Les directions informatiques et responsable sécurité des établissements de santé se heurtent de plus en plus au problème de sécurisation des données de santé. Heureusement, pour les aider à faire un choix mieux éclairé, un label de qualité a été récemment mis en place : la certification HDS (ou Hébergement de données de santé). Son objectif ? Permettre aux établissements de santé ayant besoin de faire appel à des prestataires informatiques de choisir un partenaire fiable, avec qui les données liées à la santé seront correctement protégées et notamment dans le cas des CSP (Cloud Service Provider). Mais quelles sont les différentes composantes de ce label et pourquoi est-il aujourd’hui indispensable ?
Les obligations pour les hébergeurs d’infrastructure physique
Les hébergeurs d’infrastructure physique disposent de datacenters et dans lesquels sont stockées les données. Tout hébergeur stockant des données de santé devra absolument obtenir la certification HDS s’il répond à deux exigences majeures liées à son statut « physique » :
- Les locaux dans lesquels se trouve l’infrastructure matérielle destinée à stocker les données de santé sont mis à disposition ou maintenus en condition opérationnelle.
- L’infrastructure matérielle utilisée pour stocker les données de santé est mise à disposition ou maintenue en condition opérationnelle.
Ces deux premières composantes sont réservées au label de qualité HDS pour les hébergeurs d’infrastructure physique.
Les obligations pour les hébergeurs infogéreurs
Les hébergeurs infogéreurs stockent et exploitent les données directement dans le Cloud, c’est à dire de façon dématérialisée. Tout hébergeur infogéreur stockant des données de santé dans le Cloud devra absolument obtenir la certification HDS s’il répond à quatre exigences majeures liées à son statut « immatériel » :
- Les systèmes d’information de santé font l’objet de sauvegardes externalisées.
- L’infrastructure virtuelle du système d’information de santé est mise à disposition ou maintenue en condition opérationnelle.
- La plateforme logicielle du système d’information de santé est mise à disposition ou maintenue en condition opérationnelle.
- L’hébergeur infogéreur assure l’infogérance d’exploitation du système d’information de santé.
Parmi les questions clés pour ces hébergeurs, on arrive rapidement à la dimension souveraineté nationale et au lieu de stockage des données de santé. Car des hébergeurs comme AWS ou Microsoft Azure sont certes certifiés HDS mais relèvent également de considérations liées au Cloud Act ou à l’invalidation du Privacy Shield en 2020 qui dans le contexte géopolitique actuel ne sont pas simples. C’est pourquoi de plus en plus d’établissements de santé se tournent vers un hébergeur de données de santé (HDS) français pour être certain que l’infrastructure de stockage des données soit bien localisé sur le territoire français.
Les secteurs concernés par la certification HDS
De nombreux secteurs touchant de près ou de loin à la santé sont concernés par le label. Ainsi, toute entreprise ou personne morale ou physique hébergeant des données de santé recueillies à la suite d’actions de prévention, de diagnostics, de soins ou encore de suivis doit impérativement être certifiée pour agir en toute légalité.La certification concerne aussi bien la prise en charge sociale ou médico-sociale de personnes que leur prise en charge sanitaire. Les patients confiant l’hébergement de leurs données de santé à un tiers sont également concernés.
Certaines exceptions ont toutefois été mises en place par la CNIL. Les hôpitaux, par exemple, ne sont pas obligés d’obtenir le label dès lors qu’ils hébergent les données de santé localement. Cela signifie qu’ils n’ont pas le droit de faire appel à un prestataire externe pour sauvegarder et traiter leurs données, à moins que ce dernier ne possède la certification.
Les étapes pour obtenir le label HDS
Pour obtenir la certification HDS, un hébergeur d’infrastructure physique ou un hébergeur infogéreur doit faire appel à un organisme de certification. Le processus se découpe généralement en cinq étapes :
- Visite d’évaluation : état des lieux de la situation et préparation à l’audit.
- Audit documentaire : tous les documents liés à l’hébergement des données sur site physique ou sur le cloud sont examinés. Les premières recommandations sont données.
- Audit sur le site : un expert se rend sur le site et vérifie que toutes les conditions de sécurisation des données sont remplies.
- Refus ou acceptation de la certification.
- Renouvellement du label avec audit tous les trois ans.
Les avantages de la certification HDS
L’hébergement de données de santé étant une activité sensible, sa régulation représente une bonne nouvelle pour de nombreux hébergeurs souhaitant mettre en valeur un savoir-faire bien précis. Elle permet en effet de mettre en avant des pratiques sécurisées et transparentes au quotidien. Le label est aussi une façon de se démarquer de la concurrence et de démontrer son sérieux auprès des organismes de santé. Il offre un meilleur contrôle auprès des différents acteurs et représente un véritable atout concurrentiel non seulement en France, mais aussi à l’étranger. Mais le plus important des avantages reste sans conteste celui de la conformité avec la loi puisque, désormais, tout hébergeur de données de santé est dans l’obligation légale d’être en possession de la certification HDS. Côté clients, une stratégie multicloud permet de sélectionner les hébergeurs certifiés HDS là où le besoin est présent, sans se limiter.