La question de savoir où héberger les données de santé afin de respecter le RGPD revient souvent chez nos clients. Si vous travaillez dans le domaine de la santé, vous avez probablement déjà entendu parler des Hébergeurs de Données de Santé (HDS).

Mais êtes-vous concerné par cette norme ? Qui est considéré comme un Hébergeur de Données de Santé ? Et que faire de vos documents papiers ? Découvrez toutes les réponses sur les HDS et le RGPD.

En quelques mots, HDS & la norme 27001.

La norme ISO/CEI 27001 est un ensemble de normes internationales applicables aux technologies de l’information. Elle vise à aider les organisations de toute taille et de tout secteur d’activité à mettre en place un système efficace de gestion de la sécurité de l’information. Cette norme est basée sur une approche descendante, basée sur le risque, et est neutre sur le plan technologique.

Pour respecter cette norme, les organisations doivent identifier les informations sensibles ou précieuses qui doivent être protégées et déterminer les différentes façons dont elles pourraient être menacées. Ensuite, elles doivent mettre en place des contrôles pour atténuer chaque risque. Les risques incluent toute menace pour la confidentialité, l’intégrité ou la disponibilité des données.

Pour être certifié ISO/CEI 27001, les organisations doivent valider chaque prérequis de cette norme. Cela implique notamment de disposer d’un système de management de la sécurité de l’information (SMSI) qui couvre tous les aspects de la sécurité de l’information, de la gestion des risques à la mise en œuvre de contrôles appropriés. Le SMSI doit également être documenté, mis en œuvre, maintenu et amélioré en continu.

La norme HDS (Hébergeur de Données de Santé) est une surcouche de la norme ISO/CEI 27001, spécifiquement conçue pour les entreprises hébergeant des données de santé. Pour être certifié HDS, il est nécessaire de respecter les exigences de la norme 27001, ainsi que de prendre des engagements contractuels avec les clients et les partenaires.

Les engagements contractuels de la norme HDS incluent notamment :

• Un processus d’onboarding et d’offboarding : il s’agit des procédures suivies lors de l’ajout ou de la suppression de clients ou de partenaires, afin de s’assurer que toutes les données sont correctement gérées et protégées.
• Une politique de sécurité : il s’agit d’un document décrivant les règles et les procédures de sécurité mises en place par l’entreprise, ainsi que les responsabilités de chaque membre de l’organisation en matière de sécurité de l’information.
• Un processus de gestion des incidents : il s’agit des procédures suivies lorsqu’un incident de sécurité se produit, afin de gérer et de résoudre rapidement le problème et de minimiser les risques pour les données. Cela peut inclure la notification des parties concernées, l’analyse de la cause de l’incident, la mise en place de mesures de correction et de prévention, et la rédaction d’un rapport détaillé sur l’incident.

En plus de ces exigences, les entreprises certifiées HDS doivent également respecter toutes les réglementations et lois en vigueur concernant la protection des données de santé, comme le Règlement Général sur la Protection des Données (RGPD) en Europe.

En résumé, la norme HDS est une norme spécifique aux entreprises hébergeant des données de santé, qui vise à garantir la sécurité et la confidentialité de ces données. Pour être certifié HDS, il est nécessaire de respecter les exigences de la norme ISO/CEI 27001 et de prendre des engagements contractuels avec les clients et les partenaires, en mettant en place des procédures et des contrôles appropriés.

Qui est concerné par la norme HDS ?

La norme HDS (Hébergeur de Données de Santé) s’applique aux entreprises qui hébergent des données de santé, c’est-à-dire des informations sensibles concernant la santé physique ou mentale d’une personne. Ces données peuvent être produites par différents types de professionnels de santé, établissements et services de santé, ainsi que d’autres organismes qui réalisent des missions de prévention, de soins, de suivi médico-social et social.

Selon l’article L. 1111-8 du code de la santé publique, « sont concernés tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) qui produisent les données susmentionnées dans le cadre de leurs activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ».

En pratique, cela signifie que toute personne ou organisation qui produit des données de santé dans le cadre de ses activités de soins ou de suivi médico-social peut être concernée par la norme HDS. Cela inclut par exemple :

• Les médecins généralistes et spécialistes, les infirmiers, les kinésithérapeutes, les pharmaciens, etc.
• Les hôpitaux, cliniques, centres de santé, etc.
• Les laboratoires d’analyses médicales
• Les centres de soins et d’aide à la personne
• Les organismes de protection sociale (sécurité sociale, mutuelles, etc.)

