Le secteur sanitaire bénéficie, comme d’autres, des avancées technologiques des dernières années. Le numérique y est ainsi très présent. L’activité des professionnels du domaine génère d’importantes quantités de données électroniques qui doivent être sauvegardées avec grande attention. Les établissements du secteur médical sont exposés au piratage informatique. Vu la sensibilité des données de santé, divers mécanismes sont mis en place pour les sécuriser au mieux. La certification HDS (Hébergeur de Données de Santé) permet de garantir la sécurité des données dans le secteur.
L’intérêt de choisir un hébergeur de données certifié HDS
La certification HDS prouve que les hébergeurs qui la détiennent sont qualifiés pour s’occuper des données du secteur sanitaire. En réalité, ces données ont globalement un caractère personnel, et ne doivent pas fuiter des établissements sanitaires. Ce sont donc des informations sensibles que les professionnels de la santé ont l’obligation de protéger. Les responsables d’hôpitaux, de cliniques, de centres de recherches, de laboratoires d’analyses et autres organismes médicaux ont l’obligation de sécuriser les données dont ils disposent. La certification HDS leur offre une certaine garantie concernant les données qu’ils sauvegarderaient chez leurs hébergeurs.
Le rapport d’activité de l’année 2020 de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) relève que les entités sanitaires font partie des victimes des intrusions informatiques. La plupart du temps, la violation du système d’information (SI) des établissements médicaux se solde par le vol de données personnelles. En décembre 2020, par exemple, malgré son envergure, l’Agence européenne des médicaments a connu ce problème. Des cyberpirates lui ont subtilisé des documents numériques relatifs au vaccin contre le coronavirus. C’est la preuve que toute structure peut être la cible des pirates informatiques.
Les dispositifs de sécurité des données doivent être constamment renforcés pour limiter les risques de vol ou de fuites des données de santé. C’est pour cela que la prise en compte de la certification HDS est indispensable pour les professionnels du secteur médical en quête d’hébergeurs. Cette distinction est mise en place depuis 2018 pour attester de la qualité des services offerts par les prestataires de la sauvegarde de données. Elle remplace l’agrément que délivrait le ministère de la Santé. Si vous êtes dans l’équipe dirigeante d’un établissement de santé, renseignez-vous sur la certification HDS et notamment sur les garanties qu’elle vous offre. Cette certification s’obtient auprès des organismes certificateurs.
La procédure de certification HDS
La certification HDS est attribuée aux hébergeurs qui remplissent les conditions requises. Il est mis en place un référentiel de certification auquel les prétendants à la distinction doivent se conformer. Avant tout, l’hébergeur fait le choix d’un organisme de certification accrédité par le Cofrac (Crédit français d’accréditation). À défaut, l’organisme doit être agréé par un équivalent du Cofrac au niveau européen. Le rôle de l’entité est de soumettre la structure d’hébergement de données à un audit pour s’assurer qu’elle répond à toutes les exigences.
L’organisme de certification peut commencer par contrôler au préalable l’existence d’une certification ISO 27001 ou ISO 20000, que l’hébergeur aurait obtenue en amont. L’audit est allégé lorsque l’hébergeur possède une telle certification. La plupart du temps, il effectue une revue documentaire du SI du demandeur de la certification. Cette opération se réalise dans un délai d’un mois après la demande, et dure une journée. L’organisme accréditeur notifie à l’hébergeur s’il est favorable ou défavorable à la certification.
S’il estime que le candidat à la certification HDS remplit les critères pour l’obtenir, il effectue un audit sur site. Des spécialistes se rendent alors dans les locaux du prétendant afin de recueillir les preuves de conformité sur les plans organisationnel et technique. Un mois après l’audit, le résultat est donné. Si le candidat répond à toutes les exigences, il obtient la certification HDS. Dans la plupart des cas, l’organisme accréditeur lui attribue la norme ISO 21001 par la même occasion s’il n’en a pas encore.
Au cas où d’éventuels points de non-conformités seraient relevés, le néo-titulaire de la certification HDS dispose d’un délai de 3 mois pour les mettre aux normes. Si cela n’est pas fait dans le délai indiqué, la certification est remise en cause. Il sera alors nécessaire de réaliser un nouvel audit sur site, si l’hébergeur tient à avoir la certification. Lorsque la procédure prend fin normalement, l’entreprise certifiée HDS le détient pour une durée de 3 ans. Chaque année, un audit de surveillance est réalisé. La certification HDS est obligatoire pour les hébergeurs qui envisagent de sauvegarder des données de santé.
