Certification HDS : la garantie de sécurité des données de santé

Dans le contexte dynamique et vital de l’industrie de la santé, la protection des données occupe une place cruciale, dictée par les impératifs éthiques et les préoccupations croissantes liées à la confidentialité des informations médicales.

La « donnée de santé » navigue non seulement entre professionnels du monde médical, mais aussi au sein de leurs prestataires et partenaires.

Tous manipulent des informations dites sensibles, qui doivent être protégées et demeurer confidentielles.

En réponse à ces défis, la Certification Hébergeur de Données de Santé (HDS) émerge comme un pilier essentiel de la sécurité des données de santé.

Cette certification s’impose comme un standard incontournable, offrant une protection accrue des informations sensibles, tout en répondant aux exigences réglementaires strictes qui encadrent le traitement des données de santé.

En tant que norme visant à garantir la qualité de service des hébergeurs de données de santé, la certification HDS concrétise ce bond vers la sécurité et la confidentialité des informations médicales.

Elle garantit aussi l’intégrité des données de santé à caractère personnel au sein de l’Union européenne, au profit des patients, mais aussi des professionnels du secteur.

Dans cet article, nous proposons de faire le point sur cette certification, obligatoire pour l’hébergement de données de santé, et de vous expliquer comment elle s’obtient.

Les données personnelles de santé à l’heure du numérique : de quoi parle-t-on ?

Avant toute chose : qu’est-ce qu’une donnée de santé ? Pour le savoir, il faut consulter la définition qu’en donne la CNIL (Commission Nationale de l’informatique et des Libertés).

Selon l’autorité française, les données de santé regroupent les informations qui abordent l’état mental ou physiologique, passé, actuel ou futur, d’une personne physique, et qui permettent de visualiser son état de santé global.

Sont compris dans cette définition les éléments suivants :

  • Toute information permettant d’identifier la personne : nom et prénom, numéro de téléphone, numéro de Sécurité sociale, identifiant web, etc.
  • Toute information sur la vie personnelle du patient : situation familiale, couverture sociale, etc.
  • Les informations relatives aux soins ou aux services de santé : diagnostic, prescription médicale, fiche d’hospitalisation, questionnaire d’assurance, souscription d’un service, etc.
  • Les informations issues de l’examen d’une partie du corps, d’un test génétique ou de l’analyse d’échantillons biologiques
  • Les informations qui caractérisent l’état physique ou mental, passé, présent ou futur du patient, qu’il s’agisse de handicap ou de maladie, sans que ces données soient nécessairement fournies par un établissement de santé.
  • Toute information qui concerne les professionnels (en médecine générale ou spécialisée, pharmacie ou laboratoire) qui interviennent dans la prise en charge du patient.

En somme, les données de santé à caractère personnel désignent toute information qui contribue à déterminer ou à déduire l’état de santé d’une personne physique.

Partage de fichiers en ligne

Découvrez notre plateforme de collaboration en ligne simple, sécurisée, et certifiée HDS.

Or, la digitalisation des services et des systèmes d’information a deux conséquences majeures : elle augmente significativement le volume des données de santé qui circulent, et confronte les acteurs du système à des risques accrus.

C’est pourquoi la protection des données personnelles est essentielle – raison pour laquelle la certification HDS existe.

Certification HDS : pourquoi la sécurité des données de santé est-elle essentielle ?

L’accélération de la numérisation impose un lourd tribut à l’hôpital, exposé à des cyberattaques.

Ces incidents récents viennent accentuer une tendance inquiétante, comme en témoignent les chiffres alarmants signalés par l’Agence du Numérique en Santé (ANS) en 2021, avec pas moins de 730 attaques recensées.

Par essence, les données de santé sont des informations sensibles. En cas de perte ou de vol, ces informations font peser un risque majeur sur les utilisateurs : tentatives d’escroquerie, atteinte à la vie privée, divulgation d’informations confidentielles, etc.

Ces risques concernent aussi bien les patients eux-mêmes, avec parfois des blocages dans le parcours de soins, que les professionnels de santé qui ont la responsabilité de protéger ces données.

Données de santé : un niveau de risque en hausse constante

Les informations de santé intéressent donc particulièrement les pirates informatiques qui peuvent les « prendre en otage » pour demander une rançon, les détourner à de mauvaises fins, ou s’en servir pour alimenter un marché occulte sur le Dark Web.

En ce sens, on observe de plus en plus d’incidents de sécurité touchant les systèmes d’information dans les secteurs de la santé et du médico-social.

