Scroll Top
hébergemenr des données de santé
Partager l'article



*




Le GHT et la convergence des systèmes d’information sont assurément des sujets à l’agenda de tout directeur d’établissement membre d’un GHT et de son DSI. Le RGPD est quant à lui un vrai projet à court, moyen et long terme de conformité. L’équipée ne serait probablement pas complète si nous n’évoquions pas ici le HDS. Il semble en effet que le HDS soit devenu au fil de ces derniers mois un vrai sujet tant au plan juridico-technique qu’opérationnel. En voici les quatre principaux enjeux :

L’hébergement de données de santé rejoint le périmètre des activités soumises à certification

Depuis une ordonnance du 12 janvier 2017 complétée par un récent décret du 26 février 2018, les hébergeurs de données de santé (HDS) ne sont plus soumis à un agrément du ministre chargé de la santé après avis de la CNIL tel qu’applicable jusqu’à lors, mais à une certification. Les candidats au statut d’hébergeur de données de santé devront à présent obtenir un certificat de la part d’un organisme certificateur lui-même accrédité par le COFRAC (ou équivalent européen). Le candidat aura le choix de son organisme certificateur.

Le certificat sera délivré à l’issue d’un audit documentaire puis d’un audit sur site. Il sera valable 3 ans. Les premiers audits de certification devraient débuter prochainement. Cet audit durera vraisemblablement entre six et neuf mois, sachant que l’hébergeur disposera de trois mois à l’issue de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer les corrections par l’organisme certificateur. Passé ce délai et sans action de l’hébergeur, l’audit sur site devra être recommencé.

Premier enjeu : ce nouveau dispositif aura un coût financier plus élevé que précédemment pour les établissements qui souhaiteront être certifié HDS. Il devra être budgété.

Le RGPD et la sécurité des SI au centre de la certification

Le référentiel d’accréditation et celui de certification sont attendus très prochainement dans le cadre d’un arrêté du ministre de la santé. Ce référentiel est déjà parfaitement connu :

  • L’intégralité de la norme ISO-27001 (système de gestion de la sécurité des systèmes d’information),
  • Deux chapitres de la norme ISO-20000 (système de gestion de la qualité des services),
  • Un chapitre de la norme ISO-27017 (protection des données à caractère personnel),
  • 80% de la norme 27018 (protection des informations personnelles identifiables dans l’informatique en nuage public),
  • Plus des exigences spécifiques au HDS.

Deuxième enjeu : les établissements déjà vertueux au regard du RGPD et de la sécurité des systèmes d’information partiront en bien meilleure posture pour traverser un audit de certification qui sera nécessairement sévère.

La certification est à présent à périmètre variable 

Le nouveau décret du 26 février 2018 inaugure également une subdivision au sein des hébergeurs de données de santé certifiés. Deux types de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts :

  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux et d’hébergement physique et d’infrastructure matérielle ;
  • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Troisième enjeu : les établissements supports des GHT qui ont en principe l’obligation de recourir à un hébergement certifié et qui s’interrogent sur l’alternative d’une certification HDS en propre ou sur un scénario d’externalisation chez un opérateur tiers déjà certifié, devront y prêter attention.

Nombre d’HDS aujourd’hui ne sont agréés (et bientôt certifiés) que pour des prestations d’hébergement des « couches basses » : salles blanches, serveurs physiques. Leurs prestations restent limitées à l’infrastructure logique serveur et réseaux. Ces hébergeurs n’assurent ainsi pas la sécurité sur les couches applicatives, notamment concernant la gestion des identités et des accès. Si les données hébergées sur l’application, le DPI par exemple, sont celles de l’établissement, il conservera la responsabilité de sa sécurité comme si le DPI était localisé sur ses serveurs internes.

En revanche, si cette application accueille des données de santé concernant des patients d’un autre établissement, même au sein du GHT, l’établissement support aura l’obligation de recourir à un hébergement certifié également au titre de cette « couche applicative ».

Deux solutions alors :

  • Soit l’HDS choisi est agréé/certifié pour un infogérance complète ;
  • Soit selon ce qui nous semble correspondre à ce qu’envisagent les DSI des établissements supports, l’application (le DPI) bien qu’hébergé physiquement « hors les murs » n’a pas vocation à être infogéré mais bien à rester géré en interne ; alors l’établissement support devra obtenir un certificat « infogéreur ».

Le dispositif HDS s’étend à l’archivage

C’est aussi une autre particularité du nouveau dispositif issu de l’ordonnance du 12 janvier 2017 par rapport à l’ancien : il existe à présent plusieurs catégories d’hébergeur de données de santé. Outre l’hébergeur sur support numérique, certifié, que nous venons d’évoquer, il existe à présent l’hébergeur de données de santé sur support numérique dans le cadre d’un service d’archivage électronique agréé par le Ministre de la Culture mais également l’hébergeur de données de santé sur support papier, toujours agréé par le Ministre de la Culture.

Quatrième enjeu qui intéressera tous les établissements sans exception : l’archivage des données personnelles notamment de santé, sujet auquel la CNIL est attachée. Le RGPD fera très bientôt sonner plus fort encore la question de l’archivage des dossiers patients informatisés inactifs depuis plus de cinq ans.

Dans ce cadre, la politique d’archivage des dossiers numériques devra être posée : quand et comment archive-t-on les dossiers patients ? Qui pourra y accéder, pourquoi et comment ? Le recours à un HDS dans le cadre d’un service d’archivage électronique agréé par le Ministre de la Culture pourra être une solution alternative à l’archivage sur un SAE interne dont on connaît le coût élevé.

Dans tous les cas, le RGPD signifie aussi projet d’archivage électronique.