Veuillez entrer au moins trois caractères pour la recherche

Synthèse de l’article

  • La certification HDS est une obligation légale pour toute organisation qui héberge des données de santé
  • Elle garantit le respect strict des normes de sécurité et de confidentialité des données de santé
  • L’obtention de la norme implique une évaluation initiale et un audit de conformité approfondi

Dans le secteur de la santé, la protection des données constitue une priorité absolue face aux enjeux éthiques et à la confidentialité des informations médicales. Ces données hautement sensibles circulent entre professionnels, prestataires et partenaires, nécessitant des garanties de sécurité strictes. La Certification Hébergeur de Données de Santé (HDS) s’impose ainsi comme un cadre de référence qui assure la conformité réglementaire et une protection optimale des données de santé.

Qu’est-ce que la certification HDS ?

La certification HDS (Hébergeur des données de santé) est une norme française reconnue qui atteste de la capacité d’un hébergeur à garantir la sécurité, l’intégrité et la confidentialité des données.

Obligatoire en France, elle remplace l’ancien agrément HADS et s’appuie sur la norme ISO 27001 pour établir un cadre structuré de gestion des risques.

Elle s’adresse à toute organisation qui héberge ou traite des données médicales à caractère personnel, comme :

  • Les établissements de santé ;
  • Les éditeurs de logiciels médicaux ;
  • Les prestataires de services cloud.

Qui est concerné par la certification HDS ?

La certification HDS concerne tous les acteurs qui hébergent des données de santé à caractère personnel, exploitent un système d’information de santé, ou s’occupent de stocker et/ou de sauvegarder des données de ce type pour le compte d’un tiers. La certification des hébergeurs de données de santé est donc une obligation légale.

La loi française impose aux établissements de santé et médico-sociaux (hôpitaux, cliniques, laboratoires, pharmacies, entreprises pharmaceutiques, maisons de santé, EHPAD, …) ainsi qu’aux professionnels (médecins, infirmier·ères, radiologues, …) qui gèrent des données sensibles d’avoir recours aux services d’un fournisseur Cloud offrant toutes les garanties de sécurité nécessaires – autrement dit, un prestataire certifié HDS, (Code de la Santé Publique, article L1111-8).

Le prestataire de services Cloud s’attache ainsi à respecter les exigences réglementaires pour le compte de son client. Plus particulièrement, la certification HDS concerne plusieurs activités, classées dans deux catégories :

  • Pour l’hébergeur d’infrastructure physique : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information employé pour réaliser le traitement des données de santé, ou des sites physiques (datacenters) qui hébergent l’infrastructure matérielle utilisée dans le même but.
  • Pour l’hébergeur en infogérance : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle ou de la plateforme d’hébergement d’applications du système d’information ; la gestion et l’exploitation du système d’information ; et la sauvegarde des données de santé.

Comment obtenir la certification HDS ?

La certification HDS s’appuie sur la norme ISO 27001 en matière de sécurité des données et agit comme une « surcouche » à cette dernière. Pour être certifié HDS, une organisation doit d’abord obtenir la certification ISO 27001 et répondre à l’ensemble des prérequis exigés.

La collaboration sécurisée et souveraine

Découvrez notre solution de collaboration sécurisée, hébergée en France et certifiée HDS.

Le certificat HDS se distingue par son approche contractuelle : il impose aux hébergeurs de prendre des engagements spécifiques vis-à-vis de leurs clients et partenaires. Pour l’obtenir, l’organisation doit fournir de nombreuses preuves démontrant la sécurisation des procédures de traitement des données de santé, notamment :

  • Le système informatique : gestion et maintien en condition opérationnelle des infrastructures physiques ou virtuelles, sauvegarde des données, etc.
  • Le matériel : mise en place de dispositifs sécurisés, comme une déchiqueteuse pour la destruction des documents sensibles.
  • Les processus internes : intégration des collaborateurs (onboarding), politique de sécurité, gestion des incidents, etc.

Chaque étape vers la certification HDS nécessite un audit approfondi, et le processus complet peut s’étaler sur une durée pouvant atteindre deux ans. Alors que l’ancien agrément HADS était requis pour devenir hébergeur de données de santé, ce rôle est désormais assumé par la certification HDS.

La norme HDS est délivrée par un organisme certificateur accrédité par le COFRAC (Comité Français d’Accréditation), pour une durée de trois ans, avec des audits annuels afin de s’assurer de la conformité continue.

Pourquoi choisir un prestataire certifié HDS ?

Le référentiel HDS constitue un gage de confiance pour l’ensemble du secteur de la santé. Elle permet aux professionnels de santé de travailler avec des prestataires capables de garantir :

  • Une conformité totale avec les réglementations en vigueur ;
  • Une protection renforcée des données sensibles ;
  • Une transparence et une fiabilité accrues.

Dans un contexte de risque cyber croissant, les professionnels peuvent ainsi identifier les fournisseurs certifiés HDS répondant aux exigences réglementaires et aux attentes des patients.