Publicité en cours de chargement...

Publicité en cours de chargement...

Les premiers pas (concluants) de la certification HDS

24 sept. 2019 - 11:46,
Tribune - Me Domitille Flageul
Ils sont actuellement 48 à avoir décroché la certification hébergeurs de données de santé, d’après le site de l’Asip Santé, le dernier en date étant, sauf erreur, le groupement de coopération sanitaire GCS Tesis (La Réunion et Mayotte), premier groupement régional d'appui au développement de l'e-santé (Grades) de la liste des hébergeurs pour son datacenter, et qui en plus couvre les 6 activités du référentiel. 

Rappelons brièvement les principales dispositions applicables : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même », réalise désormais cet hébergement dans les conditions prévues l’article L1111-8 de code de la santé publique, tel que modifié par l’ordonnance n° 2017-27 du 12 janvier 2017

La procédure de certification est définie dans le décret n° 2018-137 du 26 février 2018 qui organise également la période transitoire entre l’agrément et la certification. Ce décret est complété par l’arrêté du 11 juin 2018, portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel, qui expose clairement les démarches à suivre par les candidats afin de déposer une demande auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC. 

Une fois que l’hébergeur a choisi un organisme certificateur accrédité par le COFRAC, l’organisme procède à un audit en deux étapes (audit documentaire et audit sur site) pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification ainsi qu’aux certifications ISO 27001 ou ISO 20000, déjà obtenues par l’hébergeur. 

Cette certification est alors délivrée, tout comme l’agrément, pour une durée de trois ans, accompagnée d’audits de surveillance annuelle. 

Quel est l’intérêt de la certification HDS ? Il s’agit d’élever le niveau de sécurité des données de santé. 

De nombreux acteurs s’accordent à dire qu’elle représente un gage d’efficacité et de fiabilité : 

 -  « Cela permet de l'interopérabilité entre les différents écosystèmes (certifiés) pour travailler entre différents établissements » remarque le DPO du CHRU de Lille

 -  « La certification accordée à Microsoft s’applique à l’ensemble de ses services Cloud proposés depuis la France(…), nous avons la possibilité désormais de nous reposer sur des certifications qui existaient déjà (…) ainsi, côté métier, le personnel médical pourra utiliser les outils bureautiques et de production alors que jusqu'à présent seules les données administratives des patients, et non les données de santé, pouvaient transiter par les serveurs » affirme le directeur technique et sécurité de Microsoft France. 

C’est sur la base d'un référentiel élaboré par l'Asip santé s'appuyant sur les exigences des normes internationales ISO 27001 (système de gestion de la sécurité des systèmes d'information), ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel) qu’intervient la certification. 

Si nous pouvons saluer le renforcement de la sécurité du stockage et la gestion (et de la gérance) des données de santé à caractère personnel, il n’en reste pas moins que le processus d’obtention de certification est long et semé d’embûches, notamment pour les hébergeurs infogéreurs qui n’ont parfois aucune idée des applications qu’ils hébergent, et « c’est normal » comme l’indique Jean François Parguet, Responsable de la Sécurité des Systèmes d’Information (RSSI) à l’Asip Santé, lors de la 7èmeédition du congrès national de la sécurité des systèmes d’information de santé, organisé au Mans en avril 2019. 

Face à cette problématique qui touche aujourd’hui plus de 15.000 structures, des discussions quant au retrait des activités d’infogérance de la certification HDS sont actuellement en court afin d’élaborer un nouveau support d’encadrement, spécifique à ces activités.


L'auteure 

Domitille-FlageulMe Domitille Flageul
Selarl Yahia Avocats
 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Illustration Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

08 juil. 2025 - 00:49,

Actualité

- Maellie Vezien, DSIH

À l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Illustration Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance

08 juil. 2025 - 00:26,

Actualité

- DSIH

L’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.