Protéger les données de santé avec HDS

Vous avez peut-être entendu parler d’une fuite de données médicales qui a eu lieu en mars 2022, touchant près de 510 000 personnes. Vous vous posez peut-être des questions sur la sécurité de vos données de santé dans un monde où les informations circulent largement.

C’est pourquoi la norme HDS (Hébergeur de Données de Santé) a été mise en place pour garantir la sécurité de l’hébergement des données de santé en France. Elle impose des exigences rigoureuses en matière de sécurité physique et logique, de gestion des incidents, de gestion des risques et de gestion des sauvegardes pour assurer la confidentialité, l’intégrité et la disponibilité des données de santé. Cet article vous en dira plus sur l’importance de la norme HDS et comment elle contribue à protéger vos données de santé.

HDS c’est quoi ?

hébergement HDS

La norme HDS (Hébergeur de Données de Santé) est une norme obligatoire en France pour les entreprises externes qui s’occupent de l’hébergement de données de santé. Chacun des hébergeurs de données de santé qui ne sont pas directement du milieu médical doivent l’obtenir. Cette norme est plutôt contractuelle mais la certification n’est pas pour autant facile à obtenir. En effet, pour être en conformité avec cette dernière, il faut respecter tout un ensemble de procédures, de politiques de sécurité et surtout maintenir une traçabilité irréprochable afin de pouvoir fournir des preuves des bonnes pratiques respectées. Nous aborderons le processus de certification et la façon de respecter les exigences HDS plus en détail à la fin de cet article.

Vous l’aurez compris, la norme HDS est exigeante. Mais pour autant, ce qui rend un hébergeur de données de santé sécurisé n’est pas tant le certificat HDS à lui seul. C’est aussi le fait que la norme HDS soit en réalité une surcouche de la norme ISO 27001. C’est-à-dire que pour être certifié HDS, vous devez au préalable être certifié ISO 27001.

Qu’est-ce que la norme ISO 27001 ?

Logo ISO 27001

La norme ISO 27001 est une norme internationale qui s’adresse à tout type d’organisme. Elle a pour but de définir les exigences pour l’établissement, la mise en place, la tenue à jour et l’amélioration d’un système de management de la sécurité (SMSI). L’objectif de ce SMSI, quant à lui, est de maintenir l’intégrité, la confidentialité et la disponibilité du système d’information. En d’autres termes, il sécurise vos données.

Autant dire que pour obtenir la certification ISO 27001 et donc par la suite la certification HDS, il faut que l’hébergeur de santé soit doté d’un système de management de la sécurité efficace, toujours à jour et en perpétuel amélioration.

Une évaluation des risques ainsi qu’une méthodologie de traitement de risque sont également mise en place. Le but est de pouvoir identifier toutes les sources de risques liées au système et de savoir réagir rapidement. Vous pouvez d’ailleurs retrouver notre explication sur comment rédiger une méthodologie d’évaluation et de traitement de risque conforme à la norme ISO 27001. Enfin, il faut pouvoir montrer patte blanche sur tout ce qui a été fait dans le SMSI. Notamment en ce qui concerne les données avec une importance toute particulière pour la journalisation des événements. Que ce soit des connexions, des manipulations de données ou encore des sauvegardes, tout doit être journalisé afin de pouvoir suivre ce qu’il se passe dans le système. Ce qui devrait vous rassurer quant à l’hébergement de vos données de santé.

Pourquoi être certifié HDS ?

Ce processus peut-être long et coûteux pour une entreprise. Il est alors légitime de vous demander pourquoi s’engager dans ce processus qu’est la certification HDS. La raison est toute simple : c’est une obligation ! En effet, si vous êtes concerné par les critères d’obligation décrit dans la suite de l’article, alors vous devez impérativement obtenir cette certification. Si vous ne l’obtenez pas, alors vous devrez renoncer à la part de marché des données de santé. Cela peut être une grosse perte pour vous et votre organisme.

De plus, les certifications apportent une confiance de la part de vos partenaires, prospects et clients et une légitimité à l’entreprise. D’autant plus que la norme ISO 27001 et HDS sont des normes internationales et peuvent donc vous apporter une autre dimension. Lorsqu’un client cherche une entreprise avec qui travailler, il s’orientera toujours vers celle qui est la mieux qualifiée. Quoi de mieux pour prouver sa valeur que des certifications ?

Suis-je concerné par la conformité HDS ?

Maintenant que nous vous avons démontré l’importance des certifications ISO27001 et HDS, vous vous demandez peut-être qui elle concerne et plus spécifiquement, est-ce qu’elle vous concerne ?

Tout d’abord avant de se demander si elle vous concerne, il est important de définir ce que sont en pratique ces fameuses données de santé. L’article officiel du CNIL défini comme une donnée de santé toute données relative à la santé d’un individu. Ces données peuvent concerner votre état de santé mental ou physique actuel, passé ou futur. Pour résumer, du moment que la donnée permet de déduire l’état de santé d’un individu, cela est considérée une donnée de santé.

