Quel hébergeur pour ses données de santé ? Agréé ? Certifié ? ISO 27001 ?

Temps de lecture estimé : 16 minutes

Lorsque les professionnels de santé souhaitent faire héberger leurs données par un prestataire externe, ils ne savent pas forcément vers quelle société se tourner afin d'assurer une sécurité optimale pour ces informations critiques tout en respectant la loi.

Jusqu'en janvier 2019, seule une société agréée HADS pouvait héberger des données de santé. Depuis lors, ce sont les entreprises certifiées HDS qui sont habilitées à conserver ces informations de santé. Cette nouvelle certification, basée en partie sur la norme ISO 27001, permet un niveau de sécurité accru, notamment grâce à l'intervention d'un organisme certificateur indépendant.

01. L'agrément HDAS
02. La norme ISO 27001
03. La certification HDS

01. L'agrément HDAS

Un agrément remplacé par la certification HDS

Depuis 2006, la procédure d'agrément pour l'Hébergement Agréé des Données de Santé (HADS) à caractère personnel sur support électronique a été mise en place. À partir de mars 2018, il n'est plus possible de procéder à une demande de renouvellement de l'agrément car l'agrément HADS a été remplacé par une certification HDS. Cependant, cette nouvelle procédure n'invalide pas les précédents agréments. Sauf s'ils ont été retirés ou suspendus, les agréments HDS restent valides jusqu'à leur date d'échéance initiale. Avant expiration de l'agrément, les hébergeurs concernés devront procéder à une demande de certification HDS afin de pouvoir continuer leurs activités en toute légalité.

Les objectifs de l'agrément HDAS

La durée de la procédure d'agrément était au minimum de 8 mois. Le dossier constitué était instruit par l'Agence des Systèmes d'Information Partagés (ASIP) puis transmis pour avis à la Commission Nationale de l'Informatique et des Libertés (CNIL) et au Comité d'agrément des hébergeurs.

Au final, le Ministre de la Santé donnait sa décision. Lorsqu'elle était favorable, l'agrément était donné pour une durée de 3 ans et faisait l'objet d'une publication dans le Bulletin Officiel (BO) du ministère de la Santé.

Le but de cet agrément HADS était d'assurer la traçabilité, la disponibilité, la confidentialité et l'intégrité des données de santé à caractère personnel (DSCP). Des normes organisationnelles et techniques étaient définies comme notamment le chiffrage des informations, des contraintes en matière d'authentification, de gestion des habilitations et de suivi des accès, la mise en place de plans de reprise et de continuité d'activité, etc.

Les principales différences entre l'agrément HDAS et la certification HDS

Plusieurs améliorations sont apportées par la certification HDS :

• la certification HDS se base sur des standards internationaux comme la norme ISO 27001 qui sont plus exigeants que ne l'était la procédure d'obtention de l'agrément HDAS ;
• l'agrément HADS était obtenu sur une base déclarative alors que la certification HDS nécessite plusieurs audits ;
• la certification HDS est une norme internationale alors que l'agrément HDAS était national.

02. La norme ISO 27001

Une norme internationale basée sur l'analyse des risques

Cette norme internationale, nommée auparavant ISO/IEC 27001:2005, concerne le Système de Management de la Sécurité de l'Information (SMSI).

Le SMSI regroupe des procédures et des règles concernant les contrôles (techniques, physiques et juridiques) relatifs aux processus de gestion des risques relatifs aux informations détenues par une société.

L'objectif de cette norme est donc bien d'établir une sécurité globale, dite à 360°, des données de l'entreprise. Les systèmes d'information ainsi que les collaborateurs concernés par la protection des données entrent aussi dans le périmètre du SMSI.

Pourquoi la norme ISO 27001 ne suffit-elle pas ?

Une des principales faiblesses de cette norme réside dans le fait que le SMSI est élaboré et pensé à partir d'une analyse de risques faite entièrement en interne.

Ainsi, dans le pire des cas, il est possible de satisfaire aux exigences de la norme tout en n'ayant pas évalué correctement les bons risques. Le SMSI serait dans ce cas pourtant conforme car il répondrait aux risques définis par la société.

