Obligatoire pour les hébergeurs de données personnelles de santé, la certification HDS (Hébergement de données de santé) a été mise en place en 2018 afin de mieux protéger les données relatives à la santé, aussi bien dans les organismes publics que dans les organismes privés. Mais en quoi consiste cette certification ?
Certification HDS : késako ?
La certification HDS, dont le sigle correspond à « Hébergement de données de santé », est un label obtenu par les prestataires informatiques suite à un audit. Son objectif est de valider que les données personnelles de santé sont suffisamment sécurisées et protégées pour que l’établissement de santé puisse faire confiance au prestataire.
En dehors des établissements de santé qui gèrent eux-mêmes le stockage de leurs données ou leur transit au sein de l’organisation, tous les organismes auxquels ces données sont confiées ont l’obligations d’être certifiés. On parle ici aussi bien des datacenters qui hébergent les données que des éditeurs qui les exploitent pour leurs clients.
Pour obtenir ce label, l’entreprise subit un audit de la part d’un organisme certifié qui vérifie que les normes sont bien respectées et que les données sont stockées et exploitées de manière sécurisée.
Les différents types de certifications HDS
Selon l’activité, il existe deux types de certifications HDS :
- Le label « hébergeurs infogéreurs » : ce label concerne toutes les entreprises dont l’objectif est d’exploiter les données médicales et de les maintenir à disposition, que cela concerne l’infrastructure virtuelle, le cloud, le système d’information ou encore la plateforme d’hébergement.
- Le label « hébergeur d’infrastructure physique » : ce label concerne toutes les entreprises dont l’objectif est de mettre à disposition et d’exploiter les données médicales stockées dans des sites physiques hébergeant les applications.
Alors que le premier label concerne le stockage et l’exploitation des données de santé sur le cloud, le second concerne le stockage et l’exploitation des données de santé dans une infrastructure physique.
Les domaines pour lesquels la certification HDS est obligatoire
La certification HDS est obligatoire dans différents domaines liés de près ou de loin à la santé. Sont notamment obligés d’avoir recours à un hébergeur HDS :
- Les professionnels de la santé : médecins, spécialistes, etc.
- Les assureurs
- Les pharmacies
- Les mutuelles
- Les start-ups biotech
- Les professionnels traitant des données liées à la santé, à caractère personnel
- Etc.
Certification HDS : quelles exigences ?
Les hébergeurs de données de santé doivent se conformer à un certain nombre d’exigences afin d’obtenir le précieux sésame. Ils doivent notamment respecter 80 % des exigences de la norme ISO 27001 qui régit les systèmes de gestion de la sécurité. Tout hébergeur doit également répondre en partie aux exigences de la norme ISO 20000 visant à régir les systèmes de gestion de la qualité des services. Enfin, la certification- prend également en compte différentes normes concernant la protection du traitement et de la localisation des données ainsi que la protection des données de santé à caractère personnel.
De nombreuses exigences, donc, vérifiées au cours d’un audit complet se déroulant en plusieurs phases :
- Étude du dossier de la part de l’organisme certifié
- Pré-audit pour vérification de l’audibilité de l’entreprise
- Audit d’un an sur les plans organisationnel et technique
- Étude du rapport en commission
- Réponse de la certification : conforme ou non conforme
- Si conforme : délivrance de la certification HDS
Les prérequis ne sont pas les mêmes en fonction du type de certification. En effet, alors que l’hébergeur infogéreur doit répondre aux 45 exigences liées à la certification, l’hébergeur d’infrastructure physique doit répondre à 40 exigences sur 45.
Les avantages de faire appel à un hébergeur HDS
Si le label HDS a été créé, c’est non seulement pour assurer la qualité des services proposés par l’hébergeur, mais aussi et surtout pour garantir la sécurité des données liées à la santé. Les données sont classées en trois catégories :
- Les informations « par nature » : donnent des informations sur l’état de santé d’une personne
- Les informations « par destination » : ne donnent pas d’informations directes sur l’état de santé d’une personne
- Les informations « croisées » : la combinaison de plusieurs informations permet d’avoir une information claire et lisible
Ces trois types d’informations sont considérées comme disposant d’un caractère sensible et personnel, d’où la mise en place d’une législation spécifique.
Aujourd’hui obligatoire dans certains domaines, la certification HDS permet de s’assurer que les données de santé sont stockées et exploitées en toute sécurité. Certains hébergeurs disposent de datacenters physiques qu’il est, dans certains cas, possible de visiter afin de s’assurer de la sécurité des lieux, et d’autres décident de stocker les données directement dans le cloud. La certification HDS n’est pas réservée aux seuls AWS, Microsoft Azure ou Google, au contraire. Par exemple, l’hébergeur breton Groupe Asten a obtenu la certification HDS assurant à ses clients la garantie d’un Cloud souverain.