Qu est-ce que l hebergement de donnees de sante (HDS)
L hebergement de donnees de sante (HDS) designe toute activite consistant a stocker, conserver ou rendre accessibles des donnees de sante a caractere personnel recueillies a l occasion d activites de prevention, de diagnostic, de soins ou de suivi medico-social. Depuis 2018, la certification HDS a remplace l ancien agrement delivre par le ministere de la Sante. Cette certification est obligatoire pour tout prestataire qui heberge des donnees de sante pour le compte d un tiers, qu il s agisse d un hebergeur cloud, d un editeur de logiciel ou d un infogérant.
Le cadre reglementaire de l HDS est defini par l article L.1111-8 du Code de la sante publique et le decret n 2018-137 du 26 fevrier 2018. Ces textes imposent que l hebergement de donnees de sante soit realise dans des conditions de securite adaptees a la sensibilite de ces informations. L objectif est de garantir la confidentialite, l integrite et la disponibilite des donnees de sante des patients.
Qui est concerne par la certification HDS
La certification HDS concerne deux grandes categories d acteurs. Les hebergeurs d infrastructure physique, qui fournissent les locaux, l energie et le refroidissement des equipements informatiques. Et les hebergeurs infogérants, qui assurent l administration et l exploitation des systemes d information contenant des donnees de sante. Un meme prestataire peut cumuler les deux activites.
Les etablissements de sante qui hebergent leurs propres donnees dans leurs locaux ne sont pas soumis a la certification HDS. En revanche, des qu un tiers intervient dans l hebergement, meme partiellement, la certification devient obligatoire. Cela concerne donc les solutions cloud (SaaS, IaaS, PaaS), les prestataires d infogérance, les editeurs de logiciels qui hebergent les donnees de leurs clients, et les societes de sauvegarde externalisee.
Les exigences de la certification HDS
La certification HDS repose sur un referentiel qui integre les normes ISO 27001 (systeme de management de la securite de l information), ISO 27018 (protection des donnees personnelles dans le cloud) et ISO 27017 (securite du cloud computing). L hebergeur doit demontrer qu il a mis en place un systeme de management de la securite de l information (SMSI) adapte aux donnees de sante.
Parmi les exigences specifiques figurent la localisation des donnees sur le territoire de l Union europeenne, la mise en oeuvre de mesures de chiffrement au repos et en transit, la gestion stricte des acces avec authentification forte, la journalisation de tous les acces aux donnees, la mise en place de plans de continuite et de reprise d activite, et la realisation reguliere de tests d intrusion et d audits de securite.
Le processus de certification
La certification HDS est delivree par des organismes certificateurs accredites par le COFRAC (Comite francais d accreditation). Le processus comprend un audit documentaire pour verifier la conformite du systeme de management, suivi d un audit sur site pour evaluer la mise en oeuvre effective des mesures de securite. La certification est valable trois ans, avec un audit de surveillance annuel pour verifier le maintien de la conformite.
Le cout de la certification varie selon la taille de l organisme et le perimetre des activites certifiees. Il comprend les frais d audit, les eventuels travaux de mise en conformite prealables, et le cout du maintien du systeme de management. Pour les petites structures, le processus peut representer un investissement significatif, ce qui explique que de nombreux acteurs preferent recourir a un hebergeur deja certifie.
Comment choisir un hebergeur certifie HDS
Le choix d un hebergeur HDS ne doit pas se limiter a la verification du certificat. Plusieurs criteres doivent etre examines : le perimetre exact de la certification (infrastructure physique, infogérance, ou les deux), la localisation des datacenters (privilegier la France ou l Union europeenne), les garanties de disponibilite (SLA), les modalites de sauvegarde et de restauration, et la capacite a accompagner l etablissement en cas d incident de securite.
La liste des hebergeurs certifies HDS est publiee par l Agence du Numerique en Sante (ANS). Parmi les acteurs majeurs figurent OVHcloud, Scaleway, Outscale, et les grandes entreprises de services numeriques (ESN) disposant de datacenters en France. Il est important de verifier la date de validite du certificat et de s assurer que le perimetre certifie couvre bien les services utilises par l etablissement.
Les sanctions en cas de non-respect de l obligation HDS
Le non-respect de l obligation d hebergement certifie HDS expose le responsable de traitement et l hebergeur a des sanctions. L article L.1115-2 du Code de la sante publique prevoit des sanctions penales pouvant aller jusqu a trois ans d emprisonnement et 45 000 euros d amende. La CNIL peut egalement prononcer des sanctions au titre du RGPD, pouvant atteindre 20 millions d euros ou 4 % du chiffre d affaires annuel. Au-dela des sanctions, le choix d un hebergeur non certifie met en danger les donnees des patients et la reputation de l etablissement.
Article redige par Laurent de Cavel, DPO certifie. Pour toute question sur l hebergement de donnees de sante, contactez notre equipe sur dpo-france.com.
