergement agréé des données de santé ont étendu les domaines de santé couverts et le champs d'application de cet agrément. L'association des hébergeurs agréés (AFHADS) a d'ailleurs affiché une position "critique" sur l'évolution du cadre légal de l'HADS.

AFHADS – Hébergement de données de santé

afhads-logoL’Association Française des Hébergeurs Agréés de Données de Santé AFHADS veille aux garanties professionnelles et à l’amélioration de la sécurité des données personnelles de santé. Elle assure la promotion de l’agrément, établit une doctrine commune entre tous les hébergeurs agréés et représente ses membres auprès des agences nationales comme l’ASIP au sein du Ministère de la Santé ou la CNIL.

J’ai pris le rôle de Trésorier fondateur de l’association à sa création en 2010 et j’ai été membre actif des groupes de réflexion, en particulier sur la standardisation de la sécurité et de la protection des données de santé au sein des groupes de travail de l’ASIP, plus particulièrement sur la Politique Générale de Sécurité des Systèmes d’Information de Santé PGSSI-S.

Dans le cadre de mes missions professionnelles, j’ai coordonné plusieurs projets d’agrément d’hébergement de données de santé (HDS) au sein du groupe Cegedim qui ont abouti à l’un des premiers agréments hébergeurs en France en février 2010. Cette coordination portait sur l’ensemble du périmètre opérationnel d’hébergement, que ce soit au niveau des rôles et responsabilités, des processus IT et du management de la sécurité du SI.