Hébergement de données de santé (HDS) : Quelles règles et obligations ?

Publié dans HDS

18 septembre 2024 / Mickaël

Par : Mickaël

Membre des équipes de Blue, Mickaël met en avant son expertise autour de la gouvernance et de la stratégie de cybersécurité. En tant que RSSI, il intervient sur des thématiques telles que la gestion des risques, la conformité, la sécurité organisationnelle et les bonnes pratiques permettant de renforcer la protection des systèmes d’information.

Avec l'hébergement de données de santé, quelles sont véritablement les règles et obligations ? Du côté hébergeur HDS et professionnels de santé des informations précises existent sur la certification et le respect des normes en vigueur.

Article - Hébergement de données de santé HDS - Image 1

SOMMAIRE :

Témoignage de notre expert en hébergement de données de santé

Témoignage

Mickaël MARTIN

Responsable Sécurité des Systèmes d'Information chez Blue

Je suis un professionnel de santé. Quelles questions devrais-je me poser avant d’externaliser l’hébergement de données de santé ?

Avant d'externaliser l'hébergement de vos données de santé, plusieurs points sont essentiels à évaluer, que vous soyez, un professionnel de santé ou un sous-traitant en charge des données.

En premier lieu, assurez-vous de l’accessibilité et de la disponibilité des données. En tant que professionnel de santé, vous devez pouvoir accéder aux informations à tout moment, que ce soit dans votre cabinet ou lors d’une urgence, par exemple pour consulter un dossier patient informatisé (DPI).

Ensuite, la performance d’accès aux données est également un facteur clé : l’accès doit être rapide, sans latence, pour ne pas perturber le bon déroulement des soins. Il faut éviter les scénarios où, en raison d’une maintenance sur les équipements liés aux hébergements, vous seriez bloqué et dans l’incapacité d’accéder aux dossiers de vos patients. Cela pourrait avoir des conséquences graves, notamment en cas de situation critique.

Si je dois choisir entre plusieurs hébergeurs HDS, quels sont les critères essentiels pour m’aider dans ma décision et évaluer la fiabilité d’un prestataire d’hébergement ?

Pour choisir un hébergeur HDS, la première étape est de vérifier que son certificat est valide. Ensuite, assurez-vous également que l’hébergeur propose des services adaptés à vos besoins spécifiques, comme l’administration des systèmes ou la sauvegarde des données.

Et enfin, pensez à la souveraineté, veillez à ce que les données soient stockées en France ou dans l'Espace Économique Européen, sans transfert en dehors de cette zone, pour respecter les exigences de sécurité et de conformité, notamment avec la législation prévu par le RGPD.

Du côté des prestataires d’hébergement de données de santé, quels sont les défis majeurs auxquels ils doivent faire face pour garantir la conformité avec les normes HDS ?

Aujourd’hui, les prestataires d’hébergement de données de santé doivent relever plusieurs défis pour rester conformes aux normes HDS. Et ces défis nécessitent temps et application.

Le premier est l’évolution constante des menaces en cybersécurité. Les attaques sont de plus en plus nombreuses et puissantes, ceci exige une vigilance permanente et des mises à jour régulières des systèmes.

En plus, les hébergeurs doivent s’adapter à des législations en perpétuelle évolution, notamment en matière de protection des données, qui évoluent à l’échelle française et européenne.

Et bien sûr, l’intégration des nouvelles technologies, comme l'intelligence artificielle, représente l’enjeu majeur. Durant les prochaines années, l’intelligence artificielle imposera le réajustement des infrastructures pour garantir une sécurité optimale et respecter les exigences réglementaires, qui évolueront elles aussi.

Hébergez vos données de santé avec Blue

Nous sommes certifiés hébergeur HDS

CONTACTER LES EXPERTS BLUE

Données de santé : Ce qu'il faut savoir pour leur hébergement HDS

Avant tout, qu’est-ce qu’une donnée de santé ?

Les données de santé se rapportent à toute information à caractère personnel liée à la condition physique ou mentale d'une personne. Ces données peuvent être passées, actuelles ou futures.

Généralement, les données de santé incluent les informations recueillies dans le cadre de services médicaux, révélant ainsi des aspects sur l’état de santé de l’individu.