Comme le montre le rapport de l’Observatoire dédié : 69 structures ont déclaré plus de deux incidents en 2022, et 15 d’entre elles en ont déclaré au moins quatre.

Le niveau de risque augmente aussi en raison de la centralisation des services sur le Cloud (de plus en plus, le système d’information et de traitement des données est entièrement dématérialisé) et de l’adoption massive de solutions d’hébergement des données en ligne.

Dans ce cadre, la sécurisation des informations des patients constitue un vrai défi, qui implique à la fois la mise en place de réglementations strictes et l’utilisation de technologies adaptées.

Certification HDS : des mesures de protection spécifiques pour les données de santé

C’est pourquoi les données de santé font l’objet de mesures de protection spécifiques, afin d’en garantir la confidentialité, l’intégrité et la bonne utilisation, à la fois par les professionnels de santé et par tout intermédiaire chargé du traitement de ces données.

Du fait de leur criticité, elles font partie intégrante des informations incluses dans les données sensibles définies par la CNIL.

Aussi, dans le but de construire une réglementation forte autour de leur utilisation, la Commission Européenne les intègre dans le Règlement Général de Protection des Données.

Le cloud privé SecNumCloud

Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.

De fait, le RGPD offre un cadre réglementaire à respecter par tous les professionnels de santé pour la gestion des données personnelles.

L’hébergement de ces informations doit donc se faire dans des conditions de sécurité élevées, d’où la création de la certification HDS (des hébergeurs de données de santé) afin de mettre en place un label de qualité et de sécurité pour la gestion de ces données sensibles.

Basée sur la norme ISO 27001, la certification HDS permet aux professionnels de santé et aux intermédiaires chargés du traitement des données de démontrer leur engagement en faveur de la protection des informations de santé à caractère personnel.

Cette certification remplace l’ancien agrément HADS (Hébergeur agréé de données de santé).

Qui est concerné par la certification HDS ?

La certification HDS concerne tous les acteurs qui hébergent des données de santé à caractère personnel, exploitent un système d’information de santé, ou s’occupent de stocker et/ou de sauvegarder des données de ce type pour le compte d’un tiers.

La certification des hébergeurs de données de santé est donc une obligation légale.

En effet, la loi française impose aux établissements de santé et médico-sociaux (hôpitaux, cliniques, laboratoires, pharmacies, entreprises pharmaceutiques, maisons de santé, EHPAD, …) ainsi qu’aux professionnels (médecins, infirmier·ères, radiologues, …) qui gèrent des données sensibles d’avoir recours aux services d’un fournisseur Cloud offrant toutes les garanties de sécurité nécessaires – autrement dit, un prestataire certifié HDS, comme l’est Oodrive pour toutes ses solutions collaboratives. (Code de la Santé Publique, article L1111-8.)

Le prestataire de services Cloud s’attache ainsi à respecter les exigences réglementaires pour le compte de son client.

Plus particulièrement, la certification HDS concerne plusieurs activités, classées dans deux catégories :

  • Pour l’hébergeur d’infrastructure physique : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information employé pour réaliser le traitement des données de santé, ou des sites physiques (datacenters) qui hébergent l’infrastructure matérielle utilisée dans le même but.
  • Pour l’hébergeur en infogérance : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle ou de la plateforme d’hébergement d’applications du système d’information ; la gestion et l’exploitation du système d’information ; et la sauvegarde des données de santé.

Une décision de la Cour d’appel de Nîmes (15 décembre 2022) rappelle combien le défaut de certification HDS peut coûter cher aux hébergeurs de données de santé, même lorsque ces prestataires ne conservent ces informations que de façon temporaire.

Solutions certifiées HDS : une garantie de confidentialité et d’intégrité des informations

La certification HDS est essentielle parce qu’elle permet de distinguer les fournisseurs de services Cloud offrant des garanties quant à la conformité de leurs systèmes d’information avec les exigences réglementaires.

Un prestataire certifié HDS devient, comme son nom l’indique, un hébergeur de données de santé agréé : celui-ci est en mesure d’assurer la sécurité, la confidentialité et l’intégrité des informations personnelles des patients, mais aussi leur disponibilité et leur accessibilité en toutes circonstances via un hébergement sur le Cloud.

Ces mesures prises dans le cadre d’un hébergement de données de santé HDS incluent :

  • Des procédures poussées d’authentification et de gestion des accès au système d’information et de traitement des données.
  • Des méthodes de chiffrement avancées pour les échanges d’informations.
  • Des systèmes de sauvegarde fiables permettant une récupération rapide des données en cas de sinistre et une réduction drastique des périodes d’interruption d’activité.
  • Des mécanismes garantissant, pour les professionnels de santé, une mise à disposition immédiate des données.