Il est important de noter que la norme HDS s’applique uniquement aux entreprises qui hébergent des données de santé. Par exemple, une entreprise de télémédecine (qui propose des consultations médicales à distance) ne sera pas obligée de respecter la norme HDS, car elle ne produit pas elle-même des données de santé. Toutefois, cette entreprise devra respecter les réglementations en vigueur concernant la protection des données de santé, comme le Règlement Général sur la Protection des Données (RGPD).

Il existe également d’autres exceptions à la norme HDS. Par exemple, les entreprises qui traitent des données de santé à des fins de recherche ou d’étude peuvent être exonérées de la norme HDS si elles respectent les réglementations en vigueur en matière de protection des données de santé (comme le RGPD et le Code de la santé publique).

Pour conclure, la norme HDS concerne principalement les entreprises qui hébergent des données de santé produites par des professionnels de santé, établissements et services de santé, et autres organismes réalisant des missions de prévention, de soins, de suivi médico-social et social. Cependant, certaines exceptions peuvent être prévues pour certains types d’entreprises, comme les entreprises de télémédecine ou les entreprises qui traitent des données de santé à des fins de recherche ou d’étude. Il est important de noter que, quelle que soit leur activité, toutes les entreprises qui traitent des données de santé doivent respecter les réglementations en vigueur concernant la protection de ces données, comme le RGPD et le Code de la santé publique.

Plus d’information ? Utiliser notre formulaire

Choisir son hébergeur données de santé, les niveaux HDS & RGPD

Lorsque vous recherchez un hébergeur données de santé, HDS, vous pouvez choisir sur quel niveau vous voulez qu’il soit compétent. Il existe six niveaux HDS :

Hébergeur d’infrastructure physique : Niveaux 1 et 2

Les descriptions officielles des niveaux 1 & 2 sont :

1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé. Cela implique que l’hébergeur doit être en mesure de fournir un site physique sécurisé pour héberger les équipements informatiques utilisés pour le traitement des données de santé. Si l’hébergeur ne couvre pas ce niveau, il ne pourra pas garantir la sécurité et la confidentialité des données de santé hébergées.
2. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé. Cela implique que l’hébergeur doit être en mesure de maintenir et de suivre les équipements informatiques utilisés pour le traitement des données de santé afin de garantir leur fonctionnement optimal. Si l’hébergeur ne couvre pas ce niveau, il ne pourra pas garantir la disponibilité et la qualité des données de santé hébergées.

Hébergeur Infogéreur : Niveaux 3 à 6

3. La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information. Cela implique que l’hébergeur doit être en mesure de mettre à disposition des serveurs et des bases de données pour l’hébergement d’applications. Si l’hébergeur ne couvre pas ce niveau, il ne pourra pas garantir la disponibilité et la qualité des applications utilisées pour le traitement des données de santé.
4. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé. Cela implique que l’hébergeur doit être en mesure de mettre en place des réseaux privés virtuels (VPN) pour assurer la sécurité des données de santé lors de leur transmission. Si l’hébergeur ne couvre pas ce niveau, il ne pourra pas garantir la sécurité et la confidentialité des données de santé lors de leur transmission.
5. L’administration et l’exploitation du système d’information contenant les données de santé. Cela implique que l’hébergeur doit être en mesure de gérer les utilisateurs, les droits d’accès et tous les autres aspects de l’administration du système d’information utilisé pour le traitement des données de santé. Si l’hébergeur ne couvre pas ce niveau, il ne pourra pas garantir la sécurité et la confidentialité des données de santé hébergées.
6. La sauvegarde de données de santé. Cela implique que l’hébergeur doit être en mesure de mettre en place des procédures de sauvegarde régulières pour assurer la disponibilité des données de santé en cas de perte ou de dysfonctionnement. Si l’hébergeur ne couvre pas ce niveau, il ne pourra pas garantir la disponibilité des données de santé en cas de problème.

Il est donc essentiel de choisir un hébergeur qui couvre l’ensemble de ces 6 niveaux d’Activités HDS afin de garantir la sécurité, la confidentialité et la qualité des données de santé hébergées. Si vous ne le faites pas, vous courrez le risque de mettre en danger la sécurité et la confidentialité de vos données de santé, ce qui peut avoir des conséquences graves sur vos patients et votre entreprise. N’oubliez pas également de vous assurer que l’hébergeur que vous choisissez est en conformité avec les réglementations et les normes en vigueur, comme le RGPD et la norme HDS, afin de protéger au mieux vos données de santé.