Pour illustrer les types de données, voici quelques exemples :

Les informations enregistrées lors de l'inscription d'un individu pour recevoir des soins médicaux, ou au cours de la prestation de ces services, comme un identifiant unique ou un code spécifique assigné à cet effet ;
Les résultats d'examens médicaux, qu'il s'agisse d'une analyse corporelle ou d'un prélèvement biologique, y compris les données génétiques et les analyses effectuées sur des échantillons biologiques ;
Les renseignements relatifs à une pathologie, un handicap, un risque de maladie, les antécédents médicaux, les soins reçus, ou encore l’état physiologique ou biomédical d'un individu, quel que soit le professionnel ou le dispositif à l'origine de ces informations (médecin, hôpital, appareil médical, ou test de diagnostic).

Pourquoi est-ce obligatoire d’héberger en sécurité des données de santé ?

Les informations de santé personnelles sont des données très sensibles et soumises à une réglementation précise. Les données contiennent des détails personnels et confidentiels sur la vie privée des individus, très encadrée par le droit français.

La nature sensible implique que leur accès soit rigoureusement encadré par la législation. Un des principaux objectifs reste de protéger les droits fondamentaux des personnes concernées. Pour les professionnels de la santé, il faut comprendre que la conservation de ces données ne se limite pas à un simple système de stockage d'informations dans un cloud. Ce stockage est d’une responsabilité majeure et l'hébergement de données de santé est très réglementé. En raison du caractère critique de ces données, les services d’hébergement informatique doivent répondre à des normes de sécurité particulièrement élevées, assurant qu'elles soient protégées contre toute forme de violation ou d'accès non autorisé. Pour cela que les hébergeurs de données de santé sont certifiés HDS, en disposant de la certification attribuée par un établissement agréé.

Adopter des mesures de sécurité robustes n'est pas seulement une obligation légale pour maintenir son activité, au même titre que ce qu'impose les directives du RGPD (Règlement Général sur la Protection des Données). L’hébergement de données de santé est une nécessité pour maintenir la confiance des patients et garantir la confidentialité indispensable au bon déroulement des soins médicaux.

Besoin d'informations complémentaires sur la sécurité des données de santé ? Faates le point sur l'hébergement HDS et la cybersécurité.

A quoi correspond la certification HDS ?

La certification HDS vise à garantir une protection renforcée des données de santé à caractère personnel. En plus, elle permet d’instaurer un climat de confiance autour de l’eSanté et du suivi des patients.

La certification repose sur des référentiels rigoureux, incluant :

Le respect de la norme ISO 27001
La souveraineté des données
Le respect du RGPD
Le respect d’articles du code de la santé publique

D’autre part, elle permet à un organisme certificateur indépendant accrédité de certifier toute entité ou structure qui assure l'hébergement de ces données sensibles.

Dans le domaine de l’hébergement de donnés, cette certification constitue une assurance de conformité et de sécurité pour les acteurs impliqués dans la gestion des informations de santé.

La certification HDS (Hébergeur de Données de Santé) permet l’obtention de deux types de certificats :

Certification « Hébergeur d’infrastructure physique » :

Assure la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle nécessaire au traitement des données de santé.
Garantit la disponibilité et l’entretien des sites physiques où est hébergée cette infrastructure matérielle dédiée au traitement des données de santé.

Certification « Hébergeurs infogéreurs » :

Englobe la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle dédiée aux systèmes d’information de santé.
Couvre la gestion et le maintien des plateformes d’hébergement d’applications liées aux systèmes d’information.
Inclut l’administration, l’exploitation et la sécurisation des systèmes d’information qui contiennent les données de santé.
Prévoit également la sauvegarde externalisée des données de santé, garantissant leur protection et leur disponibilité en toutes circonstances.

Quels sont les organismes autorisés à délivrer la certification HDS ?

Le gouvernement a défini une liste précise d'organismes habilités à délivrer la certification HDS. Ces entités doivent d'abord obtenir une validation technique de la part d'un organisme d'accréditation, tel que le COFRAC (Comité Français d'Accréditation) en France. Cette validation garantit que les organismes responsables de l’émission des certificats respectent les normes établies par le droit français et le RGPD en matière de sécurité des données de santé.