Ces exigences s’appliquent indépendamment du lieu de stockage des données de santé par le prestataire certifié HDS.

La certification HDS comme gage de confiance pour les professionnels de santé

En somme, la certification HDS est un gage de confiance pour l’ensemble des acteurs du secteur de la santé et du secteur médico-social, qu’il s’agisse des établissements publics et privés ou des professionnels libéraux.

Dans un contexte de risque accru, la mise en valeur des fournisseurs de services Cloud certifiés HDS permet aux professionnels de santé d’identifier aisément les entités capables de répondre aux exigences réglementaires autant qu’aux attentes de leurs patients.

Pour bien comprendre en quoi la certification HDS est un pilier de la confiance en matière d’hébergement des données de santé, nous vous proposons de consulter le retour d’expérience de l’Université Libre de Bruxelles et de son centre de dépistage néonatal, qui utilise depuis 2022 la plateforme collaborative Oodrive Work pour protéger ses données, notamment lors de la transmission des résultats des tests sanguins aux maternités.

La certification HDS d’Oodrive était primordiale pour l’ULB, d’autant plus que les datacenters sont situés en France – ce qui constitue une sécurité supplémentaire, les données étant protégées par le RGPD. Découvrez ce retour d’expérience dans cet article.

Certification HDS et RGPD : les grands principes de la réglementation pour les professionnels de santé

La protection des données de santé est régie par le même texte que l’ensemble des secteurs d’activité en Europe, à savoir le RGPD, en place depuis 2018.

Voici un rappel des grands principes issus de la réglementation, que les professionnels de santé doivent respecter au même titre que toutes les organisations.

  • Nommer un DPO ( Data Protection Officer) dont la mission est d’informer, de conseiller et de contrôler en interne la conformité de l’établissement avec les exigences du RGPD.
  • Référencer l’ensemble des systèmes de traitement de données personnelles, en élaborant un registre pour mesurer l’impact de la réglementation sur l’activité.
  • Documenter l’ensemble des processus assurant la conformité avec le règlement européen, de façon à pouvoir prouver à tout moment le respect des exigences du RGPD via la documentation.
  • Garantir la transparence vis-à-vis des patients en communiquant sur le traitement de leurs données de santé et sur les éventuels incidents de sécurité subis par l’entité.

Ces grands principes de gestion de la donnée sensible doivent s’inscrire dans des conditions de sécurité et de confidentialité élevées : pseudonymisation des informations, système d’authentification renforcé pour accéder au système de traitement, formation des collaborateurs aux exigences de sécurité, etc.

Protection des données sensibles

Classifiez, protégez et sécurisez vos données sensibles grâce au SecNumCloud

D’une certaine manière, la certification HDS renforce ces mesures de sécurité et prépare à la conformité avec le RGPD.

En ce sens, le respect de la norme ISO 27001 (norme internationale sur la sécurité des systèmes d’information) constitue une étape phare dans le processus d’obtention de la certification HDS, comme nous allons le voir.

Comment obtenir une certification HDS ?

La certification HDS peut être considérée comme une « surcouche » de la norme ISO 27001 sur la sécurité des systèmes d’information.

Un organisme qui ambitionne d’être certifié HDS doit donc, d’abord, obtenir la certification ISO 27001 en validant chacun des prérequis nécessaires.

Par la suite, la norme HDS est essentiellement contractuelle : elle définit un certain nombre d’engagements à prendre avec les clients et les partenaires.

Son obtention nécessite toutefois de présenter un grand nombre de preuves relatives à la sécurité des procédures de traitement des données de santé. Ces preuves concernent :

  • le système informatique (mise à disposition et maintien en condition opérationnelle de l’infrastructure physique ou virtuelle, sauvegarde des données, etc.),
  • le matériel (présence d’une déchiqueteuse sur le bureau pour détruire les documents),
  • les processus internes (onboarding, politique de sécurité, procédure de gestion des incidents, etc.).

Une entité qui souhaite obtenir la certification 27001, puis la certification HDS, doit donc passer un audit pour chaque étape. Le processus peut prendre jusqu’à deux ans.

Si les prestataires de services d’hébergement devaient auparavant obtenir un agrément pour devenir hébergeurs de données de santé, c’est désormais la certification HDS qui prévaut

Elle est délivrée par un organisme certificateur accrédité par le COFRAC (Comité Français d’Accréditation).

Le certificat est valable pour une durée de 3 ans et un audit est effectué tous les ans afin de vérifier la conformité.