Publicité en cours de chargement...
Les premiers pas (concluants) de la certification HDS
Rappelons brièvement les principales dispositions applicables : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même », réalise désormais cet hébergement dans les conditions prévues l’article L1111-8 de code de la santé publique, tel que modifié par l’ordonnance n° 2017-27 du 12 janvier 2017.
La procédure de certification est définie dans le décret n° 2018-137 du 26 février 2018 qui organise également la période transitoire entre l’agrément et la certification. Ce décret est complété par l’arrêté du 11 juin 2018, portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel, qui expose clairement les démarches à suivre par les candidats afin de déposer une demande auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC.
Une fois que l’hébergeur a choisi un organisme certificateur accrédité par le COFRAC, l’organisme procède à un audit en deux étapes (audit documentaire et audit sur site) pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification ainsi qu’aux certifications ISO 27001 ou ISO 20000, déjà obtenues par l’hébergeur.
Cette certification est alors délivrée, tout comme l’agrément, pour une durée de trois ans, accompagnée d’audits de surveillance annuelle.
Quel est l’intérêt de la certification HDS ? Il s’agit d’élever le niveau de sécurité des données de santé.
De nombreux acteurs s’accordent à dire qu’elle représente un gage d’efficacité et de fiabilité :
- « Cela permet de l'interopérabilité entre les différents écosystèmes (certifiés) pour travailler entre différents établissements » remarque le DPO du CHRU de Lille
- « La certification accordée à Microsoft s’applique à l’ensemble de ses services Cloud proposés depuis la France (…), nous avons la possibilité désormais de nous reposer sur des certifications qui existaient déjà (…) ainsi, côté métier, le personnel médical pourra utiliser les outils bureautiques et de production alors que jusqu'à présent seules les données administratives des patients, et non les données de santé, pouvaient transiter par les serveurs » affirme le directeur technique et sécurité de Microsoft France.
C’est sur la base d'un référentiel élaboré par l'Asip santé s'appuyant sur les exigences des normes internationales ISO 27001 (système de gestion de la sécurité des systèmes d'information), ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel) qu’intervient la certification.
Si nous pouvons saluer le renforcement de la sécurité du stockage et la gestion (et de la gérance) des données de santé à caractère personnel, il n’en reste pas moins que le processus d’obtention de certification est long et semé d’embûches, notamment pour les hébergeurs infogéreurs qui n’ont parfois aucune idée des applications qu’ils hébergent, et « c’est normal » comme l’indique Jean François Parguet, Responsable de la Sécurité des Systèmes d’Information (RSSI) à l’Asip Santé, lors de la 7èmeédition du congrès national de la sécurité des systèmes d’information de santé, organisé au Mans en avril 2019.
Face à cette problématique qui touche aujourd’hui plus de 15.000 structures, des discussions quant au retrait des activités d’infogérance de la certification HDS sont actuellement en court afin d’élaborer un nouveau support d’encadrement, spécifique à ces activités.
L'auteure
Me Domitille Flageul
Selarl Yahia Avocats
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...