Les premiers pas (concluants) de la certification HDS

Rappelons brièvement les principales dispositions applicables : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même », réalise désormais cet hébergement dans les conditions prévues l’article L1111-8 de code de la santé publique, tel que modifié par l’ordonnance n° 2017-27 du 12 janvier 2017. 

La procédure de certification est définie dans le décret n° 2018-137 du 26 février 2018 qui organise également la période transitoire entre l’agrément et la certification. Ce décret est complété par l’arrêté du 11 juin 2018, portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel, qui expose clairement les démarches à suivre par les candidats afin de déposer une demande auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC. 

Une fois que l’hébergeur a choisi un organisme certificateur accrédité par le COFRAC, l’organisme procède à un audit en deux étapes (audit documentaire et audit sur site) pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification ainsi qu’aux certifications ISO 27001 ou ISO 20000, déjà obtenues par l’hébergeur. 

Cette certification est alors délivrée, tout comme l’agrément, pour une durée de trois ans, accompagnée d’audits de surveillance annuelle. 

Quel est l’intérêt de la certification HDS ? Il s’agit d’élever le niveau de sécurité des données de santé. 

De nombreux acteurs s’accordent à dire qu’elle représente un gage d’efficacité et de fiabilité : 

 -  « Cela permet de l'interopérabilité entre les différents écosystèmes (certifiés) pour travailler entre différents établissements » remarque le DPO du CHRU de Lille

 -  « La certification accordée à Microsoft s’applique à l’ensemble de ses services Cloud proposés depuis la France (…), nous avons la possibilité désormais de nous reposer sur des certifications qui existaient déjà (…) ainsi, côté métier, le personnel médical pourra utiliser les outils bureautiques et de production alors que jusqu'à présent seules les données administratives des patients, et non les données de santé, pouvaient transiter par les serveurs » affirme le directeur technique et sécurité de Microsoft France. 

C’est sur la base d'un référentiel élaboré par l'Asip santé s'appuyant sur les exigences des normes internationales ISO 27001 (système de gestion de la sécurité des systèmes d'information), ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel) qu’intervient la certification. 

Si nous pouvons saluer le renforcement de la sécurité du stockage et la gestion (et de la gérance) des données de santé à caractère personnel, il n’en reste pas moins que le processus d’obtention de certification est long et semé d’embûches, notamment pour les hébergeurs infogéreurs qui n’ont parfois aucune idée des applications qu’ils hébergent, et « c’est normal » comme l’indique Jean François Parguet, Responsable de la Sécurité des Systèmes d’Information (RSSI) à l’Asip Santé, lors de la 7^èmeédition du congrès national de la sécurité des systèmes d’information de santé, organisé au Mans en avril 2019. 

Face à cette problématique qui touche aujourd’hui plus de 15.000 structures, des discussions quant au retrait des activités d’infogérance de la certification HDS sont actuellement en court afin d’élaborer un nouveau support d’encadrement, spécifique à ces activités.

L'auteure 

Me Domitille Flageul
Selarl Yahia Avocats