Définitions importantes :

• Audit : c’est un examen approfondi et critique des activités, des comptes, des documents et des systèmes d’une organisation, effectué par un tiers indépendant afin de vérifier leur conformité à des normes ou à des critères prédéfinis. L’audit des applications et des accès consiste à vérifier que les applications et les accès aux données sont sécurisés et conformes aux règles de sécurité établies.
• Infogérance : c’est la prestation de services de gestion et de maintenance d’un système d’information par une entreprise tierce. L’infogérance vise à garantir la stabilité de la plateforme et de son accessibilité, en veillant à la maintenance et à la mise à jour du système d’information.
• Cybersécurité : c’est l’ensemble des mesures prises pour protéger les systèmes d’information contre les attaques et les intrusions. La cybersécurité vise à garantir la sécurité des données et des systèmes contre les menaces en ligne.
• Backup : c’est l’opération consistant à sauvegarder les données d’un ordinateur ou d’un réseau sur un support de stockage externe, afin de pouvoir les récupérer en cas de perte ou de dysfonctionnement. Le backup vise à garantir la rétention des données, c’est-à-dire la possibilité de les récupérer en cas de besoin.

Vous pouvez retrouver sur ce site les entreprises certifiées et leur niveau de certification.

Concrètement HDS & RGPD

Le HDS est une norme cruciale pour la sécurité et la confidentialité des données de santé. Assurez-vous que votre hébergeur est certifié HDS pour protéger au mieux vos données sensibles.

Puis-je faire héberger mes données de santé chez un archiviste ?

Il est possible de faire héberger vos données de santé chez un archiviste, mais on parlera de données de santé sous forme papier, dans ce cas. Un archiviste est une personne chargée de la collecte, de la conservation et de la mise à disposition de documents d’archives.

Cependant, lorsque vous passé par une société d’archivage, il faut bien faire attention au type de données qui sont confiées car les normes ne sont pas les mêmes pour le numérique et le papier :

• Dans le premier cas, l’hébergement de données de santé à caractère personnel est réalisé sur support numérique : l’hébergeur doit être certifié hébergeur de données de santé par un organisme certificateur accrédité par la COFRAC (articles R. 1111-9 et suivants du code de la santé publique).

• Dans le second cas, l’hébergement de données de santé à caractère personnel est réalisé sur support papier : l’hébergeur doit être agréé hébergeur de données de santé par le ministère de la Culture (articles R. 1111-16 et suivants du code de la santé publique).

L’archiviste hébergeant de la donnée de santé sur support numérique, même temporairement, devient hébergeur données de santé et doit être conforme à la certification HDS.

Il est important de vérifier que l’hébergeur choisi remplit bien les critères de certification ou d’agrément selon le cas, afin de garantir la sécurité et la confidentialité de vos données de santé.

Archiviste support papier HDS & RGPD

Dans le cas de l’hébergement sur support papier de dossiers contenant des données de santé, l’article R. 1111-16 du CSP précité indique que :
« […] Le contrat de prestation d’hébergement cité au deuxième alinéa de l’article L. 1111-8 contient au moins les clauses suivantes :
[…]
3° La description des moyens mis en œuvre par le dépositaire pour mettre les données hébergées à disposition des professionnels ou établissement de santé ayant souscrit le contrat ;

4° Les modalités retenues pour que l’accès aux données de santé à caractère personnel et leur transmission éventuelle n’aient lieu qu’avec l’accord des personnes concernées et par les personnes désignées par elles ainsi que les dispositifs permettant d’assurer cet accès et cette éventuelle transmission ; »

Selon le code de la santé publique, un contrat doit être signé entre le professionnel de santé ou l’établissement de santé et l’hébergeur de données de santé. Ce contrat spécifique à l’activité d’hébergement définit les conditions d’accès aux données hébergées par les personnes travaillant sous la responsabilité de l’hébergeur.

Le RGPD établit également des règles pour encadrer les relations entre le responsable de traitement (c’est-à-dire le professionnel de santé ou l’établissement de santé) et le sous-traitant (c’est-à-dire l’hébergeur de données de santé). Selon cette réglementation, le sous-traitant ne doit traiter les données à caractère personnel que sur instruction documentée du responsable de traitement et doit veiller à ce que les personnes autorisées à traiter ces données s’engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.

Enfin, le responsable de traitement ne doit recourir qu’à des sous-traitants « qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Cela signifie que le responsable de traitement doit veiller à prévoir par contrat ou tout autre acte juridique les contraintes minimales qu’il souhaite imposer au sous-traitant, en plus des obligations qui incombent à ce dernier en termes de protection des données à caractère personnel. Le sous-traitant n’est donc pas exempté des obligations qui incombent au responsable de traitement.

Votre archiviste doit avoir les mêmes contraintes d’accès que vous pour les dossiers médicaux : seul le corps médical peut donc consulter un dossier papier.

Contactez-nous pour toutes vos questions par l’intermédiaire de notre formulaire ou par le tchat.