Conformément au référentiel d'accréditation, une fois la validation technique obtenue, un organisme est autorisé à délivrer des certifications HDS pour une période de neuf mois.

Ces certifications attestent que les solutions et prestations d'hébergement répondent aux exigences élevées de sécurité nécessaires pour protéger les systèmes numériques contenant des données de santé.

Les organismes certificateurs accrédités pour délivrer la certification HDS sont les suivants :

Ces entités sont décisives dans la vérification des systèmes et des services externes liés à l’hébergement des données de santé, garantissant ainsi le respect des obligations légales et la sécurité numérique des informations traitées.

Juridiquement, comment est encadrée l’hébergement de données de santé ?

Au même titre que le règlement général de protection des données (RGPD), les modalités d’hébergement de données de santé à caractère personnel sont soumises à une réglementation précise et encadrées par le droit français avec l’article L.1111-8 du Code de la Santé Publique :

► toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ;

► l’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime

Focus sur la nouvelle version du référentiel HDS

Une version révisée du référentiel de certification Hébergeurs de Données de Santé (HDS) a été publiée au Journal Officiel, le 16 mai 2024. La version impose aux hébergeurs de données de santé déjà certifiés de se conformer aux nouvelles règles d'ici mai 2026, tandis que les nouveaux candidats seront évalués selon ces critères dès novembre 2024.

Cette révision, élaborée avec divers acteurs, renforce la protection des données, clarifie les activités d’hébergement et intègre des évolutions de la norme ISO 27001. Elle introduit également des exigences sur la souveraineté des données, notamment en imposant l’hébergement des données de santé sur le territoire de l’Espace Économique Européen (EEE).

Les hébergeurs fournissant un service d'hébergement de données de santé, devront également informer leurs clients de tout transfert de données vers des pays hors EEE (Espace Economique Européen) et publier une cartographie des transferts sur leur site internet. La révision ne s’aligne pas encore sur les normes extraterritoriales du référentiel SecNumCloud, mais ce point sera réévalué d'ici 2027.

Parallèlement, le référentiel d'accréditation des organismes de certification a également été mis à jour, notamment pour intégrer les retours d'expérience des auditeurs. Les organismes certificateurs ont six mois pour adapter leurs procédures à ce nouveau cadre.

Quels professionnels doivent héberger leurs données de santé chez un hébergeur HDS ?

Les professionnels de santé qui doivent héberger leurs données de santé chez un hébergeur certifié HDS sont ceux gérant des informations relatives à l'état de santé physique ou mentale de leurs patients.

Parmi les professionnels, on considère les suivants :

Les établissements de santé : Hôpitaux, cliniques et centres de soins qui collectent, stockent et traitent des informations médicales telles que les antécédents médicaux, les résultats de tests, et les traitements.
Les laboratoires : Laboratoires de biologie médicale qui gèrent des données provenant de tests et d'analyses biologiques, y compris les résultats des tests génétiques.
Les pharmacies : Pharmacies qui conservent des informations relatives aux prescriptions, aux traitements médicamenteux, et aux allergies des patients.
Les établissements médico-sociaux : EHPAD, maisons de retraite, centres pour personnes handicapées, etc., qui traitent des données sur les soins et les états de santé des résidents.

Globalement, tout professionnel ou organisme qui manipule des informations telles que les identifiants médicaux, les résultats de tests, les antécédents médicaux, et autres données de santé doit respecter des normes et héberger ces données chez un hébergeur certifié HDS pour assurer la sécurité de ces données dans un cadre légal.

Tous les professionnels de santé sont-ils concernés par l’hébergement HDS ?

La réglementation sur l'hébergement des données de santé ne s'applique pas de manière uniforme à tous les professionnels du secteur de la santé.

En effet, lorsque les données de santé sont conservées directement par l'entité qui les a collectées, sans sous-traitance, il n'y a pas d'obligation d'externaliser cet hébergement en datacenter, en cloud...

Cela concerne, par exemple :

Les services de santé au travail en entreprise,
Les médecins et établissements de santé qui gèrent les dossiers médicaux, conformément aux prescriptions du Code de la santé publique.

