Publicité en cours de chargement...
En route pour la certification « Hébergement de données de santé »
La période de consultation des autres États membres s’étant terminée le 23 octobre, le décret notifié à la Commission européenne relatif à l’hébergement de données de santé à caractère personnel est désormais prêt à être adopté.
Sans surprise, le projet de décret vient préciser les orientations de l’ordonnance du 12 janvier 2017 modifiant le code de la santé publique qui entrera en vigueur le 1er janvier 2018. À noter : ce calendrier est ambitieux puisque la date butoir avait été fixée au 1er janvier 2019 par cette ordonnance ().
Dès 2018, les professionnels et établissements de santé souhaitant confier à un tiers les données qu’ils recueillent à l’occasion de leurs activités de prévention, de diagnostic, de soins et de suivi social ou médico-social pourront donc faire appel à des hébergeurs certifiés « Hébergement de données de santé ».
La transition vers la certification HDS
Si les hébergeurs les mieux préparés pourront obtenir leur certification HDS dès le premier semestre 2018, un délai de mise en conformité est prévu pour les autres. En particulier, les agréments délivrés avant le 1er janvier 2018 ou à la suite d’une demande d’agrément déposée en 2017 resteront valides jusqu’à leur échéance. L’obligation pour les hébergeurs d’obtenir la certification HDS s’échelonnera donc jusqu’en 2021. Néanmoins, la certification HDS renforçant les exigences de sécurité des données, nul doute que les hébergeurs anticiperont l’échéance d’un agrément qui aurait été renouvelé en 2017.
Pour prévenir le risque d’un engorgement début 2018, un délai supplémentaire de six mois est accordé aux hébergeurs dont l’agrément viendrait à échéance au cours de l’année 2018. Un arrêté ministériel viendra entériner le référentiel de certification et les conditions spécifiques d’accréditation des organismes de certification. Toutefois, les différents métiers de l’hébergement concernés par la réglementation (infrastructure physique/infogérance) et la composition du référentiel (ISO 27001, ISO 20000-1, ISO 27018 et ISO 27017, complétés d’exigences spécifiques) sont d’ores et déjà connus : il ne reste plus qu’à se préparer.
Comment se préparer ?
AFNOR Certification* propose aux hébergeurs de données de santé d’obtenir la certification HDS par étapes progressives. Les candidats ont tout intérêt à commencer par obtenir au plus tôt une certification ISO 27001 dont le périmètre inclut l’hébergement de données. La marche à franchir pour l’obtention de la certification HDS est alors nettement réduite et le premier audit HDS est simplement combiné à l’audit annuel de surveillance de la certification ISO 27001.
Et pour accompagner les hébergeurs concernés vers la certification HDS, une visite d’évaluation HDS peut également être envisagée. La visite d’évaluation, conduite par un auditeur qualifié, se réalise en amont de l’audit de certification. C’est un excellent outil pour pouvoir identifier ses forces et les axes d’amélioration à développer.
*AFNOR Certification, leader français de la certification, est accréditée par le Cofrac pour la certification des systèmes de management de la sécurité de l’information selon la norme NF ISO/IEC 27001:2013 et conformément à la norme ISO/IEC 27006:2015 (exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information).
Crédits photos : Adobe Stock, adam121, jijomathai
Avez-vous apprécié ce contenu ?
A lire également.

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...