03. La certification HDS

Les exigences de la certification HDS

Le principal objectif de cette nouvelle certification est d'accroître la sécurité des DSCP en faisant intervenir un organisme certificateur indépendant qui est lui-même accrédité par une structure officielle nationale telle que la COFRAC (Comité FRançais d'Accréditation). Ainsi, pour être certifié HDS, un hébergeur doit :

• être doté d'un système gérant la sécurité des informations qui respecte la norme ISO 27001 concernant le métier « hébergeur infogéreur » ou « hébergeur d'infrastructures » et le périmètre « système de gestion de la sécurité des informations » ;
• passer avec succès plusieurs audits vérifiant la conformité avec des exigences spécifiques au domaine des données de santé, des exigences concernant la gestion des services (se référant à la norme ISO 20000:2011) et des exigences relatives à la protection des données à caractère personnel (s'appuyant sur la norme ISO 27018 :2014).

La mise en œuvre de cette nouvelle certification date de janvier 2019.

L'obtention de la certification HDS

L'obtention de la certification HDS se passe en plusieurs étapes. Un premier audit documentaire est réalisé. Il est suivi par un audit sur site. À l'issue de ce second audit, de possibles non-conformités peuvent être relevées. Si c'est le cas, l'hébergeur dispose de 3 mois pour procéder aux corrections et les faire auditer.

Ce délai expiré, si aucune action n'a été réalisée, l'ensemble de l'audit sur site doit être à nouveau réalisé. Si les non-conformités ont été levées ou s'il n'y en avait aucune, le certificat, valable pendant 36 mois, peut être délivré par l'organisme certificateur. Pendant ces 3 ans, l'hébergeur est audité chaque année pour une vérification du suivi de normes définies par la certification.

Trois cas de figure peuvent se présenter pour une entreprise souhaitant être certifiée HDS :

• elle est déjà certifiée ISO 27001 et ISO 20000 : l'organisme certificateur va opérer des vérifications relatives à ces certifications ; les audits porteront sur la norme ISO 27018 et les demandes spécifiques liées à la santé ;
• elle est certifiée ISO 27001 : des vérifications sont réalisées concernant cette norme ; les audits concernent les normes ISO 20000, ISO 27018 et les exigences spécifiques concernant la santé ;
• elle ne possède pas de certification : elle doit d'abord obtenir la certification ISO 27001 auprès d'un organisme certificateur habilité ; les audits HDS porteront sur les normes ISO 20000, ISO 27018 et les exigences spécifiques à la santé.

Les deux périmètres des certificats HDS

La certification HDS concerne deux métiers d'hébergements différents.

Le premier métier est « hébergeur d'infrastructure physique ». Il correspond à deux types de services de mise à disposition et maintien en conditions opérationnelles :

• de l'infrastructure matérielle des systèmes informatiques servant à traiter les DSCP ;
• des sites physiques qui servent à héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des DSCP.

Le second métier concerne les activités d'« hébergeur infogéreur ». Cela correspond à 4 sortes de prestations :

• sauvegardes externalisées des DSCP ;
• gestion et exploitation du système informatique contenant les DSCP ;
• mise à disposition et maintien en conditions opérationnelles de la plateforme qui héberge les applications du système d'information ;
• mise à disposition et maintien en conditions opérationnelles de l'infrastructure informatique virtuelle servant au traitement des DSCP.

Sur le site de l'ANS (Agence du Numérique en Santé), vous pouvez trouver la liste des hébergeurs dont la certification est en cours de validité, avec pour chacun d'eux, le détail des services certifiés.

Vous savez maintenant que ni la certification ISO 27001 ni l'agrément HADS ne sont valides pour donner le droit à une société d'héberger des données de santé. Seules les entreprises certifiées HDS sont légalement autorisées à se voir confier la conservation des informations de santé. Cette nouvelle certification est un gage de sécurité afin d'assurer aux patients que les informations personnelles les concernant sont conservées dans les meilleures conditions possibles.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.