D’autre part, certaines catégories d'organismes sont également exemptées de l’obligation de recourir à un prestataire certifié HDS, notamment :

Les organismes de recherche, à condition que leurs bases de données n'aient pas été initialement créées pour des objectifs de prévention, de diagnostic, de soins, ou de suivi social et médico-social.
Les organismes de mutuelle, tant obligatoires que complémentaires, puisque les données qu'ils utilisent pour les remboursements proviennent de collectes réalisées par d'autres entités.
Les fabricants, fournisseurs et distributeurs de dispositifs médicaux, sauf lorsqu'ils sont impliqués dans des activités de télésurveillance.
Les associations sportives pour personnes handicapées, dont les données de santé ne sont pas collectées directement.

Ainsi, la législation s'applique principalement aux acteurs qui externalisent l'hébergement des données de santé, tandis que certains acteurs, selon leur rôle et leur mode de collecte de données, ne sont pas concernés.

Où trouver un hébergeur certifié HDS ?

Pour localiser un hébergeur certifié HDS, vous pouvez consulter le site officiel de l'Agence du Numérique en Santé (ANS). Cette plateforme propose une liste triée par ordre alphabétique et est régulièrement mise à jour des hébergeurs certifiés.

Chaque hébergeur est accompagné d'informations détaillées sur les services certifiés, indiqués par des codes numériques allant de 1 à 6 (activités HDS couvertes par le certificat). S’ajoute aux codes, l’organisme de certification ayant validé la conformité.

Les services pour lesquels un hébergeur peut être certifié incluent :

L'hébergement des sites physiques : Fourniture et maintenance du système nécessaires au traitement des données de santé.
L'infrastructure matérielle : Mise à disposition et gestion des équipements physiques utilisés pour le traitement des données de santé.
Les plateformes d’hébergement d’applications : Gestion des environnements virtuels où sont hébergées les applications de santé.
L'infrastructure virtuelle : Maintenance des ressources virtuelles pour le traitement des données de santé.
L’administration et l’exploitation : Gestion et opération des systèmes d’information contenant des données de santé.
La sauvegarde des données : Protection et conservation des informations de santé.

Sachez également que Blue est un hébergeur certifié HDS, présent dans la liste de l’ANS. Pour évaluer vos besoins d’hébergement, contactez nos équipes en quelques clics.

Les questions-réponses sur l'hébergement de données de santé (HDS)

Quelles sont les obligations légales pour les hébergeurs de données de santé en France ?

En France, les hébergeurs proposant un hébergement de données de santé doivent se conformer à des règles présentes dans le référentiel de certification HDS, imposé par leur organisme certificateur, qui garantit que les systèmes de gestion de la sécurité des données respectent les normes. L’entité responsable de l’hébergement doit protéger les données contre tout accès non autorisé, assurer leur intégrité et maintenir la confidentialité des informations médicales sensibles.

Comment s’assurer qu’un hébergeur externe est réellement certifié HDS ?

Quels types de données de santé doivent être hébergés chez un prestataire certifié HDS ?

Quels critères devons-nous considérer pour sélectionner un prestataire certifié HDS ?

Lors de la sélection d’un prestataire de service en hébergement de données de santé, vérifiez non seulement la validité de sa certification, mais aussi les spécificités de ses services, tels que le type d’infrastructure qu’il propose (hébergement cloud, hébergement cloud privé et hybride...), ses capacités de sauvegarde, et ses mesures de sécurité. Assurez-vous également, avant toute signature de contrat, que le prestataire répond à vos besoins en termes de disponibilité, de support technique, et de conformité aux exigences de la certification HDS.

Quelles garanties de sécurité et de conformité devons-nous exiger d’un prestataire HDS ?

Exigez que le prestataire externe fournisse des preuves concrètes de ses mesures de sécurité, telles que des :

Politiques et processus de gestion des incidents,
Plans de continuité d’activité,
Plans d’assurance sécurité.

Assurez-vous également que l'entreprise externe met en œuvre des solutions conformes aux normes de sécurité internationales et qu’il est capable de répondre aux exigences spécifiques du référentiel HDS, y compris la protection des données, la sauvegarde informatique (aussi appelé backup) et la confidentialité.

Besoin d'un hébergement de données de santé ?

Contactez les équipes de Blue, hébergeur de données certifié HDS