Maintenant que les bases sont établies, est-ce que vous êtes concerné par la certification HDS ?

Le ministère de la solidarité et de la santé a défini la certification HDS obligatoire aux organismes qui :

  • Proposent un service d’hébergement portant sur des données de santé à caractère personnel. On retrouve par exemple les diagnostiques médicaux, les activités de soin ou de prévention, etc…
  • Proposent un service d’hébergement pour le compte de patients, de professionnels, d’établissements ou de services santé.

Donc si vous êtes dans l’un de ces cas ou que vous manipulez des données qui vous semble être des données de santé au vu de la définition du CNIL, il est obligatoire pour vous de passer la certification HDS.

Cependant, il faut savoir que cette certification est obligatoire aux hébergeurs de données de santé mais elle ne leur est pas exclusivement réservée. En effet, vous n’hébergez peut-être pas directement des données de santé, mais vous travaillez en collaboration avec des organismes pour qui c’est le cas ? Ou encore, vous faites de l’infogérance pour de tels organismes ? Bref, une multitude de raisons peuvent justifier que vous aussi vous passiez le cap de la certification HDS. Pour certains, c’est une obligation, mais pour d’autres cela peut être un gage de sécurité, de qualité et de légitimé à présenter à leurs clients ou à leurs partenaires.

Si vous vous intéressez par une certification ou que vous vous posez des questions à ce sujet, je vous propose d’aller voir la page de notre site internet concernant la certification HDS. Nous pouvons vous proposer un hébergement certifié HDS ainsi que des services d’infogérance. Pour plus de détails, vous pouvez nous contacter toujours via notre site internet.

Données de santé et RGPD

Vous connaissez tous le Règlement Général sur la Protection des Données (RGPD). Ce règlement définit la façon dont les organismes doivent gérer les données personnelles en Europe. Cette législation définit les données de santé comme une catégorie particulière de données personnelles considérées comme sensibles. Pour cette raison, les données de santé ne doivent être traitées qu’à des fins médicales. Le traitement autre que médicale est interdit sauf en cas de don de consentement de la personne concernée.

Ce règlement doit impérativement être respecté car dans le cas contraire, vous encourez des sanctions RGPD telles que des amendes voire des suspensions d’activité le temps de se mettre en conformité. Et cela peut avoir de lourde conséquence sur votre activité. De façon générale, si vous voulez obtenir vos certifications ISO 27001 et HDS, vous devez impérativement être en conformité avec le RGPD. Retrouver nos conseils pour un bon audit de conformité RGPD.

Les niveaux de la norme HDS

La norme HDS est constituée de 2 périmètres décomposés en 6 niveaux. Au moment de votre demande de certification HDS, vous pourrez préciser sur quel niveau vous voulez être évalué. En fonction de votre corps de métier, vous pouvez choisir d’être certifié sur certains niveaux en particulier ou sur tous les niveaux. LecPac-Consulting est par exemple certifié ISO 27001 et HDS sur tous les niveaux (1, 2, 3, 4, 5 et 6). Cependant, d’autres organismes peuvent avoir les certifications de niveau 1 à 2 ou 3 à 6 par exemple. Vous pouvez retrouver la liste des organismes certifié HDS ainsi que leurs niveaux de certification en ligne. Grâce à cela, vous pouvez vérifier qu’un hébergeur est bien certifié HDS.

Voyons dans le détail à quoi correspond chacun des périmètres :

Périmètre 1
Certification HDS périmètre 1 : Hébergeur d'infrastructure physique.
Niveau 1 et 2 Certification HDS

Ce 1er périmètre concerne les hébergeurs d’infrastructure physique. Concrètement, cela vous concerne si vous possédez des serveurs physiques ou que vous mettez à disposition des infrastructures matérielles.

  • Le niveau 1 : ce niveau concerne les organismes qui s’occupent de mettre à disposition ou de faire la maintenance d’un site physique qui a pour but d’héberger l’infrastructure matérielle qui s’occupera du traitement des données de santé.
  • Le niveau 2 : ce niveau concerne les organismes qui s’occupent de mettre à disposition et de faire la maintenance l’infrastructure matérielle utilisée pour traiter les données.

Vous l’aurez compris, le premier périmètre de la norme HDS vous concerne seulement si vous vous occupez de la partie physique du traitement des données de santé. Par exemple, si d’autres organismes louent des emplacements dans votre Datacenter sécurisé. Alors dans ce cas, vous n’aurez à passer que la certification HDS niveau 1. Maintenant, si vous avez un Datacenter avec vos propres serveurs alors vous aurez à passer le niveau 1 et 2.

Périmètre 2
certification HDS périmètre 2 : Hébergeur Infogéreur
Niveau 3 à 6 Certification HDS

Ce 2ème périmètre concerne les hébergeurs infogéreurs. Cette fois-ci, cela vous concerne si vous mettez à disposition des infrastructures virtuelles, des plateformes logicielle ou encore des plateforme d’administration/d’exploitation et de sauvegarde externalisée.

