Hébergement des données de santé : les exigences de la certification HDS
Depuis le 1er avril 2018, l’Agrément Hébergeur de Données de Santé (HADS) a fait place à la certification HDS. Comme nous l’explique l'organisme de certification BSI, cette nouvelle législation fait évoluer les procédures requises pour l’hébergement des données de santé à caractère personnel.
Par Marie Le Quellec, Marketing Manager France, BSI Group
Particulièrement sensibles, les données de santé à caractère personnel doivent être hébergées en respectant des conditions de sécurité adaptées à leur criticité. L’article L.1111-8 du Code de la Santé Publique encadre les modalités d’hébergement de ces données, qui doivent dorénavant être gérées par un tiers certifié par un organisme certificateur lui-même agréé par le COFRAC.
Le référentiel de certification HDS repose sur des normes internationales certifiantes ainsi que sur des exigences additionnelles :
- l’intégralité de la norme ISO 27001:2013 relative au management de la sécurité de l’information,
- des exigences de la norme ISO 20000-1:2012 dédiée au système de gestion de la qualité des services,
- des exigences de protection de données à caractère personnel pour lesquelles une conformité à la norme ISO 27018:2014 confère une présomption de conformité,
- des exigences spécifiques à l’hébergement de données de santé.
Une fois le projet de certification HDS et son périmètre validés avec l’organisme certificateur, le processus de mise en conformité est rythmé par plusieurs étapes clés :
- Formation : une bonne compréhension des exigences du référentiel HDS permet d’optimiser le processus de certification. Il est ainsi fortement conseillé aux hébergeurs de participer à des formations dédiées HDS et ISO 27001 pour se préparer efficacement en amont de la certification.
- Implémentation : l’hébergeur de données de santé doit mettre en place au sein de sa structure un SMSI (Système de Management de la Sécurité de l’Information) conforme au référentiel HDS. La durée moyenne de mise en place est variable et dépend notamment du niveau de maturité et de la taille de la société.
- Audit à blanc : il doit être réalisé deux mois avant l’audit de certification. Son objectif est de mesurer les écarts du SMSI de l’hébergeur par rapport aux exigences des référentiels et de mettre les équipes en situation d’audit.
- Audit : un auditeur effectue un audit documentaire ainsi qu’un audit de conformité. A l'issue de ces deux audits seront pointées les éventuelles non-conformités mineures/majeures que l’hébergeur de données de santé devra rectifier.
- Revue technique : c'est la dernière étape avant la certification. L’organisme de certification effectue une vérification globale des éléments de l’audit et des informations fournies par l’hébergeur.
- Certification : l’hébergeur de données de santé obtient un certificat ISO 27001 ainsi qu’un certificat HDS mentionnant le périmètre "hébergeur infrastructure physique" et/ou "hébergeur infogéreur".
Un outil de conformité au RGPD
Le 25 mai dernier est entré en vigueur le Règlement Général de Protection des Données, qui encadre le traitement des données à caractère personnel des Européens. Bien que les champs d’application diffèrent légèrement, un hébergeur de données de santé pourra utiliser la mise en œuvre de sa certification HDS comme outil de conformité au RGPD.
En effet, la norme ISO 27001 impose de respecter des exigences législatives, réglementaires et contractuelles. La mise en place du SMSI au sein de sa structure permettra à l’hébergeur de données de santé d’assurer que celle-ci répond à des exigences de sécurité renforcées.