Qu’est-ce que les données de santé ?

Les données de santé sont des données à caractère personnel relatives à la santé physique ou mentale d’une personne. Elles sont qualifiées de « sensibles » car leur divulgation ou leur mauvaise utilisation peut porter atteinte à la vie privée des personnes concernées. Leur traitement est de plus en plus souvent informatisé. Afin de renforcer leur protection, la Loi Informatique et Libertés et le Code de la santé publique encadrent la collecte, le traitement et la conservation de ces données sensibles.

Comment sont-elles protégées ?

Dans l’intention de garantir la confidentialité et la sécurité des données de santé à caractère personnel, la législation impose à tout prestataire d’hébergement de ces données, l’obtention de l’agrément HDS (Hébergeur des Données de Santé).Il est encadré par le décret n°2006-6 du 4 janvier 2006 et délivré par le ministre chargé de la santé pour une durée de trois ans, après que la CNIL ai rendu son avis et qu’un comité d’agrément spécialement créé et placé auprès de lui ai également rendu un avis. La demande d’agrément se présente sous forme d’un dossier déclaratif.

Les particularités de l’agrément HDS tiennent surtout au respect du droit des patients, à des précisions sur la sauvegarde et la traçabilité des données hébergées.

La certification selon la norme internationale ISO 27001 n’est pas obligatoire. Elle permet de démontrer le respect de certaines règles de sécurité pour les systèmes d’information, et représente un gage de qualité et un atout commercial important pour le déploiement de projets IT à l’international.

Quels sont les changements récents ?

Jusqu’il y a un an encore, seul l’agrément faisait foi, mais avec la loi santé du 26 janvier 2016 (dénommée « loi de modernisation de notre système de santé ») le cadre juridique change une nouvelle fois. Cela en remplaçant notamment, la procédure d’agrément par une procédure de certification. Ainsi, la mise en œuvre de la nouvelle procédure vise à renforcer le contrôle de la sécurité par l’intervention d’un organisme certificateur indépendant.

Le référentiel tel que présenté par l’ASIP Santé (Agence des Systèmes d’Information Partagés de santé) exige de l’hébergeur des données de santé :

• D’exploiter un système de gestion de la sécurité des informations conforme à la norme ISO/CEI 27001 : 2013 « Management de la sécurité de l’information », sur le périmètre du système de gestion de la sécurité des informations pour le métier « hébergeur d’infrastructure » ou le métier « hébergeur infogérant »

• D’être évalué pour la conformité vis-à-vis :

 – d’exigences relatives à la protection des données à caractère personnel qui s’appuient sur l’ISO 27018 :2014 « Technologies de l’information — Techniques de sécurité »

 – d’exigences relatives à la gestion des services qui s’appuient sur l’ISO 20000 : 2011 «Technologies de l’information — Gestion des services »

 – d’exigences spécifiques au domaine de la santé .

C’est la publication au Journal officiel du 13 janvier 2017 de l’ordonnance n° 2017-27 relative à l’hébergement de données de santé à caractère personnel qui remplace officiellement l’agrément par une certification. Il fixe également le délai de mise en œuvre qui s’appliquera à « une date fixée par décret et au plus tard le 1er janvier 2019 ».

Ainsi, la procédure d’agrément reste valable encore quelque temps. Ceux qui souhaitent devenir hébergeur ou renouveler leur agrément peuvent continuer à déposer leur dossier. Les demandes déposées avant la date d’entrée en vigueur de la procédure de certification (qui sera fixée définitivement par décret) seront encore traitées comme des demandes d’agrément ou de renouvellement (même si le délai d’instruction du dossier dépasse la date de changement de modèle).

Pour ceux dont l’échéance de renouvellement arrive après cette date, ils disposeront d’un délai de 12 mois pour se mettre en conformité et obtenir la certification.

L’un des changements principaux entre la procédure d’agrément existante et la procédure de certification à venir est la réalisation d’un audit sur site annuellement jusqu’au renouvellement de la certification à l’issue des trois ans.

Quelles sont les nouvelles exigences ?

Les nouvelles exigences HDS reposant sur quatre sources distinctes, l’ASIP Santé prévoit trois cas de figure :

• le candidat possède les certifications ISO 27001 et ISO 20000 :

– une vérification sera opérée pour ces deux certifications

– les exigences ISO 27018 et spécifiques santé seront auditées

• le candidat possède la certification ISO 27001 :

– une vérification sera opérée sur cette certification

– les exigences ISO 20000, ISO 27018 et spécifiques santé seront auditées

• le candidat ne possède aucune certification :

– il devra obtenir la certification ISO 27001 auprès du certificateur HDS ou de tout autre certificateur habilité

– les exigences ISO 20000, ISO 27018 et spécifiques santé seront auditées.

A la lumière de ce référentiel, les hébergeurs doivent fortement anticiper cette certification.

Sources :

http://esante.gouv.fr/actus/services/agrement-des-hebergeurs-de-donnees-de-sante-publication-du-referentiel-de

http://www.ticsante.com/Hebergement-des-donnees-de-sante-le-referentiel-de-certification-a-l-heure-du-compromis-NS_3287.html

https://www.digitemis.com/2017/02/17/devenir-hebergeur-sante/#!

https://www.alain-bensoussan.com/avocats/hebergement-referentiel-certification/2017/01/18/