Hébergement des données de santé (HDS), mode d’emploi

Comment s’y conformer tout en restant performant ?

IACOLARE Vincent

Des procédures et contrôles encadrent l’hébergement des données de santé (HDS) sur support numérique (en dehors des services d’archivage électronique) notamment en ce qui concerne les données personnelles au sens du RGPD (Règlement général sur la protection des données) et donc des données sensibles (au sens de la sécurité de l’information).

Elles nécessitent d’être hébergeur agréé (ancienne procédure) ou certifié (nouvelle procédure). En quoi cela consiste ? Comment s’y conformer tout en restant performant ?

                Hébergeur de données de santé

                L'activité d’Hébergeur de Données de Santé (HDS) consiste à héberger les DSCP (Données de santé à Caractère Personnel) produites ou recueillies à l'occasion d'activités de  Prévention , Diagnostic, Soins, suivi social ou médico-social. Pour le compte de personnes morales ou physiques responsables de traitement, à l’origine de la production ou du recueil des données OU du patient lui-même.
                Les  activités concernées par la certification HDS, définies dans le décret et dans le référentiel d’accréditation HDS, sont au nombre de six structurées en deux blocs :
                * hébergeur d’infrastructure physique (activité 1 « Sites physiques » et activité 2 « infrastructure matérielle du système d'information »)
                * hébergeur infogéreur  (activité 3 «infrastructure virtuelle du système d'information », activité 4 « plateforme d'hébergement d'applications du système d'information », activité 5 «administration et l'exploitation du système d'information » et activité 6 « sauvegarde »). L’activité 5 est actuellement soumise à discussion.

                Les textes de référence :  
                Décret n° 2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel    
                Procédure de certification des hébergeurs de données de santé par un organisme accrédité   
                • Référentiel de certification HDS pour les hébergeurs d’infrastructure physique ou hébergeur infogéreur souhaitant être certifié – version 1.1 Mai 2018   
                • Référentiel d’accréditation HDS   pour les organismes souhaitant délivrer une certification Version 1.1 finale – Mai 2018

                La certification

                  Le décret 2018-137 du 26 février 2018 définit le périmètre des activités d'HDS relevant de la certification, fixe les conditions d'obtention du certificat de conformité et les clauses minimales que doit comporter le contrat d'hébergement de données de santé, précise les conditions dans lesquelles sont régis les agréments jusqu'à leur terme (ancienne procédure) et organise la transition entre l’agrément et la certification.

                Les hébergeurs déposent une demande de certificat HDS auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC (Comité français d’accréditation, ou tout organisme équivalent au niveau européen).  C’est une évaluation de conformité au référentiel de certification.

                L’audit se déroule en deux étapes : audit documentaire et audit sur site. En cas de non-conformités, l’hébergeur dispose de trois mois pour les corriger.

                Le certificat est délivré pour une durée de trois ans, avec un audit de surveillance annuel.

                Deux périmètres de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts (non exclusif) :

                • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle

                • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée .

                Texte Odoo et bloc d'image
                Odoo image et bloc de texte

                Contenu du référentiel HDS  

                • Intégralité des exigences de ISO 27001

                •  Partie des exigences ISO 20000-1  : 5.2 Planification nouveaux services…, 5.3 Conception... nouveaux services , 6.3 Continuité/ Disponibilité, 6.5 Capacité

                • Exigences complémentaires à ISO 27001 : périmètre, déclaration d’applicabilité, externalisation sauvegarde, audits client

                • Exigences complémentaires à ISO 20000-1 : critère d’acceptation des services, ...

                • Exigences de protection des DCP (25 exigences principales de type ISO 27018 et 4 exigences complémentaires) : Droits des personnes , Finalité , Communication des DCP, Transparence, Responsabilité, Sécurité des DCP, Localisation des DCP

                • Exigences spécifiques au domaine de la santé : Rôles et responsabilités, Conformité, Rapport d’audit, Liste de contacts, langue française.

                • Exigences de type « contractuel » spécifiées dans le décret 2018-137 du 26/02/2018

                A noter le contour des normes citées:

                • ISO 27001 "Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Exigences"

                • ISO 20000-1 " Gestion des services - Partie 1 : exigences du système de management des services "ISO

                • ISO 27018 "Technologies de l'information -- Techniques de sécurité -- Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII"

                Bonnes pratiques et préconisation Synertal

                • Valoriser au maximum l’existant dès le début de la démarche (opter pour une approche de Formation-Diagnostic-Action)

                • Mettre en place des conditions de sécurité adaptées à la criticité des données.

                • Déterminer le périmètre de certification en tenant compte du périmètre HDS et du périmètre SMSI (système de management de la sécurité de l’information)

                • Éviter la lourdeur documentaire (procédure ne veut pas dire document. Penser « information documentée » au sens de iso 27001. Favoriser l’application et l’appropriation)

                • Opter pour un système de management le plus intégré possible (intégrant les dynamiques iso 27001, iso 2000-1, iso 9001, RGPD, HDS, … et toutes les autres pertinentes de type iso 45001, iso 14001…)

                • Ne pas se perdre dans un maîtrise de risques trop détaillée et lourde (focus sur les données et biens significatifs/ sensibles, approche progressive de type entonnoir, ne pas oublier le critères d’incertitude et d’appétence)

                • Se laisser guider par les opérationnels plus que par les experts, auditeurs…

                • Opter pour une démarche systémique (complète, globale, performante) et en amélioration continue

                Et idéalement, intégrer la démarche dans une dynamique de système de management d'entreprise (éviter les silos, éviter le trop spécifique). Pourquoi? Parce que ce sujet est en évolution permanente, qu'il faut donc prendre avec une approche globale pour ne pas se perdre dans le détail et éviter les changements incessants. Être conforme HDS c'est bien, l'être en restant en bonne santé et performant c'est encore mieux !

                Texte Odoo et bloc d'image