Les exigences liées à la certification HDS
La certification HDS est essentielle pour la protection de l’ensemble des données de santé que possède un établissement médical d’autant plus qu’elle offre des gages de sécurité. Nombreuses sont les exigences auxquelles répondent les hébergeurs qui la détiennent. Il y a notamment toutes les exigences relatives à la norme ISO 27001 qui concerne le système de gestion de la sécurité des systèmes d’information. Il y a aussi les exigences de la norme ISO 20000 concernant le système de gestion de la qualité des services.
Quelques exigences des normes ISO 27018 et ISO 27017 sont également prises en compte par la certification HDS. Il s’agit, par exemple, d’exigences liées à la vie privée, à la définition des rôles et des responsabilités de sécurité entre le fournisseur et le client de l’hébergement de données de santé. La conformité des installations et services d’un hébergeur aux différentes normes ISO évoquées atteste d’un niveau élevé de sécurité.
Au-delà de ces exigences, des dizaines d’autres sont à respecter par les prétendants à la certification HDS. En particulier les exigences réservées spécialement au secteur de la santé. Il est indispensable que l’hébergeur soit en en conformité avec la PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé). Un professionnel certifié HDS répond aussi à des exigences concernant la prise en compte de la langue française, la détermination d’un point de contact chez le client, etc. Celui-ci a d’ailleurs la possibilité de demander et d’obtenir le rapport d’audit de certification HDS.
Les périmètres de certification HDS
La certification HDS couvre deux périmètres. Elle est ainsi octroyée d’une part aux hébergeurs d’infrastructures physiques et de l’autre, aux hébergeurs infogéreurs. Le premier périmètre de certification concerne les professionnels qui exercent des activités consistant à proposer des locaux d’hébergement physique pour les données de santé. À ce niveau, deux points sont relevés, à savoir :
- la disponibilité ou le maintien en bonnes conditions des sites physiques servant à contenir l’infrastructure physique du système d’information réservé au traitement des données de santé,
- la disponibilité ou le maintien en condition opérationnelle de l’infrastructure physique du SI dédié au traitement des données de santé.
Quant au périmètre d’hébergeur infogéreur, il englobe les activités consistant à proposer des infrastructures virtuelles, des prestations d’hébergement diverses. Les points 3, 4, 5 et 6 où se décline la certification HDS, se retrouvent à ce niveau. Nous avons :
- la disponibilité et le maintien en condition opérationnelle du site virtuel d’hébergement d’application du SI,
- la disponibilité et le maintien en condition opérationnelle de l’infrastructure virtuelle du SI servant à traiter les données de santé,
- l’administration et l’exploitation du SI où se trouvent les données de santé,
- la sauvegarde des données de santé en externe.
La liste des hébergeurs certifiés HDS est donnée par les pouvoirs publics, avec les points correspondants. Pensez à la consulter avant de choisir l’hébergeur des données de votre établissement du domaine médical. Vous serez ainsi certain de recourir à un professionnel reconnu pour la qualité de ses prestations en hébergement de données de santé. Les hébergeurs certifiés HDS sont assez nombreux. Où que vous soyez en France, vous en trouverez pour sauvegarder convenablement vos données.
Les entreprises qui offrent des services d’hébergement de données de santé dans les deux périmètres ont l’obligation d’avoir les deux certifications correspondantes. Remarquons que la certification d’hébergeur d’infrastructure répond à plupart des exigences. Par contre, la certification d’hébergeur infogéreur couvre l’intégralité des exigences.
Le lien entre la certification HDS et le RGPD
Le Règlement général de la protection des données, RGPD, est mis en place au niveau européen dans le but de sécuriser davantage la vie personnelle des clients des entreprises. Il s’applique au domaine de la santé comme dans tous les autres domaines. Une concordance s’établit naturellement entre ce règlement et la certification HDS. Selon le RGPD, dans le secteur de la santé, les personnes dont les données de santé sont recueillies dans le cadre des soins ont droit à l’information. Si elles le désirent, elles peuvent demander aux professionnels l’accès aux données les concernant. De ce point de point, le RGPD est rejoint par la certification HDS dont certaines exigences sont relatives à l’accessibilité des données.
La certification HDS offre aux établissements médicaux l’assurance de respecter les normes établies par le RGPD. Ses titulaires sont en mesure d’offrir à leurs clients, des solutions pour assurer une veille permanente de la protection des données. En exemple, grâce à la sauvegarde externalisée sur des plateformes virtuelles et des sites physiques, les données sont doublement sécurisées. Les professionnels de l’hébergement mettent en place des garde-fous pour éviter des intrusions dans leurs systèmes de gestion. Ils sécurisent les données de santé et les rendent accessibles pour qui de droit en temps réel.
