Hébergement des données de santé : pourquoi passer directement à la certification ?

Depuis 2009, l’ASIP Santé a joué un rôle pivot dans la régulation des hébergeurs de données de santé (HDS). Pendant neuf ans, l’agence a assuré le secrétariat de la procédure d’agrément mais aussi pré-instruit les éléments juridiques, techniques et financiers présentés par les candidats qui souhaitaient obtenir l’agrément HDS. En lien avec le ministère des Solidarités et de la Santé (délégation à la stratégie des systèmes d’information de santé, DSSIS), l’ASIP Santé travaille depuis plusieurs mois à la nouvelle procédure de certification. Cette nouvelle procédure a été définie par les pouvoirs publics en concertation avec les ordres des professions de santé, les fédérations d’entreprises du secteur de la santé, les associations de patients, les fédérations d’établissements de santé et la CNIL. Celle-ci prévoit d’encadrer l’activité d’hébergement de données de santé par une évaluation de conformité à un référentiel de certification. Cette certification sera délivrée par un organisme de certification accrédité par le COFRAC (ou équivalent au niveau européen). Les grands principes de la certification seront précisés prochainement par un décret en Conseil d’Etat.

Dans cette période de transition, l’agence a publié fin novembre 2017 les premiers référentiels d’accréditation et de certification qui doivent permettre aux acteurs concernés d’anticiper leur mise en œuvre.

Les hébergeurs de données de santé doivent privilégier cette nouvelle procédure, qui vise à renforcer leur positionnement en tant que professionnel de l’hébergement apportant un niveau de service qui garantit la sécurité et la confidentialité des données de santé. 

Les atouts de la procédure de certification

La procédure de certification permet de s’aligner avec les grands standards internationaux de l’ISO :

• les exigences de la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;
• des exigences de la norme ISO 20000 « système de gestion de la qualité des services » ;
• des exigences de la norme ISO 27018 « protection des données à caractère personnel ». En outre, elle est complétée de quelques points de contrôles adaptés à la particulière sensibilité des données de santé.

Cette spécificité française pourra ainsi s’exporter, constituer un gage de sécurité des services d’hébergement de données de santé et devenir un réel atout concurrentiel, au-delà du territoire français.

Les demandes d’agrément en cours

Dans ce contexte de transition, les candidats actuellement engagés dans la constitution d’un dossier de demande d’agrément doivent être particulièrement vigilants à la qualité de leur dossier (bienfondé et complétude du dossier). Il est rappelé qu’en cas de demande de compléments, les candidats disposent d’un délai maximum de deux mois pour y répondre.
Passé ce délai, l’instruction du dossier est poursuivie en l’état et risque de conduire à un avis défavorable.

C’est pourquoi, l’ASIP Santé encourage les candidats à favoriser cette nouvelle procédure. La mise en œuvre de la procédure de certification est une prévalence pour les industriels qui souhaitent devenir hébergeurs de données de santé. Ainsi, ils anticiperont et mettront en avant leur capacité d’adaptation à la protection des données de santé à caractère personnel. 

Toutes les informations concernant l’ouverture de la procédure de certification ou de demande d’agrément sont disponibles sur le site e-sante.gouv.fr (rubrique Services – hébergement des données de santé). 

A propos de l’hébergement de données de santé

L’activité d’hébergement de données de santé à caractère personnel consiste à héberger les données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. Cet hébergement est réalisé pour le compte de personnes physiques ou morales, responsables de traitement au sens de la loi n°78-17 du 6 janvier 1978, ou pour le compte du patient lui-même.

A propos de l’ASIP Santé

L’ASIP Santé est l’agence française de la santé numérique. Elle assure trois missions complémentaires : créer les conditions de l’essor de la e-santé, conduire des projets d’envergure nationale et déployer les usages en soutenant l’innovation. Elle met notamment en œuvre le système des Cartes de Professionnel de Santé (CPS), le Répertoire Partagé des Professionnels intervenant dans le système de Santé (RPPS) et le système MSSanté des Messageries Sécurisées de Santé. http://esante.gouv.fr