  • Le niveau 3 : ce niveau concerne les organismes qui s’occupent de mettre à disposition et de faire la maintenance de plateformes servant à héberger les applications et à gérer les serveurs. Par exemple les hyperviseurs.
  • Le niveau 4 : ce niveau concerne les organismes qui s’occupent de mettre à disposition et de faire la maintenance d’infrastructure virtuelle qui permette le traitement de données de santé. On parle notamment de machine virtuelle.
  • Le niveau 5 : ce niveau concerne les organismes qui s’occupent de faire de l’administration et de l’exploitation sur des systèmes d’information liées à des données des santé.
  • Le niveau 6 : ce niveau concerne les organismes qui s’occupent de faire des sauvegardes externalisées de données de santé. Par exemple, si vous vous occupez de faire les backups de données de santé.

Cette fois-ci, le périmètre ne concerne plus le matériel physique mais bien virtuel lié aux données de santé. Par exemple, vous faites de l’infogérance pour des organismes qui gère de la donnée de santé. Alors dans ce cas, vous serez concerné par les niveaux 4 et 5 voire 6 selon vos services.

En résumer, les niveaux de certification HDS dépendent du contexte et des services fournis par votre entreprise.

Processus de certification

Schéma du processus de certification HDS.
Processus de certification HDS

Le processus de certification HDS comme nous l’avons précisé au début de cet article, est un processus relativement lourd et long dans le temps. Sa longueur varie également selon l’organisme audité. Les durées que nous allons donner sont donc des moyennes. Elles peuvent être revues à la hausse ou à la baisse dans votre cas.

Étape 1)

Pour démarrer le processus de certification, vous devez trouver un organisme certificateur accrédité. Pour cela voici la liste des organismes de certification qui peuvent vous délivrer la certification HDS.

Étape 2)

L’auditeur prend connaissance de votre l’entreprise. Il vérifie le système actuel, la documentation et votre auditabilité. Il prépare également le déroulement de l’audit.

Étape 3)

Une fois que l’auditeur a bien pris connaissance du contexte, l’audit est prêt à démarrer. Généralement, il faut compter 2-3 mois entre la planification et le début de l’audit. Durant cette étape, l’auditeur réalise une audite documentaire. Il sera donc nécessaire de rédiger une revue de toute votre documentation liée au SMSI. De cette façon, il vérifie que vous respectez bien les exigences des normes ISO 27001 et HDS.

Étape 4)

Ensuite, l’auditeur procède à un audit sur site. Cette fois-ci, il vient s’assurer que vous respectez bien tous vos engagements techniques et organisationnels.

Étape 5)

Voici le moment que vous attendiez le plus : le résultat. Le résultat arrive environ un mois après la fin des audits. Si le résultat est négatif, il faudra malheureusement beaucoup travailler sur votre documentation et votre SMSI pour retenter votre chance.

Si le résultat est positif, l’organisme de certification vous délivrera les certificats ISO 27001 et HDS.

Étape 6)

Il est très important de savoir que ces certificats ne sont pas valides à vie ! En effet, pour pouvoir garder vos certificats, vous devrez faire un audit de suivi tous les ans. De plus, il est nécessaire de faire un renouvellement de certificat tous les 3 ans. Cependant, je vous rassure, si vous êtes toujours certifié au bout de ces 3 ans, c’est que vous avez bien fait votre travail. Dans ce cas, il sera plus aisé de faire le renouvellement que la certification initiale qui vous aura peut-être demandée beaucoup de travail.

Il est important de noter que si vous possédez déjà la certification ISO 27001, vous aurez un audit allégé pour la certification HDS seule.

Comment respecter les exigences HDS ?

Pour respecter les exigences afin d’obtenir vos certificats HDS, il faut d’abord connaitre ces exigences. Voici donc les exigences que l’on retrouve :

  • Respecter les exigences demandées par la norme ISO 27001
  • 4 exigences de la norme ISO 20000 concernant la conception et la modification de services, la continuité de service et la gestion de la capacité.
  • 1 exigence de la norme ISO 27017 concernant la définition explicite des rôles et responsabilités de sécurité entre le client et le fournisseur de service HDS
  • 25 exigences de la norme ISO 27018 concernant les principes de vie privée. Ces exigences se trouvent dans l’annexe A de la norme ISO 27018.
  • A tout cela s’ajoute quelques exigences spécifiques. Notamment 11 exigences liées aux normes ISO et 4 exigences dédiées à la santé.

Il est vrai qu’imaginer tout le travail qu’il y a à faire peut donner le tournis. C’est pour cela que vous pouvez faire appel à des entreprises qui vous accompagneront tout le long du processus de certification. Cet accompagnement se fait à la fois en termes de conseil mais aussi sur de l’aide à la documentation. LecPac-Consulting vous propose ces services et vous accompagne dans votre démarche de certification HDS. Si vous avez des questions, n’hésitez pas à consulter notre page web et à nous contacter. Ces services vous facilitent grandement votre travail et augmente fortement votre chance d’obtention de la certification HDS.