De nombreuses données relatives à une personne physique sont collectées à la suite de diverses activités médico-sociales. L’hébergeur de ces informations doit être certifié HDS selon l’article L1111-8 du Code de la santé publique. Quels sont les types de certificats HDS ? Quels sont les objectifs et la procédure d’obtention de cette certification ?
Les objectifs d’une certification HDS dans le secteur médical
Pour découvrir tout ce qu’il faut savoir sur la certification HDS, référez-vous à l’article L1111-8 du Code de la santé publique ayant été modifié par la loi n° 2016-41 du 26 janvier 2016. La loi exige que tous les organismes privés et publics traitant, gérant et hébergeant des DSCP, doivent être certifiés HDS. On entend par DSCP, Données de Santé à Caractère Personnel, et par HDS, Hébergeurs de Données de Santé. Ces établissements peuvent notamment sauvegarder des informations et exploiter le système d’information de santé d’un tiers ou d’un organisme de santé. Tel est le cas pour les hôpitaux, les laboratoires d’analyse médicale, les cliniques, etc. Les établissements gérant leur propre SI de santé ne sont pas concernés par cette règle, sauf s’ils hébergent des DSCP dans le cadre d’un groupement hospitalier.
Ces DSCP concernent essentiellement les personnes physiques. Elles incluent les examens médicaux, les ordonnances, les prescriptions médicales, les informations d’identification d’un compte médical et les données sur les assurances santé. Elles doivent être hautement sécurisées afin de protéger la vie privée des patients et de garantir le respect du secret médical.
Stockage des données : les différents types de certificats HDS
On distingue le certificat « hébergeur d’infrastructure physique » et le certificat « hébergeur infogéreur ».
Le certificat « hébergeur d’infrastructure physique »
Il concerne les établissements mettant à disposition et exploitant des DSCP stockées dans des endroits d’hébergement physique. Appelés « hébergeurs », ceux-ci doivent maintenir opérationnel le site et/ou l’infrastructure matérielle du SI utilisé pour traiter les données.
Le certificat « hébergeur infogéreur »
Il touche les organismes ayant pour but la mise à disposition et l’exploitation des DSCP stockées sur une infrastructure virtuelle, le cloud ou une plateforme logicielle. Il concerne aussi les sociétés ayant opté pour une solution d’externalisation afin de sécuriser le stockage de leurs données de santé. Ces hébergeurs sont tenus de maintenir en condition opérationnelle la plateforme d’hébergement d’applications et l’infrastructure du SI exploité pour sauvegarder les données.
Si l’hébergeur exerce les deux types d’activité, il doit obtenir les deux certificats HDS, tel est le cas de NetExplorer.
La procédure de certification HDS
En tant qu’hébergeur, vous choisissez un organisme certificateur accrédité par le Cofrac (Comité français d’accréditation). Celui-ci effectue un audit qui se déroule en six étapes.
Facultative, mais pouvant optimiser vos chances d’être certifié, la première étape consiste à engager un auditeur afin qu’il effectue une visite d’évaluation et réalise un prédiagnostic. Ce professionnel prend le temps de découvrir et d’analyser vos spécificités en conditions réelles. Dans un deuxième temps, il vous explique le déroulement de l’audit initial et vous donne éventuellement des conseils.
L’organisme certificateur entre en scène et réalise une revue documentaire de votre SI. Cette action a pour but d’analyser la conformité de votre système par rapport aux dispositions définies dans le référentiel de certification. Vient ensuite l’étape de l’audit sur site, notamment le recueil des preuves de conformité organisationnelle et technique dans vos locaux. Cette quatrième étape est réalisée selon les conditions prévues par ce dernier.
Une fois l’audit sur site terminé, vous avez trois mois pour rectifier les éventuelles non-conformités et procéder à un contre-audit des corrections effectuées. Si vous ne menez aucune action après ce délai, l’organisme certificateur doit recommencer toute la procédure d’audit sur site. En revanche, si votre SI de santé est conforme aux exigences du référentiel de certification, l’organisme vous délivre votre certificat HDS qui est valable pendant trois ans.
La dernière étape consiste à réaliser un audit annuel de suivi. La loi exige également que vous passiez un audit de renouvellement tous les trois ans.
Top 10 des hébergeurs certifiés HDS
Si vous souhaitez confier le stockage de vos DSCP à un autre établissement, voici la liste des hébergeurs certifiés HDS les plus prisés :
- NetExplorer facilite le partage des fichiers entre l’utilisateur et l’administrateur à travers une plateforme collaborative. Elle donne aussi aux professionnels de santé la chance d’accéder facilement à ces données sensibles via une application.
- EBRC dispose de plusieurs centres de données certifiés Tier IV et d’un cloud disponible 24 h/24 et 7j/7.
- HEXANET est une enseigne reconnue dans le domaine de l’IT et en matière d’hébergement web.
- Certigna se spécialise dans la sécurisation de données numériques. Elle est présente dans 13 pays.
- Netiwan possède son propre centre de données, et intervient dans toute la France.
- Ozitem est une entreprise à taille humaine qui se spécialise dans le domaine de la transformation digitale.
- GPLExpert se spécialise uniquement dans le domaine de la santé.
- A2COM FOLIATEAM est également certifié ISO 27001 et stocke ses DSCP sur un cloud public, privé et parfois hybride.
- Kalanda est doté de 25 ans d’expérience en matière de conception de logiciels spécifiques, de mise en place d’intranet et d’hébergement de DSCP.
- Prolival met « l’humain » au cœur de ses projets depuis 25 ans.
Vous pouvez découvrir d’autres entreprises en consultant la liste des hébergeurs certifiés sur le site esante.gouv.fr.
